
유럽 의회를 향한 스파이 행위
요약
유럽 의회 의원 Stelios Kouloglou가 Pegasus 스파이웨어에 의해 반복적으로 해킹된 정황이 포렌식 분석을 통해 확인되었습니다. 이번 사건은 PEGA 위원회의 조사 활동 중 발생했으며, 특정 정부의 소행보다는 Pegasus 고객에 의한 스파이 활동 가능성이 시사됩니다.
핵심 포인트
- Stelios Kouloglou 의원의 iPhone에서 Pegasus 스파이웨어 감염 확인
- PWNYOURHOME 제로 클릭 익스플로잇을 통한 해킹 정황 포착
- 유럽 의회 PEGA 위원회의 비공개 정보 유출 위험성 제기
- 러시아어/벨라루스어 사용 활동가 대상 캠페인과 유사한 패턴 발견
주요 조사 결과
- 전 유럽 의회(European Parliament) 의원인 Stelios Kouloglou는 Pegasus 스파이웨어를 남용하는 사례를 조사하는 위원회 활동 중, NSO Group의 Pegasus 스파이웨어에 의해 반복적으로 해킹되었습니다.
- Kouloglou는 PEGA 위원회 활동의 주요 기간 동안 감염되었으며, 이 스파이웨어는 위원회 활동에 관한 비공개 정보를 포착했을 가능성이 높으며, 이는 EU 의회의 비밀 유지 및 특권 프레임워크를 위반했을 수 있습니다.
- 우리는 현재 이러한 감염을 특정 정부의 소행으로 단정 짓지 않으며, 그리스 정부가 책임이 있다는 징후도 발견하지 못했습니다. 대신, 첫 번째 감염 사례가 이전에 확인된 유럽 내 러시아어 및 벨라루스어 사용 망명 기자 및 활동가들을 대상으로 한 Pegasus 캠페인과 중첩된다는 점에 주목하며, 이는 여러 유럽 국가에서 스파이 활동을 할 수 있는 권한을 가진 Pegasus 고객이 책임이 있음을 시사합니다.
배경
Stelios Kouloglou는 2015년 유럽 의회 의원으로 선출된 저명한 그리스 조사 기자입니다. 그는 파리(1983-84), 모스크바(1989-93), 유고슬라비아(1992-95)에서 그리스 라디오 및 TV 리포터로 활동했습니다. 이후 2008년부터 Television Without Borders (TVXS)를 설립하여 활동했습니다.

Kouloglou는 Syriza 정당(좌파 계열)의 선거 명부에 포함된 무소속으로 유럽 의회에 선출되었습니다. 그는 2019년 유럽 선거를 통해 다음 의회 임기에도 선출되었습니다.
Kouloglou는 2022년 3월 24일부터 2023년 7월 18일까지 유럽 의회의 Pegasus 및 유사 감시 스파이웨어 사용을 조사하기 위한 조사 위원회 (PEGA 위원회)의 대체 위원(substitute member)으로 활동했습니다. PEGA 위원회는 유럽 정부가 기자, 활동가, 정치인 및 기타 시민들을 감시하기 위해 스파이웨어를 사용했음을 밝혀낸 2021년 Pegasus Project의 발표 및 기타 보도에 따라 2022년 3월 10일에 설립되었습니다. 유럽 의회 의원(MEP) Sophie in ‘t Veld가 이끄는 PEGA 위원회는 “Pegasus 및 유사 감시 스파이웨어”에 초점을 맞추어, EU 법을 위반한 스파이웨어 사용 범위를 조사하는 임무를 맡았습니다.
Kouloglou는 MEP로 재임하는 동안 TVXS를 위해 기고문과 보고서를 계속 작성했습니다. 그는 2023년 10월 Syriza 당을 탈퇴하여 2024년 6월 선거 전까지 무소속으로 활동했으며, 선거 이후에는 New Left의 일원으로 활동했습니다. 그의 의회 임기는 2024년 7월에 종료되었습니다.
