유럽의회 페가수스(Pegasus) 스파이웨어 남용 조사위원회(PEGA위원회) 소속 스텔리오스 쿨로글루(Stelios Kouloglou) 그리스 저널리스트 겸 전 정치인이 2022년과 2023년 페가수스 스파이웨어로 휴대폰을 해킹당한 것으로 공식 확인됐다. 토론토 대학교 시민랩(Citizen Lab) 연구팀이 발표한 보고서에 따르면 쿨로글루는 정부의 스파이웨어 남용을 조사하던 유럽의원 중 스파이웨어 피해자로 공개 확인된 첫 사례다.
연구팀은 2022년 10월과 2023년 3월 두 차례 해킹을 추적했다. 공격자는 애플(Apple) 아이폰(iPhone) 보안 취약점을 악용한 '제로클릭(zero-click)' 익스플로잇을 사용해 쿨로글루의 동의 없이 개인 메시지, 위치 정보, 사진 등을 도용했다. 2022년 10월 해킹은 그가 입원 중이던 시기와 일치했고, 2023년 3월 해킹은 아테네에서 브뤼셀로 이동 중 위원회 청문회 기간에 발생했다. 이는 스파이웨어 남용 보고서 초안 작성 시점과 정확히 겹친다.
시민랩 연구팀은 구체적인 공격국을 특정하지 않았으나, 동일한 페가수스 탑재 이메일 주소가 유럽 언론인들을 대상으로 한 이전 캠페인에서도 사용된 점을 지적했다. 이는 공격자가 이스라엘 스파이웨어 업체 엔에스오(NSO) 그룹의 승인 하에 유럽 전역에서 감시 활동을 벌인 정부 고객일 가능성을 시사한다. 유럽연합(EU) 집행위원회와 NSO 그룹 모두 논평을 거부했다.
쿨로글루는 자신의 모든 개인정보가 도용당한 사실을 알게 되면서 분노를 느꼈다고 밝혔다. 그는 NSO 그룹을 상대로 소송을 제기할 계획이며 「민주주의, 인권, 부패 척결을 위해」 자신의 사건을 공개했다고 설명했다. 한편 바이든 행정부는 인권 침해 우려 스파이웨어의 정부 사용을 금지하는 행정명령으로 NSO 그룹의 미국 내 사용을 제한하고 있다.