- 피해자: 전 유럽의회 의원 스텔리오스 쿠로그루(Stelios Kouloglou) 모바일 기기
- 악성코드: 이스라엘 NSO 그룹의 페가수스(Pegasus) 스파이웨어
- 핵심 증거: 캐나다 시민랩(Citizen Lab) 포렌식 분석을 통해 반복 감염 사실 입증
유럽 의회 스스로 감시 도구 오용을 조사하던 의원이 같은 수법의 표적이 되었다는 점에서 EU 디지털 주권 논쟁이 다시点燃되고 있다.
2026년 7월 초, 캐나다 시민 연구기관 시민랩(Citizen Lab)은 전 유럽의회 의원 스텔리오스 쿠로그루의 모바일 기기가 페가수스(Pegasus) 스파이웨어에 반복적으로 감염되었다는 포렌식 분석 결과를 공개했다. 사건은 그가 유럽의회 내 상업용 감시 도구의 오용을 조사하는 위원회에서 활동하던 시기와 정확히 겹친다. 본문은 사건의 기술적 배경과 EU 정치적 파장을 함께 살펴본다.
사건 개요: 페가수스에 해킹된 유럽의회 의원의 실체
피해자 스텔리오스 쿠로그루의 이력과 위원회 활동
스텔리오스 쿠로그루는 그리스 출신의 전 유럽의회 의원으로, 의회 내 인권 및 디지털 권리 관련 위원 활동을 꾸준히 이어온 인물이다. 그는 상업용 감시 도구가 유럽 시민과 정치인을 대상으로 오용되는 사례를 다룬 특별 위원회의 활동에 참여하면서, 페가수스 등 정교한 스파이웨어의 유럽 내 확산 문제를 정면으로 다뤄왔다. 시민랩 보고서는 이러한 위원회 활동 기간과 기기 감염 시점이 거의 일치한다고 분석했다.
시민랩 포렌식 분석의 핵심 발견
시민랩은 쿠로그루의 기기를 정밀 포렌식 분석한 결과 페가수스 감염을 나타내는 다수의 인디케이터(indicator, 침해 흔적 지표)를 식별했다. 보도된 원문에는 “Through forensic analysis of his device, we found that the attackers could have had…”라는 취지의 진술이 포함되어 있으며, 이는 공격자가 본인뿐 아니라 가족 등 관련 인물들의 기기까지 접근했을 가능성을 시사한다. 다만 시민랩은 특정 국가를 가해자로 명시하지 않았으며, 감염 경로의 정확한 발신지에 대해서는 조사가 진행 중인 것으로 전해진다.
페가수스 스파이웨어의 작동 원리와 침해 경로
제로클릭 익스플로잇과 iOS 메시지 취약점
페가수스는 이스라엘 NSO 그룹이 개발한 상용 감시 스파이웨어로, 감염 기기에서 메시지, 통화, 카메라, 마이크, 위치 정보 등을 사실상 전량 수집할 수 있다. 가장 큰 위협은 사용자의 클릭 한 번 없이도 감염이 이루어지는 제로클릭(zero-click, 무상호작용) 익스플로잇(악성 코드 유포 공격) 방식이다. 과거에는 iMessage의 이미지 렌더링 처리 과정에서 취약점이 악용된 사례가 다수 보고됐으며, 패치가 이루어진 이후에도 새로운 통신 앱과 운영체제 결함을 결합한 변형이 지속적으로 등장하고 있다.
NSO 그룹의 상업적 감시 생태계
NSO 그룹은 자사의 솔루션을 정부 기관 및 법 집행 기관에만 판매한다고 공식 입장 표명하지만, 실제 운용 과정에서 인권 침해 사례가 반복적으로 적발되면서 국제적 논란이 지속돼 왔다. 페가수스 같은 도구는 이론상 합법적 수사 목적으로 한정돼야 하나, 실제 라이선스 관리와 사용 감사 체계가 불투명하다는 비판이 제기된다. 이번 유럽의회 사건은 이러한 감사 공백이 유럽 정치 권력 내부에서도 발생할 수 있음을 보여주는 사례로 평가된다.
