유럽의회 페가수스 조사위원이 자기가 조사하던 스파이웨어에 당한 사건

2026년 7월 초, 유럽의회 산하 페가수스 조사위원회 위원 한 명의 휴대전화가 본인이 수사하던 바로 그 스파이웨어에 감염된 사실이 보안연구진의 분석으로 확인됐다. 사건은 2025년 말부터 유럽을 떠들썩하게 만든 상용 감시 도구 남용 폭로의 연장선상에 있으며, 조사 대상이었던 의원이 정반대 위치인 감시 피해자가 되었다는 점에서 디지털 시대 법치주의 논쟁을 다시 촉발하고 있다.

  • 유럽의회 페가수스 남용 조사위원 중 한 명의 휴대전화가 페가수스 스파이웨어에 감염된 사실이 보안연구진에 의해 확인됐다.
  • 감염 시점은 의원이 조사위원회에 재직 중이던 기간으로, 조사 활동과 본인의 해킹이 시간적으로 겹치는 것으로 보고됐다.
  • Citizen Lab의 새 분석에 대해 유럽의원 한 명은 이를 “법치주의에 대한 직접적인 공격”으로 규정하며 정치적 대응을 촉구하고 있다.

조사 대상이었던 의원이 곧바로 감시 피해자가 된 이번 사건은, 상용 스파이웨어가 더 이상 특정 정권만의 도구가 아니라 유럽민주주의 내부까지 잠식하고 있음을 보여준다.

사건 개요: 조사위원이 조사 대상 도구에 당하다

보안 매체 TechCrunch는 2026년 7월 2일자 보도에서 “Politician who investigated spyware abuses had his phone hacked with Pegasus spyware”라는 제목으로 사건을 전했고, 동 시각대 매체 Wired 역시 “EU Politicians Investigated Pegasus Spyware. Then It Ended Up on One of Their Phones”라는 제목으로 동일 사실을 다뤘다. 두 매체 모두 캐나다 토론도 대학 기반 시민연구소 시티즌랩(Citizen Lab)의 신규 분석 결과를 1차 출처로 인용했으며, 감염 사실의 확인 경로도 동일한 것으로 나타났다.

Citizen Lab 분석이 확인한 감염 사실

Citizen Lab 연구진은 해당 유럽의회 의원의 휴대전화에서 페가수스 감염 흔적을 포렌식(디지털 증거 분석) 방식으로 식별했다. 구체적인 감염 일자와 공격에 사용된 클라이언트 아이디, 명령제어 서버(cluster) 정보 등은 공개되지 않았으나, 감염 시점이 의원이 조사위원회에 재직 중이던 기간이라는 사실은 유럽의회 측에 통보된 것으로 파악된다. 본 보고서 작성 시점 기준 감염 사실의 1차 출처는 시민연구소이며, 의원의 본인 진술 또는 유럽의회 공식 성명이 이를 보강한 형태로 정리돼 있다.

유럽의회 페가수스 조사위원회의 활동 맥락

유럽의회는 2022년 4월 페가수스 및 유사 상용 스파이웨어 남용 사례를 다룰 특별위원회(Committee of Inquiry to investigate the use of Pegasus and similar surveillance spyware, 통칭 PEGA 위원회)를 공식 출범했고, EU 회원국 내 감시 남용 의혹을 규명하기 위해 사실상 수사 기능을 수행해 왔다. 위원회는 폴란드, 헝가리, 스페인, 그리스等国 사례를 집중 청문했고, 2023년 말 결의안 채택 이후에도 후속 모니터링을 이어가고 있다. 즉 이번 감염은 의회가 스파이웨어를 “규제하는 입장”에서 동시에 “공격을 받는 입장”이 됐다는 점에서 상징성이 크다.

