유럽의회에서 스파이웨어 사용 실태를 조사하던 위원회(PEGA Committee)의 전 위원인 그리스 출신 스테리오스 쿨로글루(Stelios Kouloglou) 의원의 아이폰이 악명 높은 페가수스(Pegasus) 스파이웨어에 두 차례 감염된 사실이 밝혀졌습니다. 감염 시점은 2022년 10월과 2023년 3월로, 이 시기는 위원회가 청문회, 보고서 초안 논의, 국가 방문 준비 등 민감한 비공개 활동을 활발히 진행하던 때와 일치합니다.
시티즌 랩(Citizen Lab)의 포렌식 분석 결과, 첫 감염은 2022년 10월 21일 홈킷(HomeKit) 이메일 조회 직후 발생했으며, 이는 'PWNYOURHOME'이라는 제로클릭 익스플로잇(zero-click exploit)을 통한 것으로 추정됩니다. 두 번째 감염은 2023년 3월 6~7일 사이에 일어났습니다. 쿨로글루 의원은 애플(Apple)로부터 세 차례 스파이웨어 표적화 위협 알림을 받았지만, 이를 인지하지 못했다고 밝혔습니다. 이는 애플의 알림이 실시간이 아닌 경우가 많아 사용자가 즉시 대응하기 어렵다는 문제점을 드러냅니다. 특히 첫 감염 당시 쿨로글루 의원은 병원에 입원 중이었는데, 이로 인해 의료 정보 등 민감한 개인 정보가 유출되었을 가능성도 제기됩니다.
이번 사건은 용병 스파이웨어(mercenary spyware)가 민주적 절차와 의회 기밀에 얼마나 심각한 위협을 가할 수 있는지 여실히 보여줍니다. 스파이웨어 조사 위원의 기기가 해킹당했다는 사실 자체가 아이러니하며, 위원회의 기밀 교신과 의회 절차가 외부에 노출되었을 가능성을 의미합니다. 이는 유럽의회 전체의 보안 취약성을 드러내며, 다른 위원이나 보좌진의 기기도 유사한 공격에 노출되었을 수 있다는 우려를 낳고 있습니다. 민주주의의 근간을 흔들 수 있는 이러한 위협에 대응하기 위해 유럽의회는 즉각적인 전면 조사를 시작하고, 의원과 보좌진의 기기에 대한 포렌식 검사를 강화하며, 사이버 보안 지침을 개선해야 할 필요성이 커지고 있습니다.