Kouloglou의 Pegasus 스파이웨어 감염
2026년 5월, Kouloglou는 Citizen Lab에 연락을 취해왔으며, 우리는 그의 iPhone에서 발견된 아티팩트(artifacts)에 대해 포렌식 분석(forensic analysis)을 수행했습니다. 우리는 그의 기기가 2022년 10월 21일경, 그리고 다시 2023년 3월 6일과 7일에 Pegasus 스파이웨어에 성공적으로 감염되었음을 높은 신뢰도로 확인했습니다.
2022-10-21 10:16에 HomeKit 이메일 주소 rauharepo888 [@]gmail.com에 대한 조회(lookup)가 있었습니다. 2분 후, Pegasus 프로세스가 모바일 데이터를 사용했습니다. 우리는 이 시점에 해당 전화기가 PWNYOURHOME 제로 클릭(zero-click) 익스플로잇(exploit)으로 해킹되었다고 판단합니다. PWNYOURHOME은 공격자가 특별히 제작된 NSKeyedArchive를 보내 HomeKit에 안착시킨 후, MessagesBlastDoorService에 악성 콘텐츠가 안착하게 하는 방식으로 처음 시작된 것으로 보입니다. Apple은 iOS 16.3.1에서 HomeKit의 변경을 통해 첫 번째 문제를 완화했으나, 우리는 그들이 MessagesBlastDoorService 문제를 아마도 iOS 16.1에서 더 일찍 해결했을 것으로 판단합니다.
우리는 또한 2023-03-06 09:49에서 2023-03-07 07:30 사이에 Kouloglou의 기기에서 Pegasus 활동을 확인했으며, 이는 동일한 익스플로잇 (exploit)과 연관되었을 가능성이 높다고 판단합니다. 2022년과 2023년의 날짜에 해당 기기는 iOS 15.5 (19F77)를 실행 중이었던 것으로 판단됩니다.
이러한 조사 결과가 가용 가능한 포렌식 데이터 (forensic data)의 한계로 인해 우리가 포착하지 못한 추가 감염의 가능성을 배제하지는 않습니다.
Apple 알림 (Apple Notifications)
우리의 표적 공격 조사 결과를 추가로 입증하는 것은, 포렌식 분석 결과 Kouloglou가 용병 스파이웨어 (mercenary spyware)를 이용한 표적 공격에 대해 세 차례(2023년 3월 2일, 2023년 8월 29일, 2024년 4월 10일)에 걸쳐 여러 차례의 Apple 위협 알림을 받았음을 보여준다는 점입니다. Apple 및 기타 기업의 위협 알림은 실시간 경고가 아니라는 점에 유의하는 것이 중요합니다. 이러한 알림은 일반적으로 표적 공격이 발생한 후 몇 달 또는 그 이상의 시간이 지난 뒤에 일괄적으로 사용자에게 전송됩니다.
Kouloglou는 우리가 관찰한 Apple 알림을 받은 기억이 없다고 저희에게 보고했습니다.
표적 공격 맥락 및 PEGA 위원회 활동
Kouloglou는 Citizen Lab이 그가 Pegasus 스파이웨어의 표적이 되었던 기간 동안의 활동을 재구성하는 것을 도왔습니다 (부록의 상세 타임라인 참조). 해당 기간 내내 Kouloglou는 스파이웨어 오용에 관한 수많은 기사를 작성하고 빈번하게 인터뷰를 진행했습니다. 다음 섹션에서 주요 맥락적 세부 사항을 요약합니다.
첫 번째 Pegasus 감염 기간: PEGA 청문회 준비 및 국가 방문
Kouloglou의 기기에서 확인된 첫 번째 Pegasus 감염 날짜인 2022년 10월 21일은 PEGA 위원회의 심의 및 조사와 관련하여 활동이 특히 집중되었던 시기와 일치합니다.
첫째, 감염 날짜 이후
중요한 점은, PEGA 위원회가 첫 번째 보고서 초안(draft report)을 발표하기 위한 준비 과정에 있었다는 사실입니다. 보고서 초안은 이 발표에 앞서 몇 주 동안 PEGA 위원회 위원들과 그 직원들 사이에서 논의되고 공유되었습니다. Kouloglou는 첫 번째 감염 날짜(2022년 10월 21일)가 주로 문자 메시지와 이메일을 통해 집중적인 논의와 교환이 이루어지던 시기와 일치함을 확인했습니다. PEGA 위원회 보고서의 첫 번째 초안은 2022년 11월 8일 MEP 't Veld에 의해 전달되었습니다. 해당 초안은 폴란드, 헝가리, 그리스, 키프로스, 그리고 스페인에서의 스파이웨어(spyware) 의혹에 초점을 맞추고 있었습니다.
