미국 지원 이스라엘 회사의 스파이웨어, 유럽 기자들 표적으로 사용

• Citizen Lab 연구진이 Paragon Solutions의 스파이웨어가 유럽 내 저명한 기자 최소 3명을 표적으로 삼았음을 밝혀냄
• 이탈리아 Giorgia Meloni 정부가 언론인 및 시민 사회 활동가를 감시했는지에 대한 의문이 커지는 중임
• Paragon Solutions의 Graphite 스파이웨어는 사용자의 조작 없이도 기기를 감염시켜 WhatsApp 등 암호화 메신저 접근이 가능함
• 이탈리아 정보기관들은 시민 사회 인사에 대한 감시는 합법적 절차에 따라 이뤄졌다고 주장하지만, 언론계와 시민단체는 우려를 표함
• 미국 정부도 Paragon과 계약관계를 맺고 있지만, 스파이웨어 남용 우려로 계약 관련 규제와 논란이 지속됨

스파이웨어 표적 사건 개요

• 캐나다 토론토 대학 산하 Citizen Lab 연구팀은 미국 지원을 받는 이스라엘 회사 Paragon Solutions의 스파이웨어가 유럽 내 저명한 기자들, 특히 이탈리아 탐사보도 매체 Fanpage.it의 편집장 및 기자들을 목표로 사용됨을 포렌식 증거로 확인함
• 이 사건은 이탈리아 Giorgia Meloni 총리 정부가 비판적인 언론인이나 시민 사회 인사를 감시하는 데 관여했는지에 대한 관심이 집중되는 계기가 되며, 민주 국가에서도 상업용 스파이웨어 남용 우려가 커지는 배경이 됨
• 유럽연합 집행위원회는 “언론인과 정치적 반대자 등 시민의 데이터를 불법 접근하려는 시도는 확인될 경우 용납 불가”라는 입장임

민간 스파이웨어 산업의 문제점

• Paragon Solutions는 도덕적인 민간 스파이웨어 공급사로 자임하며 미국 정부와 계약을 맺었음
• 회사는 전 이스라엘 총리 Ehud Barak의 지원을 받고, 미국 플로리다 투자사 AE Industrial Partners에 최소 5억 달러에 매각되는 거래가 진행 중임
• Paragon의 Graphite 스파이웨어는 Meta(WhatsApp) 에 따르면 2개 대륙 90명에 달하는 WhatsApp 사용자를 공격 대상으로 삼았음
• Whatsapp 측은 Paragon 등 상업용 스파이웨어 기업의 책임 촉구와 이용자 데이터 보호 의지를 밝힘
• Meta는 취약점을 보완했고, 이스라엘 NSO Group을 상대로 1억 6800만 달러 손해배상 판결도 이끌어냄

구체적 표적 및 공격 방식

• Fanpage.it의 나폴리 지국장 Ciro Pellegrino와 편집장 Francesco Cancellato가 Paragon 스파이웨어의 표적이 됨
• Pellegrino는 최근 Apple로부터 자신의 iPhone이 공격받았다는 경고를 받았음
• Cancellato도 Meta로부터 Android 기기가 공격받았다는 알림을 받았으나, Graphite 직접 감염 증거는 아직 발견되지 않음
• Citizen Lab은 익명을 요구한 “저명한 유럽 언론인”이 iMessage를 통해 공격받은 사례도 발견함
• 이 공격은 사용자 행위 없이 기기가 감염되는 점이 특징이며, Apple은 문제를 패치함

시민단체 및 언론계 우려

• FNSI(이탈리아 언론인 노조) 측은 배경이 불명확한 언론인 감시가 민주 국가에서 용납될 수 없다며 EU의 개입을 촉구함
• Citizen Lab 연구진은 “문제는 산업 구조 자체임”이라며, 일부 기업의 일탈로 치부할 수 없음을 지적함

의회와 정부의 대응

• 이탈리아 의회 정보기관 감독위(COPASIR)는 조사를 통해 Fanpage 편집장 감시에 정부 연루 정황은 없다고 발표함
• 그러나 시민사회 인사에 대한 Graphite 등 도구 이용 감시는 법적 절차에 근거한 조치였음을 밝힘
• COPASIR 부위원장 Giovanni Donzelli는 Citizen Lab의 분석보다 의회 보고서가 더 신뢰할 만하다고 언급함
• 이탈리아 정부와 Paragon은 양국 관계 단절에 대해 각기 상반된 설명을 내놓음
  • Paragon은 이탈리아 정부가 조사 협력 제안을 거절해 공급을 중단했다고 주장
  • 이탈리아는 국가 안보 우려와 언론 보도 이후 Paragon과의 협력관계를 종료했다고 설명

미국 관련 계약 및 규제

• Paragon은 미국 정부와의 거래에 피해가 갈 수 있는 평판 타격을 막기 위해 적극적으로 해명함
• 미국 연방정부는 남용 사례가 드러난 상업용 스파이웨어 조달을 제한하는 행정명령(2023년 발효)을 유지 중임
• 미국 국토안보부는 2023년 ICE 지원 명목으로 Paragon에 1년간 200만 달러 계약을 체결함
• 미국 마약단속국(DEA)도 Graphite 사용 사례가 보도됐으며, 하원 정보위원장 출신 Adam Schiff 의원이 이에 문제를 제기함

결론 및 함의

• Paragon Solutions를 비롯한 민간 스파이웨어의 투명성, 감시 남용 방지 장치에 대한 국제적 우려가 확대됨
• 민주주의 국가에서 언론인 및 시민사회 인사 표적 감시가 현실화됨에 따라, 사회적·정치적 대응이 요구됨