FBI와 CISA, 러시아 정보기관 해커의 시그널 백업 복구키 탈취 신규 경고

러시아 정보기관 소속 해커들이 시그널(Signal) 사용자들의 백업 복구키(Backup Recovery Key)를 노리는 새로운 피싱 campaign을 펼치고 있습니다. 미국 연방수사국(FBI)과 사이버보안·인프라보안국(CISA)은 지난 3월 경고문을 보강해 이 같은 사실을 공개했습니다. 공격자들은 시그널 계정 탈취를 위해 사용자들에게 백업 기능을 켜도록 유도한 뒤, 복구키를 직접 입력하도록 유도합니다. 복구키를 확보한 공격자는 해당 계정의 과거 메시지 전체를 열람할 수 있으며, 계정을 완전히 장악할 수 있습니다. 더 심각한 점은 복구키가 한 번 탈취되면 새로운 계정을 만들어도 이전 키가 여전히 유효하다는 것입니다. 즉, 사용자가 복구키를 재발급하지 않는 한 공격자는 계속해서 메시지를 읽고 계정을 통제할 수 있습니다.

이번 campagna는 지난 3월에 발표된 경고문을 보완한 것입니다. 당시에도 유사한 피싱 공격이 확인됐지만, 복구키 탈취 단계가 추가되면서 피해 규모와 지속 가능성이 크게 악화됐습니다. FBI와 CISA는 이번 업데이트를 통해 UNC5792와 UNC4221이라는 두 개의 해킹 그룹명을 공개했습니다. 이들은 러시아 정보기관 산하 여러 부서와 연계된 것으로 추정되며, 특히 FSB 소속 요원들과 러시아 국경수비대 요원, 그리고 러시아 군부 산하 정보기관 요원들이 포함돼 있습니다. 공격 대상은 미국 및 국제 정부 관료, 군인, 정치인, 언론인, 그리고 우크라이나 관료 등으로, 이들을 대상으로 한 광범위한 계정 탈취가 이미 수천 건에 달한다는 것이 3월 경고문의 내용이었습니다.

공격자들은 주로 시그널과 왓츠앱(WhatsApp) 계정을 겨냥하고 있지만, 복구키 탈취 기법은 시그널에만 적용됩니다. 피싱 메시지는 시그널 지원팀을 사칭한 형태로 위장됩니다. 초기에는 SMS 인증코드나 계정 PIN을 요구하거나, 조작된 그룹 초대 링크를 통해 사용자의 장치에 악성 디바이스를 연결하는 방식이었습니다. 그러나 이번 신규 campaign에서는 사용자에게 백업 기능을 활성화하도록 유도한 뒤, 복구키를 직접 입력하도록 유도하는 방식으로 진화했습니다. FBI와 CISA는 두 가지sample 메시지를 공개했는데, 하나는 2단계 인증 도입을 가장한 메시지였고, 다른 하나는 메시지 손실 위험을 이유로 복구키 입력을 요구하는 내용이었습니다.

이번 공격은 시그널의 암호화 기술이나 앱 자체의 결함을 악용한 것이 아닙니다. 오히려 시그널의 정상적인 기능인 백업 및 복구 시스템을 악용한 사회공학적 공격(social engineering)입니다. 공격자들은 사용자의 신뢰를 얻기 위해 시그널 지원팀을 사칭하거나, 긴급한 상황으로 위장하는 등 다양한 심리적 유도 방법을 사용합니다. 복구키를 제공한 순간, 공격자는 해당 계정의 백업을 복원할 수 있으며, 개인 메시지와 그룹 메시지 기록을 모두 열람할 수 있습니다.不仅如此, 공격자는 새로운 계정을 만들어도 이전의 복구키를 이용해 계속해서 메시지를 읽고 계정을 통제할 수 있습니다. 이는 복구키가 새로운 계정에서도 유효하다는 점에서 특히 위험한 특징입니다.

FBI와 CISA는 복구키 탈취 공격을 예방하기 위한 가장 확실한 방법은 백업키를 재생성하는 것이라고 강조합니다. 복구키를 재생성하면 이전 키는 무효화되며, 공격자는 더 이상 백업을 복원할 수 없게 됩니다. 다만, 이미 탈취된 메시지나 과거 기록은 복구할 수 없으므로, 사용자는 복구키 재생성을 최대한 빨리 수행해야 합니다. 또한, 시그널에서 제공하는 2단계 인증(2FA)을 활성화하고, 알 수 없는 링크나 요청에 대해서는 항상 신중을 기해야 합니다. 특히, 시그널 지원팀을 사칭한 메시지나 전화에는 응답하지 않도록 주의해야 합니다.