청문회 및 보고서 작성 외에도, PEGA 위원회 위원들은 임무의 일환으로 여러 유럽 국가를 방문했습니다. 10월 내내 PEGA 위원회는 2022년 11월 1일부터 4일까지 예정된 그리스와 키프로스 조사 방문을 계획하고 있었습니다. Kouloglou는 계획 수립을 도왔으며, PEGA 위원회 심의의 일환으로 두 방문 모두에 참여했습니다. Kouloglou의 기기는 이 여행이 시작되기 10일 전, 즉 방문에 관한 통신이 교환되던 시점에 해킹되었습니다.
Thanasis Koukakis와의 만남
감염이 발생한 정확한 날짜인 2022년 10월 21일, Kouloglou는 선택적 수술(elective surgery)을 위해 병원에 있었습니다. 그리스의 조사 전문 기자이자 그리스 내 용병 스파이웨어(mercenary spyware) 문제에 대해 밀접하게 활동해 왔으며 지난달 PEGA 위원회에서 증언했던 Thanasis Koukakis가 그의 병실을 방문했습니다. 2022년 3월, Citizen Lab은 Koukakis 본인 또한 Intellexa의 Predator 스파이웨어의 표적이 되었음을 확인했으며, 그는 당시 그리스 관련 당국에 해당 스파이 행위에 대한 법적 구제 및 공식 항의를 진행 중이었습니다. Koukakis는 Kouloglou와의 만남을 사진(Figure 2)으로 기록했습니다.

Koukloglou가 그리스 병원의 환자로 머물고 있는 동안 감염이 발생했다는 점을 고려할 때, 그의 병실에서 진행 중인 대화를 포함하여 그의 기기에서 기밀 의료 정보가 가로채졌을 가능성이 있습니다. 만약 스파이웨어 (spyware)가 Kouloglou와 의료진 사이의 대화나, 예약, 검사 결과, 진단 및 기타 건강 관련 정보와 관련하여 전화기에 저장된 세부 정보를 포착했다면, 그의 기기에 대한 해킹은 건강 관련 데이터의 기밀성에 관한 그리스 법률을 위반했을 수 있습니다. 건강 관련 데이터는 개인 데이터의 특수 범주로 간주되어 강화된 보호를 받습니다 (그리스 형법에 따른 Law 4624/2019).
두 번째 Pegasus 감염 기간: 격렬한 PEGA 논의
Koukloglou의 기기는 2023년 3월 6일과 7일에 Pegasus 스파이웨어 (spyware)로 두 번째 해킹을 당했습니다. Kouloglou에 따르면, 이 기간 동안 PEGA 위원회는 최종 초안 작성 프로세스와 관련된 격렬한 논의를 진행 중이었습니다. 2023년 3월 6일, Kouloglou는 아테네에서 브뤼셀로 이동했으며, 감염이 발생한 기간인 3월 6일과 7일에 브뤼셀에 머물고 있었습니다.
또한 이 시기에 PEGA 보고관(Rapporteur)인 MEP in 't Veld가 LIBE 위원회(시민 자유, 정의 및 내무 위원회)의 임무 수행의 일환으로 그리스에 체류했다는 점도 중요할 수 있습니다. LIBE 위원회는 유럽 의회의 상설 위원회로, 주로 인권, 데이터 보호, 망명, 이민 및 차별 방지 관련 문제에 대한 법안 초안 작성과 민주적 감독을 제공할 책임이 있습니다. 해당 임무에서 LIBE 대표단은 그리스 스파이웨어 스캔들과 관련하여 그리스 국가 투명성 기구(National Transparency Authority)의 국장 및 기타 관리들에게 질문을 던졌습니다 (보고서 para 183).