페가수스 스파이웨어의 작동 방식과 확산 경로

NSO Group의 상용 감시 도구 페가수스 개요

페가수스(Pegasus)는 이스라엘 사이버 무기업 엔에스오(NSO) 그룹이 만든 상용 스파이웨어다. 별도의 클릭 없이 메시지나 알림만으로 감염이 가능한 제로클릭(zero-click) 공격을 통해 아이폰·안드로이드 기기의 마이크, 카메라, 위치, 메신저 암호문 등을 원격으로 추출할 수 있다. NSO 측은 제품을 외국 정부 기관에 한정 판매한다고 밝히고 있으나, Citizen Lab과 Amnesty International의 보안연구소(Security Lab)가 2017년 메르셰드 사건을 시작점으로 카타르·멕시코·사우디아라비아·바레인 등의 사례를 잇따라 폭로하며 실제 운영 환경에서 반복적으로 남용됐다는 평가를 받아왔다.

과거 유럽 정치인·활동가 타깃 사례

유럽 내 페가수스 타깃 사례는 이번이 처음이 아니다. 2021년 카탈루냐 지역 출신 카를레스 푸이그데몬트 전 주지사와 그 지지자 소속 변호인들의 휴대전화가 감염된 사실이 동일 시민연구소 분석으로 확인됐고, EU 집행위 인사들과 독일 연방수사국(BKA) 파일, 영국 내각오피스와 관련된 영국 시민 사례 등이 워싱턴 포스트 그룹의 페가수스 프로젝트 보도로 정리된 바 있다. 이번 사건은 그 목록에 “조사를 책임진 측”이 처음으로 추가됐다는 점에서 의미가 다르다.

페가수스 관련 주요 사건 비교
시기 피해자 또는 사례 확인 주체 핵심 쟁점
2020년경 카탈루냐 정치인·활동가, 영국 변호인 Citizen Lab EU 회원국 내 자국 감시 남용
2021년 7월 푸이그데몬트 전 주지사 등 Citizen Lab 스페인 정부 관여 의혹
2026년 7월 EU 페가수스 조사위원 Citizen Lab 조사를 수행한 측이 표적이 됨

법적·정책적 파장

이번 사건은 단순한 사이버 침해를 넘어, EU 디지털 규제 체계 전반에 대한 질문을 다시 끌어올리고 있다.

유럽의회 내부 반응과 법치주의에 대한 직접적 공격 논리

Wired 기사는 유럽의회 한 위원의 인용을 명시적으로 인용하며 이번 감염을 “It is a direct attack on the rule of law.”(법치주의에 대한 직접적인 공격)라고 규정했다. 수사 대상 도구가 수사를 책임진 위원 자신을 감염시켰다는 아이러니가 정치적 수사력 강화 요구로 직결된다는 해석이다. 의원이 누구인지를 특정해 책임을 묻기보다 위원회 차원의 정보보호 체계 전반을 재점검해야 한다는 주장도 같은 보도 흐름에서 소개됐다.

EU 수출 통제 및 디지털 감시 규제 강화 논의

법적 대응은 다층적이다. 첫째, 듀얼유스(민생 겸 병용) 품목 수출 통제 규정(Regulation 2021/821) 개정안에서 사이버 감시 도구를 명시적 통제 대상에 포함시키자는 움직임이 2026년 상반기 계속되고 있다. 둘째, 2024년 12월 발효된 AI법(Regulation 2024/1689) 후속 작업 파일에 생체감시·원격생체인식 기술이 묶여 특정됐는지가 향후 평가 변수가 된다. 셋째, 유럽사법재판소(CJEU)와 유럽인권재판소(ECtHR) 판례에서 휴대통신 비밀과 의원의 면책특권(법적 책임의 보호)이 결합하는 영역은 좁아지고 있다.