EU 내 정치인 대상 사이버 감시의 파장
유럽의 스파이웨어 수출 통제 강화 움직임
유럽연합은 2024년 이후 사이버 감시 도구의 수출 통제 규정을 잇따라 정비해 왔다. 듀얼유스(dual-use, 군사와 민간 겸용 가능) 품목으로 분류된 감시 소프트웨어에 대해 최종 사용자 인증서 의무화, 인권 기준 위반 시 수출 허가 취소 절차 등을 도입했다. 그럼에도 이번 사건처럼 유럽 내부에서 발생한 감염 사례가 적발된다는 점은 규범적 통제만으로 실제 침해를 막는 데 한계가 있음을 시사한다.
디지털 주권과 의회 면책 특권 침해 논쟁
유럽의회의원에게는 헌법적, 법적 면책 특권(immunity)이 부여되며, 그 의사표현과 의회 활동에 대한 사찰은 엄격히 제한된다. 만약 외국 행위자가 페가수스 같은 도구로 의원의 기기를 침해했다면 이는 사실상 의회 면책 특권에 대한 외국의 사법적 침해로 해석될 수 있다. 이에 일부 유럽의회는 EU 차원의 디지털 주권 강화와 함께 외국 정부의 사이버 감시에 대한 외교적 제재 수단을 적극 동원해야 한다는 주장을 제기하고 있다.
대응 절차와 향후 전망
기기 포렌식 절차 및 피해자 대응 가이드
시민랩과 같은 독립 연구기관은 감염 의심 기기에 대해 다음과 같은 표준 포렌식 절차를 권고한다.
- 1단계: 기기 격리 및 백업: 네트워크 연결을 즉시 차단하고 데이터 무결성을 보존한 상태로 백업을 생성한다.
- 2단계: 로그 및 인디케이터 분석: iOS 또는 Android 시스템 로그, 네트워크 트래픽에서 페가수스 인디케이터(MVT 도구 활용)를 점검한다.
- 3단계: 통보 및 증거 보전: 의회 IT 부서, 시민사회 파트너, 사법 기관에 통보하고 법적 대응을 위한 증거 사슬을 유지한다.
- 4단계: 기기 교체 및 보안 강화: 감염이 확인된 경우 신규 기기로 교체하고 2단계 인증, 최신 OS 적용 등 보안 정책을 강화한다.
국제 규범 및 제재 시나리오
향후 EU는 이번 사건을 계기로 다음 세 가지 시나리오를 검토할 가능성이 높다. 첫째, NSO 그룹과 같은 상용 감시 업체에 대한 EU 차원의 제재 리스트 등재 확대다. 둘째, 유럽의회 자체적으로 외국인 사이버 감시 침해에 대응하는 전담 기구 신설이다. 셋째, 회원국 차원에서 자국 영토에서 운영되는 감시 솔루션의 라이선스 재심의 강제화다. 다만 어떤 조치가 효과를 거두기 위해서는 국제 공조와 기술적 검증 역량이 동시에 뒷받침되어야 한다는 분석이 우세하다.
핵심 정리
- 유럽의회 의원의 모바일 기기가 페가수스 스파이웨어에 반복 감염된 사실이 시민랩 포렌식으로 확인됐다.
- 감염 시점은 의회 내 상업용 감시 도구 오용 조사 기간과 일치해 정치적 동기가 의심된다.
- EU의 수출 통제 강화에도 불구하고 유럽 내부 침해 사례가 발생해 규제 공백이 드러났다.
- 디지털 주권, 의회 면책 특권, 국제 제재가 향후 EU 정책 결정의 핵심 변수가 될 전망이며, 기업 보안 담당자도 임원 단말의 정찰 표적 가능성에 대비한 모바일 위협 헌팅 체계를 점검할 필요가 있다.