페가수스 스파이웨어, 당신의 스마트폰도 안전할까요? 이스라엘 NSO 그룹이 개발한 페가수스는 아이폰, 안드로이드 기기를 감염시켜 24시간 감시하는 강력한 악성코드입니다. 제로클릭 공격, 감염 경로, 타겟 및 피해 사례, 그리고 NSO 그룹의 입장까지 페가수스 스파이웨어의 모든 것을 파헤칩니다.
페가수스 스파이웨어 심층 분석- 감염 경로, 타겟, 피해 예방 방법

2021년 7월, 전 세계는 충격적인 소식에 휩싸였습니다. 파리에 본사를 둔 미디어 비영리 단체 ‘페가수스 프로젝트’가 이스라엘 기술 회사 NSO 그룹 고객들의 잠재적인 감시 대상 전화번호 5만여 개를 확보했다고 폭로했기 때문입니다. 이 목록에는 유명 언론인, 활동가, 정치인, 심지어 그들의 가족과 친구까지 포함되어 있어 파장은 걷잡을 수 없이 커졌습니다.
이 모든 논란의 중심에는 ‘페가수스(Pegasus)’라는 이름의 강력한 스파이웨어가 있습니다. 과연 페가수스는 무엇이며, 어떻게 우리의 스마트폰을 위협하는 걸까요?
페가수스 스파이웨어란 무엇인가?
페가수스는 이스라엘의 사이버 정보 회사 NSO 그룹이 개발하여 각국 정부 기관에 판매하는 침투형 해킹 소프트웨어, 즉 스파이웨어입니다. 사용자가 전혀 인지하지 못하는 사이에 스마트폰에 침투하여 기기를 24시간 감시하는 악성코드로, 민간 기업이 개발한 스파이웨어 중 가장 강력한 것으로 알려져 있습니다.

- 페가수스의 무서운 능력:
- 문자 메시지, 이메일 내용 복사 및 전송
- 사진 및 동영상 파일 수집
- 통화 내용 녹음
- 스마트폰 카메라를 원격으로 활성화하여 몰래 촬영
- 마이크를 원격으로 활성화하여 주변 대화 녹음
- GPS 위치 정보 추적 (현재 위치, 과거 이동 경로, 만난 사람 등 파악 가능)
한마디로, 페가수스에 감염된 스마트폰은 소유자의 모든 사생활을 감시하고 기록하는 완벽한 스파이 도구로 전락하게 됩니다.
페가수스의 교묘한 감염 경로: 제로클릭 공격의 위협
페가수스는 iOS나 안드로이드 운영체제를 사용하는 수십억 대의 스마트폰을 감염시킬 수 있는 능력을 갖추고 있습니다.
- 초기 공격 방식 (스피어 피싱): 2016년 처음 발견된 페가수스는 주로 문자 메시지나 이메일에 악성 링크를 포함시켜, 대상이 이 링크를 클릭하도록 유도하는 ‘스피어 피싱’ 방식을 사용했습니다.
- 진화된 공격 방식 (‘제로클릭’ 공격): 이후 NSO 그룹의 공격 능력은 더욱 고도화되어, 사용자의 어떠한 상호작용도 필요 없는 ‘제로클릭(Zero-click)’ 공격 방식으로 진화했습니다. 이는 스마트폰 운영체제나 앱의 아직 알려지지 않은 취약점, 이른바 ‘제로데이(Zero-day)’ 취약점을 악용하는 방식입니다. 제조사조차 모르는 보안 허점을 파고들기 때문에 사용자는 속수무책으로 당할 수밖에 없습니다.