글로벌 사이버보안 트렌드로 본 함의

상용 스파이웨어 산업의 성장과 책임 공방

업계 자료에 따르면 글로벌 상용 감시 시장 규모는 2020년 이후 매년 두 자릿수 성장을 기록해왔으며, 엔에스오 그룹 외에도 칸달라, 제니즈, 프레데터 등 동종 업체들이 동일한 시장에 진입해 경쟁 중이다. 각국 정부는 이러한 도구를 범죄 수사·테러 방지에 필수적이라고 옹호하지만, 스파이웨어가 자연재해나 인권 활동가를 동시에 노렸다는 사실이 외교적 분쟁을 야기해왔다. 그 결과 일부 미국 의회에서는 상용 스파이웨어 수출을 사실상 금지하는 결의안을 추진했고, 카메룬·우간다 같은 사용국과의 외교 비용을 폭로했다.

한국 및 동맹국에 시사하는 정책적 시사점

대한민국 사이버보안 정책 입안자에게 이번 사건은 세 가지 메시지를 준다. 첫째, 디지털 증거 수집·감사 권한을 가진 인사일수록 휴대통신 위협 표면적이 커지며, 정보보안 의존성이 취약정부의 가장 큰 외부 노출점이 된다. 둘째, 스파이웨어에 대한 공개 통제 기구와 무관한 외국법 영역의 정보유출은 외교적 손해로 직결되므로, 공급망 차원의 디파이언스 리스크(공급망 신뢰 위험) 검토가 사실상 필수다. 셋째, 일본 및 EU 등 동맹국과 외환 거래 투명성을 공유하는 동시에, 자국 내 시민사회 전문가를 글로벌 시민연구소 네트워크와 지속 협력하는 구조가 중요해진다.

결론: 조사 대상이 된 조사자, 그리고 다음 단계

유럽의회의 한 위원이 본인이 수사하던 페가수스에 감염된 사실은 단순한 아바타 해킹 사건이 아니라, 상용 스파이웨어 산업이 디지털 법치주의를 사실상 침식하고 있다는 상징적 사례다. 단기적으로는 유럽의회 정보보호 체계의 전면 조사가 가속화될 것으로 보이고, 중장기적으로는 EU 사이버 감시 도구의 수출 통제 결정, AI법 후속 실행규칙, 그리고 회원국별 감시 조치에 대한 CJEU 헌장재판이 주요 변수가 될 것으로 분석된다. 한편 한국을 포함한 동맹국 역시 자국 검찰·정보기관이 사용하는 상용 도구의 실태를 공개하거나 입법적으로 검증하는 작업을 조기에 추진할 필요가 있으며, 이 같은 예방 노력이 향후 글로벌 디지털 거버넌스 협상에서 발언권의 기반이 된다.

핵심 정리 포인트

  1. 이 사건은 “연구 또는 수사 대상 그 자체”가 감염원이라는 점에서 본질이 다르다. 단순 보도가 아닌 유럽의회 차원의 공식 수사 의제가 발생할 가능성이 크다.
  2. Citizen Lab의 1차 포렌식 확인이 신뢰의 출발점이며, 본인의 진술·위원회의 공식 발표는 이를 보완하는 형태로 정리된다.
  3. 정책 흐름은 멀티트랙으로 전개된다. EU 수출 통제 개정, AI법 후속, CJEU 헌장재판 가능성이 동시 진행 중이다.
  4. 한국의 입법부·입법지원기관은 휴대통신 위협 표면을 줄이기 위한 기술·조직적 보호 조치를 점진 강화할 필요가 있다.
  5. 스파이웨어 대응은 글로벌 시민연구소·시민사회·연구진 네트워크와 협력해야 실질 효과를 거둘 수 있다.
  • Pegasus
  • NSO Group
  • Citizen Lab
  • European Parliament
  • PEGA
  • 법치주의
  • 상용감시도구
  • 사이버보안
  • 유럽의회
  • 수출통제
  • 디지털권리
  • 감시남용
  • 사이버외교
  • 유럽정책
  • 디지털감시규제

출처 1: TechCrunch – Politician who investigated spyware abuses had his phone hacked with Pegasus spyware

출처 2: Wired – EU Politicians Investigated Pegasus Spyware. Then It Ended Up on One of Their Phones

댓글 남기기