페드로 산체스 스페인 총리 등 스페인 정부 고위 관료들의 스마트폰이 지난해 이스라엘산 스파이웨어 ‘페가수스’의 해킹 공격을 당한 것으로 확인됐다.

펠릭스 볼라뇨스 총리실 장관은 2일(현지시간) 긴급 기자회견을 열어 “명백한 불법행위로 허가받지 않은 개입이라는 것을 의심하지 않는다”면서 “사법적 권한을 가지지 않은 국가기관 외부의 소행”이라고 밝혔다.

스페인 국립암호센터의 기술보고서에 따르면 산체스 총리의 스마트폰은 지난해 5월 두 차례 해킹 공격을 당했다. 첫 번째 공격으로 산체스 총리 스마트폰에 저장된 2.6기가바이트 규모의 정보가 새어 나갔고, 두 번째 공격으로 130메가바이트 상당의 정보가 유출된 것으로 확인됐다.

마르가리타 로블레스 국방부 장관의 스마트폰도 페가수스 해킹 공격을 당했다. 로블레스 장관의 스마트폰은 지난해 6월 해킹을 당해 약 9기가바이트 상당의 데이터가 유출됐다.

페가수스는 이스라엘 보안기업 NSO가 만들었다. 회사 측 설명에 따르면 테러·범죄에 대응하는 국가 정보기관들을 위해 개발됐다. 하지만 외국으로 수출되는 과정에서 권위주의 국가 정보기관들이 자국민들을 감시하는 수단으로 악용되고 있다는 비판을 받았다.

페가수스는 설치를 위해 다운로드를 요구하거나 링크 클릭을 유도하지 않아 스파이웨어로 잘 인식되지 않는다. 운영체제를 가리지 않고 스마트폰에 침투할 수 있으며, 일단 설치되면 사용자는 스마트폰 카메라와 마이크를 켜는 등 기기를 마음껏 제어할 수 있다. 또 해킹 공격 대상의 위치를 파악하고 수신 메시지도 볼 수 있다. 텔레그램 혹은 왓츠앱 같은 암호화된 플랫폼을 통해 전송되는 메시지도 마찬가지다.

페가수스 해킹 피해를 주장하는 스페인 정부도 카탈루냐 지역 분리독립주의자들을 해킹했다는 의혹을 받고 있다. 토론토대 산하 사이버보안단체 시티즌랩의 분석에 따르면 카탈루냐 분리독립 주민투표가 통과된 2017년부터 2020년 사이 카탈루냐 분리독립 활동가와 변호사는 물론 선출직 관료 등 최소 65명의 스마트폰이 페가수스 해킹 공격을 당했다. 카탈루냐 지방정부는 스페인 국가정보센터(CNI)가 분리주의자들을 감시하고 있다고 비난하면서 의혹에 대한 상세한 해명과 책임자 처벌이 이뤄질 때까지 국가 당국과 관계를 보류하겠다고 선언했다.