페가수스의 주요 공격 통로 예시:
공격 대상 플랫폼 | 취약점 악용 방식 (예시) |
왓츠앱(WhatsApp) | 2019년, 제로데이 취약점을 악용하여 왓츠앱 영상 통화를 걸기만 해도 (수신자가 받지 않아도) 악성 코드가 설치되는 사례 발생. 약 1,400대의 기기가 감염된 것으로 추정. |
아이메시지(iMessage) | 애플의 아이메시지 소프트웨어 취약점을 이용하여 수억 대의 아이폰에 대한 백도어 접근 권한 확보 시도. |
기타 앱 | 애플의 사진 앱이나 음악 앱과 관련된 네트워크 트래픽에서 감염 징후가 발견되는 등, 다양한 일반 앱의 취약점을 지속적으로 탐색하고 있을 가능성 제기. |
물리적 접근 | 스피어 피싱이나 제로클릭 공격이 실패할 경우, 목표 대상 근처에 무선 송수신기를 설치하거나, 대상의 스마트폰을 직접 확보하여 수동으로 설치하기도 한다고 NSO 브로셔에 언급. |
국제앰네스티 보안 연구소의 클라우디오 구아르니에리는 “NSO 클라이언트들이 의심스러운 SMS 메시지 방식은 대부분 포기하고 더욱 미묘한 제로클릭 공격으로 전환하면서, 목표물이 감염 사실을 알아차리기가 훨씬 더 복잡해지고 있다”고 설명했습니다. 특히 아이메시지나 왓츠앱처럼 기본으로 설치되어 있거나 매우 널리 사용되는 앱을 공격 대상으로 삼는 것은, 페가수스가 성공적으로 감염시킬 수 있는 스마트폰의 수를 극적으로 증가시키기 때문에 매우 치명적입니다. 앰네스티 연구소는 2021년 7월에도 최신 버전의 iOS를 실행하는 아이폰에서 페가수스 공격이 성공한 흔적을 발견했다고 밝혔습니다.
페가수스 감염, 어떻게 알아챌 수 있을까?
과거에는 페가수스 감염 시 스마트폰에 일부 흔적이 남기도 했지만, NSO 그룹은 소프트웨어를 탐지하기 어렵게 만드는 데 상당한 노력을 기울여 왔습니다. 보안 전문가들은 페가수스의 최신 버전이 스마트폰의 하드 드라이브가 아닌 휘발성 임시 메모리에만 저장되는 것으로 의심하고 있는데, 이는 스마트폰 전원이 꺼지면 소프트웨어의 모든 흔적이 사라질 수 있음을 의미합니다. 즉, 감염 사실을 일반 사용자가 직접 식별하는 것은 매우 어렵습니다.
페가수스의 가장 큰 문제점 중 하나는 알려지지 않은 취약점을 악용한다는 점인데, 이는 보안 의식이 매우 높은 사용자라도 공격을 완벽하게 막을 수 없다는 것을 의미합니다.
페가수스 스파이웨어의 타겟은 누구인가?
페가수스 프로젝트가 공개한 5만여 개의 전화번호 목록에는 다양한 분야의 인물들이 포함되어 있었습니다.

- 주요 타겟: 정치인, 국가 원수, 기업 임원, 활동가, 언론인 (CNN, 뉴욕타임스, 알자지라 등 180여 명), 변호사, 학자, 의사, 검사 등 NSO 그룹 고객에게 관심 대상이 될 만한 인물들.
- 집중된 국가: 아제르바이잔, 바레인, 헝가리, 인도, 카자흐스탄, 멕시코, 모로코, 르완다, 사우디아라비아, 아랍에미리트 등 10개국에 많은 번호가 집중되어 있었습니다. (이들 10개국 모두 NSO의 고객이라는 증거 확인)
멕시코 언론인 세실리오 피네다 비르토의 전화번호는 그가 살해되기 한 달 전을 포함하여 목록에 두 번이나 등장했습니다. 그의 휴대전화는 범행 현장에서 사라져 포렌식 분석이 불가능했습니다. NSO 측은 그의 전화가 표적이 되었더라도 수집된 데이터가 그의 살인과 직접적인 관련이 있다는 의미는 아니라고 해명했습니다.
데이터 유출의 의미와 포렌식 분석 결과
유출된 5만여 개의 전화번호 목록은 NSO 그룹의 정부 고객들이 감시를 위해 사전에 선정한 잠재적인 목표물의 목록으로 추정됩니다. 목록에 번호가 있다고 해서 반드시 페가수스에 감염되었거나 감염 시도가 있었다는 것을 의미하지는 않습니다.

- 포렌식 분석: 국제앰네스티는 공격이 의심되는 스마트폰 67대를 분석한 결과, 23대가 실제로 감염되었고 14대는 침투 시도 정황이 있었습니다. (나머지 30대는 기기 교체 등으로 분석 불가)
- 분석 대상 중 15대는 안드로이드 기기였으나, 명확한 감염 증거는 발견되지 않았습니다. (안드로이드폰은 아이폰과 달리 포렌식 분석에 필요한 정보를 충분히 기록하지 않는 경우가 많음)
- 아이폰 4대의 ‘백업 사본’을 토론토 대학 시티즌랩과 공유하여 분석한 결과, 페가수스 감염 징후를 확인했습니다.