이전 감염 날짜들과 마찬가지로, 이번 감염 날짜 이후에도 일련의 PEGA 청문회와 스페인 조사 여행이 이어졌습니다 (비록 Kouloglou 본인은 해당 여행에 참여하지 않았지만). 이 감염은 첫 번째 PEGA 위원회 보고서가 채택되기(2023년 5월 8일) 약 두 달 전에 발생했습니다.
이와 별개로, Kouloglou와 Thanasis Koukakis는 2023년 3월 6일 또는 7일경에 만나기로 WhatsApp을 통해 잠정적인 계획을 세웠으나, 결과적으로 대면 만남은 이루어지지 않았습니다.
감시 하에 놓인 유럽 의회
PEGA 위원회 위원이 위원회 활동 중에 Pegasus 스파이웨어의 피해자로 공개 확인된 것은 이번이 처음입니다.
PEGA 위원회가 창설되기 전에도 유럽 의회 의원(MEP)을 표적으로 삼은 몇 가지 공개적인 사례가 있었습니다. 네 명의 카탈루냐 출신 MEP가 직접적 또는 간접적으로 Pegasus의 표적이 되었습니다: MEP Diana Riba의 기기들이 2019년 10월에 감염되었습니다. 카탈루냐 MEP Jordi Solé는 유럽 의회 의석을 맡기 직전인 2020년 6월에 표적이 되었습니다. 다른 두 명의 카탈루냐 MEP는 그들의 직원이나 가족을 통해 표적이 되었습니다: Clara Ponsati (2020년 7월)와 Carles Puigdemont (2019년 10월 및 2020년 7월)입니다. Riba, Solé, Puigdemont는 모두 PEGA 위원회에 합류했습니다: Riba는 부의장으로, Puigdemont는 위원으로, Solé는 대체 위원(substitute)으로 참여했습니다. 이들은 Antoni Comín 및 Nikos Androulakis(그의 기기는 Predator 스파이웨어의 표적이 됨)와 함께 자신들의 경험에 대해 PEGA 위원회에서 증언했습니다.
PEGA 위원회 외부에서도, 2024년 2월 Politico는 보안 및 국방 소위원회(security and defence subcommittee) 소속 유럽의회 의원(MEP) 2대의 기기에서 스파이웨어(spyware) 흔적이 발견된 후, 이들의 휴대전화를 점검하라는 요청을 받았다고 보도했습니다. 해당 위원회의 의장인 프랑스 MEP Nathalie Loiseau는 자신이 Pegasus의 표적이 되었음을 확인했습니다. 유럽의회 IT 서비스 부서는 불가리아 MEP Elena Yoncheva에게 그녀의 기기가 2023년 10월 말에 표적이 되었다고 통보했습니다. 2024년 5월, PEGA 위원회 절차가 종료된 후, 독일 MEP Daniel Freund는 자신이 Candiru의 용병 스파이웨어(mercenary spyware)의 표적이 되었다고 발표했습니다.
Attribution (귀속)
우리는 Kouloglou가 NSO Group의 Pegasus 용병 스파이웨어(mercenary spyware)의 표적이 되어 감염되었다고 높은 신뢰도로 판단하지만, 이 조사들을 특정 NSO Group 고객의 소행으로 귀속시키지는 않습니다.
Citizen Lab이 Thanasis Koukakis의 기기가 Predator 스파이웨어로 해킹된 것을 처음 발견한 2022년 이후, 그리스 정부는 시민 사회를 남용하여 표적 삼는 감시 스캔들에 휘말려 왔습니다. 그러나 우리는 이 해킹이 그리스 정부의 소행이라는 징후를 발견하지 못했습니다. 그리스가 NSO Group의 고객이거나 Pegasus 스파이웨어의 사용자라는 보고는 없습니다. 그리스 정부가 Intellexa의 Predator 용병 스파이웨어(mercenary spyware)를 광범위하게 남용한 것으로 알려져 있지만, Citizen Lab은 그리스 보안 및 정보 기관이 NSO Group의 Pegasus 스파이웨어에 접근할 수 있었음을 시사하는 어떠한 기술적 지표(technical indicators)도 인지하지 못하고 있습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 HN AI Posts의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기