“파라곤 솔루션스, 왓츠앱 규정 위반 의혹으로 이탈리아 정부와 계약 종료해,” 2025년 2월 6일

이스라엘의 기술 기업 엔에스오 그룹(NSO Group)이 개발한 해킹 스파이웨어 페가수스(Pegasus)처럼, 이스라엘 보안 업체 파라곤(Paragon)의 그래파이트(Graphite)는 사용자가 인지하지 못한 채 휴대전화를 감염시킬 수 있다는 사실이 밝혀졌다. 감염 후, 스파이웨어 운영자는 기기를 완전히 통제할 수 있는데, 이때 왓츠앱(WhatsApp)과 시그널(Signal) 같은 채팅 애플리케이션을 통해 주고받은 메세지와 암호화된 채팅에도 접근할 수 있다는 것으로 드러났다.

해당 의혹은 이탈리아 의회에 큰 충격을 불러일으켰다. 한 의원은 “사실로 확인될 경우 이는 용납할 수 없는 기본권 침해이며 민주주의 자체에 대한 공격”이라고 비판했다.

매체 가디언(Guardian)은 파라곤 측이 이탈리아 당국과 계약을 해지한 사실을 최초 보도했다. 해지는 왓츠앱 측이 파라곤 스파이웨어가 수십 명 규모의 해킹 공격에 사용됐다고 발표한 지 일주일 만에 결정됐다. 다른 스파이웨어 업체처럼 파라곤 또한 정부 기관을 대상으로 자사 기술을 판매하여 이를 범죄 예방 용도로 사용할 것을 원칙으로 두고 있다. 그러나 이번 사건에서 어떤 정부 기관이 해킹 공격에 관여했는지는 여전히 불분명하다.

조르자 멜로니(Giorgia Meloni) 이탈리아 총리는 이번 의혹과의 연관을 부인하며 이탈리아의 정보기관 및 정부가 언론인 및 활동가를 대상으로 한 해킹 행위에 개입했다는 주장을 일축했다.

한 익명의 소식통은 가디언과의 인터뷰에서 파라곤이 “신중을 기하기 위해” 최초 해킹 의혹이 제기됐을 때 이탈리아와의 계약을 일시 중단했다고 말했다… 이후 계약을 완전히 해지한 시점은… 이탈리아 당국이 파라곤 계약상 윤리적 기준과 이용 조건을 위반했다고 판단한 뒤 계약을 해지한 것이라고 밝혔다.

가디언은 이탈리아 정부의 입장을 듣기 위해 대변인에게 접촉했다.

이탈리아 야당들은 정부의 입장에 회의적인 반응을 보였고 멜로니 총리가 즉각 의회에서 해명해야 한다고 촉구했다. 정부는 왓츠앱으로부터 해킹 공격의 영향을 받은 이탈리아인이 “7명으로 추정된다는 통보”를 받았다고 밝혔다. 피해자로 의심되는 다른 이들의 신원은 공개되지 않았다.

...

이탈리아 국영방송 라이(Rai) 감독위원회 위원장이자 오성운동(M5S)당 소속 상원의원인 바르바라 플로리디아(Barbar Floridia)는 “이번 사건은 국가 차원에서 사생활 보호와 언론 자유가 얼마나 위협받고 있는지를 보여주는 심각한 문제”라고 말했다.

...

민주당(Partito Democratico, PD) 소속이자 유럽의회 의원인 산드로 루오톨로(Sandro Ruotolo)는 “정부가 스파이 행위에 연루되지 않았다고 발표했지만 정작 가장 중요한 쟁점인 이탈리아가 파라곤 솔루션스의 서비스를 구입했는지 대해선 답을 내놓지 않았다. 계약을 채결했다면 어떤 서비스에 관한 것 이였고 그 목적은 무엇이었나?”라고 의문을 제기했다.

파라곤 측은 관련 논란에 고객과 관련된 사안은 공개적으로 논의하지 않는 것이 회사 방침이라며 답변을 거부했다.

...

왓츠앱에 따르면 해킹 피해자 90명은 특정 그룹 채팅에 초대된 후 악성 PDF 파일을 전달받았으며, 해당 파일을 클릭하거나 다운로드하지 않아도 악성 코드에 감염될 가능성이 높았다.

왓츠앱은 모든 해킹 시도들이 지난해 12월 토론토 대학교(University of Toronto)의 연구소 시티즌 랩(Citizen Lab)의 협조로 밝혀졌다고 전했다. 시티즌 랩은 시민사회를 대상으로 한 디지털 협박을 감시한다. 그러나 피해자들이 얼마나 오랫동안 감시를 당했는지, 그리고 각 사례별 정확히 어떤 정부 기관이 개입했는지는 여전히 불분명하다.

이번 해킹의 대상이 된 인물 중 한 명인 칸첼라토(Cancellato)는 지난해 멜로니 총리의 극우 청년 조직을 폭로한 탐사 보도를 진행한 바 있다. 또 다른 표적이 된 후삼 엘 고마티(Husam El Gomati)는 스웨덴에 거주하는 리비아 활동가이며 루카 카사리니(Luca Casarini)는 비정부기구 세이빙 휴먼스(Mediterranea Saving Humans)의 창립자다. 둘은 이탈리아 정부가 리비아 내 이주민 탄압에 연루됐다고 비판해 온 활동가들이다.

파라곤의 계약 해지 결정에도 불구하고 왓츠앱이 발견한 추가 해킹 사례에 대한 의문은 여전히 오리무중이다. 이탈리아 정부는 수요일 왓츠앱으로부터 이번 해킹 피해자가 벨기에, 그리스, 라트비아, 리투아니아, 오스트리아, 키프로스, 체코, 덴마크, 독일, 네덜란드, 포르투갈, 스페인, 스웨덴 등 유럽과 그외 국가들에서 발생했다 전해 들었다고 밝혔다.

파라곤은 최근 미국 기업 에이이 인더스트리얼 파트너스(AE Industrial Partner)에 인수된 것으로 알려졌다… 그러나 해당 기업은 관련 논란에 대한 질의에 응답하지 않았다.

파라곤은 지난해 미국 이민관세단속국(US immigration and customs enforcement agency, ICE)과 200만 달러 규모의 계약을 체결했다. 바이든 행정부 하에서 체결된 이 계약은, 이후 미국 정부가 연방기관의 스파이웨어 사용을 제한하는 행정명령 준수 여부를 검토하면서 중단된 상태다. 현재 계약 진행 여부는 알려진 바가 없고, ICE와 파라곤 측은 이에 대한 가디언의 질의에 답하지 않고 있다.