유럽의회 대상 스파이 활동: Pegasus 조사위원도 해킹됨

3 hours ago 2
  • 그리스 탐사보도 기자 출신 전 유럽의회 의원 Stelios Kouloglou의 iPhone이 PEGA Committee 활동 기간 중 Pegasus에 반복 감염된 것으로 확인됨
  • 감염 시점은 2022년 10월 21일과 2023년 3월 6~7일로, 청문회·보고서 초안·국가 방문 준비 등 비공개 의사소통이 많던 시기와 겹침
  • 첫 감염은 HomeKit 이메일 rauharepo888[@]gmail.com 조회 직후 Pegasus 프로세스가 모바일 데이터를 사용한 흔적과 연결되며, PWNYOURHOME 제로클릭 익스플로잇으로 평가됨
  • 특정 정부가 배후로 지목되지는 않았고 그리스 정부 책임을 가리키는 징후도 없지만, 같은 HomeKit 이메일이 러시아·벨라루스어권 망명 언론인·활동가 대상 Pegasus 캠페인에서도 확인됨
  • 유럽의회 구성원과 직원 기기에 대한 포괄적 검사가 없으면, PEGA Committee의 기밀 교신과 의회 절차가 용병 스파이웨어에 얼마나 노출됐는지 파악하기 어려움

PEGA Committee 활동 중 확인된 Pegasus 감염

  • Stelios Kouloglou는 2015년 유럽의회에 입성한 그리스 탐사보도 기자 출신 정치인임
  • 2022년 3월 24일부터 2023년 7월 18일까지 Pegasus 및 유사 감시 스파이웨어 사용을 조사하는 유럽의회 PEGA Committee의 대체 위원으로 활동함
  • PEGA Committee는 2021년 Pegasus Project와 관련 보도 이후, 유럽 정부들이 언론인·활동가·정치인·시민을 감시했다는 폭로를 계기로 2022년 3월 10일 설치됨
  • 위원회 임무는 EU 법을 위반한 스파이웨어 사용 범위 조사였고, 조사 대상은 “Pegasus and equivalent surveillance spyware”였음

iPhone 포렌식 결과

  • 2026년 5월 Kouloglou가 Citizen Lab에 연락했고, iPhone 아티팩트 포렌식 분석에서 Pegasus 감염이 확인됨
  • 높은 신뢰도로 확인된 감염 시점은 2022년 10월 21일 전후, 그리고 2023년 3월 6~7일
  • 2022년 10월 21일 감염

    • 10:16에 HomeKit 이메일 주소 rauharepo888[@]gmail.com 조회가 있었고, 2분 뒤 Pegasus 프로세스가 모바일 데이터를 사용함
    • 이 감염은 PWNYOURHOME 제로클릭 익스플로잇을 통한 해킹으로 평가됨
    • PWNYOURHOME은 공격자가 특수 제작한 NSKeyedArchive를 HomeKit에 보내고, 이후 악성 콘텐츠가 MessagesBlastDoorService에 도달하는 방식으로 보임
    • Apple은 iOS 16.3.1에서 HomeKit 관련 문제를 완화했고, MessagesBlastDoorService 문제는 더 이른 시점, 아마 iOS 16.1에서 수정한 것으로 평가됨
  • 2023년 3월 6~7일 감염

    • 2023년 3월 6일 09:49부터 3월 7일 07:30 사이에도 Pegasus 활동이 확인됐고, 같은 익스플로잇과 관련됐을 가능성이 있음
    • 2022년과 2023년 감염 당시 기기는 iOS 15.5 (19F77) 를 실행 중이었던 것으로 평가됨
    • 가용 포렌식 데이터의 한계 때문에 포착하지 못한 추가 감염 가능성은 배제되지 않음

Apple 위협 알림과 사용자의 인지 문제

  • 포렌식 분석상 Kouloglou는 Apple의 용병 스파이웨어 표적화 위협 알림을 세 차례 받음
    • 2023년 3월 2일
    • 2023년 8월 29일
    • 2024년 4월 10일
  • Apple 및 다른 기업의 위협 알림은 실시간 경보가 아니며, 일반적으로 표적화 이후 수개월 이상 지난 뒤 일괄 발송되는 경우가 많음
  • Kouloglou는 관찰된 Apple 알림을 받은 기억이 없다고 밝힘
  • 여러 차례 위협 알림을 받은 대상자도 실제로 이를 알아차리지 못할 수 있음