NSO 그룹의 입장은?
NSO 그룹은 페가수스 프로젝트의 폭로에 대해 다음과 같은 입장을 밝혔습니다.
- 자신들은 고객 대상의 데이터에 접근할 수 없다고 주장했습니다.
- 5만이라는 숫자는 과장되었으며, 해당 목록이 페가수스를 사용하는 정부가 목표로 삼은 번호 목록이 될 수 없다고 반박했습니다.
- 해당 목록은 NSO 그룹 고객들이 다른 목적으로 사용했을 수 있는 더 큰 숫자 목록의 일부이거나, 누구나 검색할 수 있는 오픈 소스 시스템(예: HLR 조회 서비스)에서 유출된 데이터일 수 있다고 주장했습니다.
- 목록에 번호가 있다는 사실이 페가수스를 사용한 감시 대상으로 선택되었음을 의미하지는 않는다고 재차 강조했습니다.
HLR 조회 데이터란? HLR(Home Location Register)은 이동통신 네트워크 운영에 필수적인 데이터베이스로, 전화 사용자의 네트워크 및 일반적인 위치 정보 등을 기록합니다. 통신 및 감시 전문가들은 HLR 데이터가 감시 시도의 초기 단계에서 전화 연결 가능 여부 등을 식별하는 데 사용될 수 있다고 말합니다. NSO 클라이언트의 페가수스 시스템에는 인터페이스를 통해 HLR 조회를 수행할 수 있는 기능이 있는 것으로 확인되었습니다.
자주 묻는 질문 (FAQ)
- Q: 일반인도 페가수스 스파이웨어의 공격 대상이 될 수 있나요?
A: 페가수스는 주로 정부 기관을 대상으로 판매되며, 특정 개인이나 단체를 감시할 목적으로 사용되는 고가의 전문적인 스파이웨어입니다. 따라서 일반인이 무작위적인 공격 대상이 될 가능성은 매우 낮습니다. 하지만 유명인이거나 특정 단체에 소속되어 있는 등, 감시 가치가 있다고 판단될 경우에는 대상이 될 수도 있습니다. - Q: 내 스마트폰이 페가수스에 감염되었는지 어떻게 확인할 수 있나요?
A: 앞서 언급했듯이, 페가수스 감염은 일반 사용자가 직접 확인하기 매우 어렵습니다. 만약 자신이 고위험군에 속한다고 생각되거나 구체적인 감염 정황이 의심된다면, 국제앰네스티가 제공하는 **’모바일 검증 도구(MVT)’**와 같은 전문적인 포렌식 도구를 사용하거나 보안 전문가의 도움을 받는 것을 고려해 볼 수 있습니다. 하지만 이는 일반 사용자에게는 다소 어려운 과정일 수 있습니다. - Q: 페가수스와 같은 스파이웨어 공격을 예방하려면 어떻게 해야 하나요?
A: 제로데이 취약점을 이용하는 고도화된 공격은 완벽하게 예방하기 어렵지만, 다음과 같은 기본적인 보안 수칙을 지키는 것이 중요합니다.- 운영체제 및 앱 최신 버전 유지: 제조사에서 제공하는 보안 업데이트를 즉시 설치합니다.
- 의심스러운 링크 클릭 금지: 출처가 불분명한 문자 메시지나 이메일의 링크는 절대 클릭하지 않습니다.
- 신뢰할 수 없는 와이파이 사용 자제: 공용 와이파이 등 보안이 취약한 네트워크 사용을 최소화합니다.
- 강력한 암호 사용 및 이중 인증 활성화: 계정 보안을 강화합니다.
- 정기적인 데이터 백업: 만일의 사태에 대비하여 중요한 데이터를 백업합니다.
페가수스 스파이웨어 논란은 디지털 시대의 감시와 프라이버시 문제에 대한 심각한 경고를 던지고 있습니다. 기술의 발전이 우리의 삶을 편리하게 만들지만, 동시에 새로운 형태의 위협을 가져올 수 있음을 잊지 말고 항상 경각심을 가져야 할 것입니다.
함께 볼만한 글
갤럭시 등 안드로이드 해킹주의. 새로운 멀웨어 MMRat의 위협과 대응 방법