유럽 의회 의원, 페가수스 스파이웨어 감염 충격

by DD
3시간 전
조회수 2

유럽 의회 의원(MEP)이 페가수스 스파이웨어(Pegasus Spyware)에 감염된 사실이 밝혀져 충격을 주고 있음

감염 시점은 스파이웨어 남용 조사 위원회(PEGA Committee) 활동 기간과 겹쳐, 기밀 정보 유출 가능성(Confidential Information Leakage)이 제기됨

특정 국가의 소행으로 단정하긴 어렵지만, 유럽 내 다수 국가에서 활동 가능한 고객의 소행으로 추정됨

EU 기관들의 즉각적인 조사 및 보안 강화 촉구가 이어지고 있음

페가수스 스파이웨어 감염 시점과 PEGA 위원회 활동의 연관성

시민 연구소(Citizen Lab)의 분석에 따르면, 유럽 의회 의원(MEP) 스텔리오스 쿠올로글루(Stelios Kouloglou)의 휴대전화는 2022년 10월과 2023년 3월 두 차례에 걸쳐 페가수스 스파이웨어에 감염된 것으로 확인되었습니다. 특히 첫 번째 감염 시점은 스파이웨어 남용 조사 위원회(PEGA Committee)가 핵심 활동을 진행하던 기간과 일치하며, 이는 위원회의 기밀 논의 내용이 외부에 노출되었을 가능성을 시사합니다. 해당 기간 동안 위원회는 유럽 내 스파이웨어 사용 실태를 조사하고 보고서 초안을 작성 중이었기에, 내부 정보가 탈취되었을 위험이 매우 높다고 분석됩니다.

공격 주체 및 '다중 유럽 국가 허가'의 의미

이번 사건의 공격 주체를 특정 국가로 단정하기는 어렵지만, 시민 연구소는 러시아 및 벨라루스 출신 망명 언론인 및 활동가를 대상으로 한 기존 페가수스 캠페인과의 연관성을 지적합니다. 이는 유럽 내 여러 국가에서 합법적으로 감시 활동을 수행할 권한을 가진 특정 페가수스 고객이 배후에 있을 가능성을 높입니다. 그리스 정부의 연루 가능성은 낮다고 보면서도, 국가 정보기관의 협력 또는 대행 가능성을 배제하지 않고 있어 추가 조사가 필요함을 시사합니다.

개인 의료 정보 및 정부 기밀 문서 동시 유출 가능성

사용자 'bawolff'의 지적처럼, 이번 사건은 개인 의료 정보와 정부 기밀 문서가 동일한 기기를 통해 유출될 수 있다는 점을 보여줍니다. 이는 업무용 기기와 개인용 기기의 분리 정책이 제대로 시행되지 않았거나, 데이터 격리 아키텍처(Data Isolation Architecture)가 미흡했음을 시사합니다. 특히 감염 시점이 병원 입원 기간과 겹쳤다는 점에서, 민감한 의료 정보가 노출되었을 가능성 또한 제기됩니다.

EU 기관의 보안 태세 및 대응 촉구

이번 사건은 유럽 의회 의원들이 스파이웨어 공격의 대상이 될 수 있음을 명확히 보여주며, EU 기관들의 보안 태세에 대한 근본적인 의문을 제기합니다. 시민 연구소는 유럽 의회, 집행위원회 등 관련 기관에 즉각적인 조사 착수, 정기적인 보안 검사 강화, 그리고 위협 경고 시스템의 실효성 제고를 촉구하고 있습니다. 특히 아이폰의 '잠금 모드(Lockdown Mode)'와 같은 강화된 보안 기능 활성화를 권고하며, 국가 차원의 의회 보안 강화 모델을 벤치마킹할 것을 제안합니다.

Espionage Against the European Parliament