첫 감염 시점: 보고서 초안·청문회·국가 방문 준비와 겹침

  • 첫 감염일인 2022년 10월 21일은 PEGA Committee의 심의와 조사가 특히 활발하던 시기와 맞물림
  • 감염 직후 다음 청문회들이 예정돼 있었음
    • “Big Tech and Spyware” — 2022년 10월 26일
    • “Spyware and e-privacy” — 2022년 10월 26일
    • 스파이웨어와 기본권 관련 청문회 — 2022년 10월 27일
  • 위원회는 첫 보고서 초안 발표도 준비 중이었고, 초안은 위원과 보좌진 사이에서 논의·회람되고 있었음
  • Kouloglou는 첫 감염일이 문자 메시지와 이메일 중심의 집중 논의·교환 시기와 겹쳤다고 확인함
  • PEGA Committee 보고서 초안은 2022년 11월 8일 Sophie in ’t Veld 의원이 발표함
    • 초안은 폴란드, 헝가리, 그리스, 키프로스, 스페인의 스파이웨어 의혹을 다룸
  • PEGA Committee는 2022년 11월 1~4일 그리스와 키프로스 방문도 준비 중이었고, Kouloglou는 계획과 방문에 참여함
  • 기기는 이 방문 시작 10일 전에 해킹됐으며, 당시 방문 관련 교신이 오가고 있었음

병원 내 감염과 의료 정보 노출 가능성

  • 2022년 10월 21일 감염 당일, Kouloglou는 선택 수술을 위해 그리스 병원에 입원 중이었음
  • 그리스 탐사보도 기자 Thanasis Koukakis가 병실을 방문함
    • Koukakis는 그리스 내 용병 스파이웨어 이슈를 긴밀히 취재해 온 인물임
    • 그는 전월 PEGA Committee에서 증언함
    • 2022년 3월 Citizen Lab은 Koukakis가 Intellexa의 Predator 스파이웨어 표적이었음을 확인함
  • 감염이 병원 입원 중 발생했기 때문에, 병실 내 대화나 의료진과의 대화, 예약·검사 결과·진단 등 건강 관련 정보가 기기에서 가로채졌을 가능성이 있음
  • 그리스 법에서 건강 관련 데이터는 특별 범주의 개인정보로 강화된 보호 대상이며, 해킹은 그리스 형법상 Law 4624/2019의 의료정보 비밀보호와 관련될 수 있음

두 번째 감염 시점: 최종 보고서 논의와 겹침

  • 두 번째 감염은 2023년 3월 6~7일 발생함
  • Kouloglou에 따르면 이 시기 PEGA Committee는 최종 초안 작성 과정과 관련해 집중 논의를 진행 중이었음
  • Kouloglou는 2023년 3월 6일 아테네에서 브뤼셀로 이동했고, 감염 기간인 3월 6~7일 브뤼셀에 있었음
  • 같은 시기 PEGA rapporteur인 Sophie in ’t Veld 의원은 LIBE Committee 임무로 그리스에 있었음
    • LIBE Committee는 인권, 데이터 보호, 망명, 이민, 차별금지 관련 입법과 민주적 감독을 담당하는 유럽의회 상임위원회임
    • 해당 임무에서 LIBE 대표단은 그리스 National Transparency Authority 국장과 관계자들에게 그리스 스파이웨어 스캔들을 질의함
  • 두 번째 감염 뒤에도 PEGA 청문회와 스페인 조사 방문이 이어졌으나, Kouloglou는 스페인 방문에는 참여하지 않음
  • 이 감염은 2023년 5월 8일 첫 PEGA Committee 보고서 채택 약 두 달 전에 발생함
  • Kouloglou와 Thanasis Koukakis는 2023년 3월 6~7일 전후 WhatsApp으로 만남을 잠정 계획했지만, 실제 대면은 이뤄지지 않음

유럽의회 의원 대상 스파이웨어 사례들

  • PEGA Committee 재직 중 Pegasus 피해자로 공개 확인된 위원은 Kouloglou가 처음임
  • PEGA Committee 설치 전에도 유럽의회 의원을 겨냥한 공개 사례가 있었음
    • Catalan MEP Diana Riba의 기기는 2019년 10월 감염됨
    • Catalan MEP Jordi Solé는 유럽의회 의석을 맡기 직전인 2020년 6월 표적이 됨
    • Clara PonsatiCarles Puigdemont는 보좌진 또는 가족을 통해 표적이 됨
  • Riba, Solé, Puigdemont는 이후 PEGA Committee에 참여했고, PEGA Committee에서 경험을 증언함
  • PEGA Committee 외부에서도 유럽의회 대상 사례가 이어짐
    • 2024년 2월 Politico는 안보·국방 소위원회 소속 의원들이 두 기기에서 스파이웨어 흔적이 발견된 뒤 휴대전화 검사를 요청받았다고 보도함
    • 프랑스 MEP Nathalie Loiseau는 Pegasus 표적이었음을 확인함
    • 유럽의회 IT Services는 불가리아 MEP Elena Yoncheva에게 2023년 10월 말 기기가 표적화됐다고 알림
    • 2024년 5월 독일 MEP Daniel Freund는 Candiru의 용병 스파이웨어 표적이 됐다고 발표함