이번 campagna는 지난해 말과 올해 초 네덜란드, 독일, 프랑스의 정보기관으로부터도 경고가 나온 바 있습니다. 네덜란드의 AIVD와 MIVD, 독일의 BfV와 BSI, 프랑스의 ANSSI 등은 러시아 해킹 그룹 UNC5792의 활동과 관련된 경고를 발표했습니다. 또한, 구글의 위협 인텔리전스 그룹(Threat Intelligence Group)은 UNC5792의 활동을 처음으로 문서화한 바 있습니다. 이처럼 국제적인 정보기관들이 연이어 경고를 발령한 것은 이번 campaign의 위험성이 그만큼 크다는 것을 시사합니다. 특히, 러시아 정보기관과 연계된 해킹 그룹이 전 세계적으로 활동하고 있다는 점에서, 보안 전문가들은 정부 관료, 군인, 언론인 등 고위험 대상자들에게 각별한 주의를 당부하고 있습니다.

FBI는 이번 campaign과 관련된 정보 제공자에게 최대 1천만 달러의 보상을 제공하는 'Rewards for Justice' 프로그램을 운영하고 있습니다. 이는 UNC5792와 관련된 정보에 대한 금전적 보상을 통해 국제적인 협력을 유도하려는 목적입니다. 특히, 러시아 정보기관의 해킹 활동에 대한 국제적인 공조가 강화되고 있는 만큼, 각국 정보기관과 보안 기관 간의 협력이 더욱 중요해지고 있습니다. 이번 campaign을 통해 드러난 것은, 단순한 기술적 취약점이 아니라 사회공학적 공격이 얼마나 강력하고 지속적인 피해를 입힐 수 있는지를 보여주는 사례라는 점입니다. 따라서 사용자들은 기술적 보안 조치뿐만 아니라, 인지적 보안(cognitive security)에도 주의를 기울여야 합니다.

시그널을 비롯한 메시징 앱 사용자들은 백업 기능을 사용하지 않는 것이 가장 안전하다는 의견도 있습니다. 그러나 백업 기능은 실수로 메시지를 삭제하거나 기기를 변경했을 때 유용한 기능입니다. 따라서 백업을 사용하기로 결정했다면, 복구키를 안전하게 관리하는 것이 무엇보다 중요합니다. 복구키는 절대로 타인에게 공유해서는 안 되며, 안전한 장소에 보관해야 합니다. 또한, 정기적으로 복구키를 재생성하는 습관을 들이는 것도 좋은 방법입니다. 복구키가 유출될 가능성이 있는 상황이라면, 즉시 재생성하여 이전 키를 무효화하는 것이 최선의 대응책입니다.

이번 campaign은 시그널 사용자뿐만 아니라, 메시징 앱 전반의 보안 위협을 재조명하는 계기가 되고 있습니다. 특히, 러시아 정보기관과 같은 국가 단위의 해킹 그룹이 일반 사용자를 대상으로 한 피싱 공격을 수행하고 있다는 점에서, 개인의 보안 의식 강화가 더욱 중요해졌습니다. 사용자들은 의심스러운 메시지나 링크에 절대 응답하지 말고, 공식 채널을 통해 확인하는 습관을 길러야 합니다. 또한, 2단계 인증을 활성화하고, 정기적으로 보안 설정을 점검하는 것도 필수입니다. 보안 전문가들은 이번 campaign을 계기로, 메시징 앱 사용자들이 보안에 대한 인식을 재고하고 실천에 옮겨야 한다고 강조하고 있습니다.

정부와 기업, 개인이 alike하게 보안 위협에 대응하기 위해서는 지속적인 교육과 정보 공유가 필요합니다. 특히, 고위험 대상자들은 보안 전문가의 지원을 받아 정기적인 보안 점검을 받는 것이 좋습니다. 또한, 보안 솔루션 제공업체들은 사용자들에게 실시간 위협 알림과 안내를 제공하는 등 보다 적극적인 대응을 보여야 합니다. 이번 campaign이 보여주듯이, 보안 위협은 constantly evolving하고 있으며, 사용자들은 이에 맞춰 끊임없이 보안 의식과 대책을 개선해야 합니다.只有这样，才能有效应对不断变化的网络威胁，保护个人和组织的信息安全。