2025년 10월 17일, 미국 법원이 마침내 ‘핸드폰 해킹 프로그램’을 멈춰 세웠다.
메신저 앱 WhatsApp(모회사 Meta)을 해킹해 전 세계 이용자의 스마트폰을 감시했던 이스라엘 기업 NSO 그룹에 대해, 법원은 “영구적으로 모든 WhatsApp 관련 기술 사용을 금지한다”고 판결했다.
디지털 사생활과 암호화 기술을 둘러싼 6년간의 싸움이, 드디어 법의 이름으로 마침표를 찍은 순간이었다.
‘누가 내 휴대폰을 엿보고 있었는가’
2019년, WhatsApp은 이스라엘의 사이버보안 업체 NSO 그룹을 상대로 소송을 제기했다. 이 회사가 만든 ‘페가수스(Pegasus)’라는 스파이웨어는 사용자의 클릭 한 번 없이 스마트폰에 침투해 메시지, 통화, 위치 정보, 카메라·마이크까지 원격으로 제어할 수 있었다.
WhatsApp은 NSO가 자사 서버를 역설계(reverse-engineering)하여 변형된 앱을 만들고, 이를 통해 1,400여 명의 사용자의 휴대폰에 Pegasus를 설치했다고 주장했다.
법원은 이를 ‘컴퓨터사기남용법(CFAA)’과 ‘캘리포니아 데이터접근법(CDAFA)’ 위반으로 판단했다.
종단간 암호화를 뚫은 첫 해킹
WhatsApp의 가장 큰 강점은 ‘종단간 암호화(end-to-end encryption)’였다. 메시지를 보낸 사람과 받는 사람 외에는 누구도 내용을 볼 수 없다는 약속이, 서비스 신뢰의 핵심이었다.
그러나 NSO는 이를 정면으로 깨뜨렸다. ‘제로 클릭(Zero-Click)’ 공격 방식으로 사용자의 행동 없이도 휴대폰에 침투했고, 감염 사실조차 감지되지 않도록 설계됐다. 법원은 이를 단순한 보안 침해가 아닌, 기업의 신뢰·이용자 권리·기술주권의 침해로 규정했다.
법원의 판단 — “Pegasus는 명백한 불법행위”
캘리포니아 북부지방법원의 필리스 해밀턴 판사는 판결문에서 다음과 같이 밝혔다.
“NSO는 WhatsApp의 보안 체계를 반복적으로 우회했고, 사용자의 개인 정보를 무단으로 수집했다. 이는 단순한 기술적 침입이 아니라 이용자의 사생활과 기업의 핵심 가치를 훼손한 행위다.”
법원은 WhatsApp에 44만 달러의 손해배상을 인정하고, 1억6천7백만 달러의 징벌적 손해배상을 판결했으며, 추가로 NSO에 대해 ‘영구적 접근 금지 명령(Permanent Injunction)’을 내렸다.
이 명령은 NSO가 WhatsApp 플랫폼에 연결되거나 관련 기술을 개발·판매·테스트하는 행위 자체를 금지하는 내용으로, 사실상 Pegasus의 종말을 선언한 셈이다.
“국가 안보 vs 사생활 보호”
NSO는 법정에서 “Pegasus는 범죄자와 테러리스트를 추적하기 위한 합법적 감시 기술”이라 주장했다. 그러나 법원은 세 가지 이유로 이를 일축했다.
미국 내에서는 Pegasus가 법집행에 사용된 적이 없다.
미 상무부는 NSO를 여전히 ‘블랙리스트(Entity List)’에 등재 중이다.
Pegasus는 실제로 언론인·인권운동가·정치인 감시에 악용되었다.
결국 법원은 NSO의 “국가 안보 명분”을 인정하지 않았다.
이번 판결은 ‘암호화는 개인의 권리’이며, 정부의 도구가 될 수 없다는 원칙을 명확히 세운 첫 사례가 됐다.
감시산업의 ‘디지털 뉘른베르크’
이번 판결은 민간 감시산업 전체에 대한 첫 실질적 제재이자, “법이 기술보다 먼저 인간의 존엄을 보호한 사건”으로 평가된다.
국제 인권단체인 Access Now는 성명을 통해 “이번 판결은 스파이웨어 산업에 대한 법적 책임의 문을 열었다”고 논평했다.
테크 업계에서도 이번 사건은 “디지털 사생활 보호의 기준점”으로 받아들여지고 있다.
전문가들은 이번 판결이 앞으로의 AI 감시·얼굴인식 기술 규제에도 직접적인 선례가 될 것이라 전망한다.
미국은 멈췄고, 세계는 여전히 달린다
유럽연합(EU)은 2023년부터 스파이웨어 금지 지침을 도입했지만, 인도·멕시코·사우디아라비아 등은 여전히 Pegasus나 유사 기술을 ‘안보 목적’으로 사용 중이다. 반면, 미국은 이번 판결로 “디지털 권리는 국가 안보보다 우선한다”는 명확한 법적 입장을 세웠다.
이는 단지 WhatsApp의 승소가 아니라, ‘감시 기술의 시대’에 개인이 가질 수 있는 마지막 방패가 법이라는 사실을 보여준다.
전문가들은 Pegasus가 사라져도 AI 기반 스파이웨어의 진화는 계속될 것이라고 경고한다. 음성 합성, 영상 조작, 대화형 AI의 결합으로 “보이지 않는 감시자”는 더 똑똑하고, 더 은밀해지고 있다.
이번 판결은 그 시작점일 뿐이다. 암호화, 개인정보, 인공지능의 경계 위에서 법과 기술의 싸움은 이제 막 2라운드에 접어들었다.
법은 결국, 인간의 편에 섰다
법원은 이번 판결을 통해 “암호화는 기업의 방패이자 시민의 권리”라는 사실을 다시 확인시켰다.
Pegasus의 종말은 단지 한 기업의 몰락이 아니라, 사생활이 법의 언어로 보호받기 시작한 첫 순간이다.
이제 질문은 명확하다.
“다음 세대의 인공지능 감시 기술 앞에서도, 법은 여전히 인간의 편에 설 수 있을까?”
[저작권자ⓒ META-X. 무단전재-재배포 금지]