배후 판단과 남은 한계

  • Kouloglou의 기기가 NSO Group의 Pegasus 용병 스파이웨어에 표적화되고 감염됐다는 판단은 높은 신뢰도를 가짐
  • 특정 NSO Group 고객은 배후로 지목되지 않음
  • 그리스 정부가 이 해킹의 주체라는 징후는 없음
    • 그리스가 NSO Group 고객이거나 Pegasus 사용자였다는 보고는 없음
    • 그리스 정부는 Intellexa의 Predator 용병 스파이웨어를 광범위하게 남용한 것으로 알려졌지만, 그리스 보안·정보기관이 Pegasus 접근권을 가졌다는 기술 지표는 없음
  • 2022년 Kouloglou 표적화와 2024년 5월 Access Now 공동 보고서의 표적화 사이에는 연결점이 있음
    • 해당 보고서는 유럽 기반 러시아·벨라루스어권 독립 언론인과 야권 활동가 7명이 Pegasus로 표적화 또는 감염됐다고 다룸
    • 그 보고서에서 익명 처리된 Apple ID 중 하나인 rauharepo888[@]gmail.com이 Kouloglou를 겨냥한 HomeKit 이메일과 동일함
    • 이 기간 Pegasus 감염 인프라에 대한 이해상, 이런 이메일은 특정 운영자에게 고유한 것으로 판단됨
  • 2023년 두 번째 감염이 같은 운영자와 연결되는지, 다른 운영자인지는 확인할 수 없음
  • 감염은 최소 두 유럽 관할권인 그리스와 벨기에에서 존재한 것으로 보임
  • NSO Group 라이선스에 대한 기존 지식에 따르면, 이는 여러 EU 관할권에서 감염을 가능하게 하는 라이선스를 가진 고객일 가능성을 시사함

민주적 절차와 의회 기밀에 대한 영향

  • PEGA Committee 위원 기기 감염은 위원회 활동 중 엄격히 기밀인 교신과 민감한 의회 절차가 노출됐을 수 있음을 뜻함
  • 노출 대상에는 PEGA Committee 구성원과 보좌진 간 교신, 그리고 위원회가 조사하던 당사자와 관련된 민감한 절차가 포함될 수 있음
  • 다른 PEGA Committee 위원과 보좌진의 기기 상태를 알 수 없기 때문에, 포괄적 검사가 없으면 유사 감염 여부를 확인할 방법이 없음
  • 이 사례는 용병 스파이웨어가 민주적 절차의 무결성에 가하는 위협을 드러냄
  • 유럽의회 의원 기기가 용병 스파이웨어에 표적화되거나 해킹된 사례가 처음이 아니며, 규제되지 않은 용병 해킹의 부식적 성격을 보여줌

권고 사항

  • EU 기관은 EU 개인정보와 절차 침해의 범위와 규모를 확인하기 위한 즉각적인 조사를 시작해야 함
  • MEP와 보좌진

    • PEGA Committee에 참여한 MEP와 보좌진은 즉시 스파이웨어 감염 포렌식 검사를 받고, 표적화됐을 수 있는 업무용·개인용 기기를 보존해야 함
    • Directorate-General for Information Technologies and Cybersecurity (DG ITEC)가 스파이웨어 검사를 제공함
    • 국가 지원 공격 경고에 주의를 기울이고, 경고를 받으면 신속히 전문가 지원을 받아야 함
    • EU MEP는 iPhone의 Lockdown Mode와 Android의 Advanced Protection을 활성화해야 함
    • 이 모드는 용병 스파이웨어에 대한 기기 보호를 크게 높임
    • DG ITEC가 추가 사이버보안 지침을 제공할 수 있음
  • 유럽의회와 EU 기관

    • 유럽의회는 MEP와 의회 절차를 겨냥한 스파이웨어 공격을 즉시 조사해야 함
    • 시간이 지난 공격이므로 포렌식 흔적 손실을 막기 위한 신속한 조사가 필요함
    • 의회는 Parliament와 의원에 대한 사이버·감시 위협을 다루는 연례 보고서를 의뢰해야 함
    • European Parliamentary Research Service 또는 다른 기관이 작성할 수 있음
    • DG ITEC는 기기 검사율을 크게 높이는 계획을 마련하고, 검사 기기 수와 발견률에 대한 연례 통계를 공개해야 함
    • DG ITEC는 Apple·Google 같은 기업의 국가 지원 공격 경고에 대해 MEP와 보좌진에게 구체적 지침을 정기적으로 배포해야 함
    • 유럽위원회는 위원과 직원이 용병 스파이웨어 표적이 됐는지 확인하기 위한 자체 조사와 검사를 해야 함
    • Commission의 DG DIGIT는 정기 검사와 함께 포괄적인 스파이웨어 검사·대응 역량을 구축해야 함
  • PACE와 각국 의회, 기술 기업

    • Parliamentary Assembly of the Council of Europe (PACE)는 과거 유럽 내 용병 스파이웨어 남용 관련 위원회 활동을 고려해, 구성원과 직원이 표적화됐는지 조사해야 함
    • Council의 Directorate of Information Technology는 동료 기관과 협의하고 PACE 구성원과 직원의 용병 스파이웨어 표적화 징후를 정기적으로 검사해야 함
    • 각국 의회의 보안 서비스와 감독기구는 DG ITEC의 의원 검사 기법 모델을 참고해 의원을 보호해야 함
    • 기술 기업은 위협 알림 수신자가 실제로 경고를 보고 이해하며 조치할 수 있도록 UX 연구를 포함해 알림 방식을 개선해야 함
Read Entire Article