FBI가 밝힌 시그널 백업 복구키 노리는 러시아 해킹 위협, 어떻게 대응할까

러시아 정보기관 산하 해킹 그룹이 시그널 백업 복구키를 노리는 피싱 공격 campanha를 확산하면서 FBI가 긴급 경고를 발령했습니다. 이번 공격은 기존 시그널 계정 탈취 방식에서 한 단계 진화해, 사용자의 과거 메시지까지 접근할 수 있는 백업 복구키를 직접 노리고 있습니다. 특히 정부 고위직, 군인, 정치인, 언론인 등 고위험 대상자를 겨냥하고 있어 개인뿐 아니라 조직 차원의 즉각적인 대응이 요구됩니다.

시그널 백업 복구키가 왜 위험한가: 과거 메시지까지 노출되는 치명적 취약점

시그널은 메시지 내용 자체는もちろん, 첨부파일과 미디어까지 암호화해 저장하는 것으로 유명합니다. 하지만 백업 기능을 활성화하면 이 데이터들이 로컬 기기나 클라우드에 암호화된 상태로 저장되는데, 이 암호화 키가 ‘백업 복구키’입니다. 시그널은 이 복구키를 사용자가 직접 관리하도록 설계했는데, 이 키를 탈취당하면 공격자는 사용자의 동의 없이도 과거 메시지 전체를 복호화할 수 있습니다. FBI에 따르면 이번 공격은 단순히 인증 코드나 PIN을 가로채는 수준을 넘어, 이 복구키를 직접 요구하는 방식으로 진화했습니다. 즉, 사용자가 백업 기능을 사용 중이라면 공격자는 한 번의 실수로도 수년간의 대화 기록을 빼앗길 수 있는 셈입니다.

이 복구키는 시그널 설정 메뉴에서 ‘백업 설정 → 백업 활성화 → 복구키 보기’를 통해 확인할 수 있습니다. 문제는 이 복구키가 30자리 영숫자 문자열로 구성돼 있어, 사용자가 직접 타이핑하거나 스크린샷으로 저장하는 경우가 많다는 점입니다. 공격자들은 이를 노려 피싱 메시지를 통해 복구키 입력을 유도하거나, 가짜 지원 페이지로 유도해 복사-붙여넣기까지 유도합니다. 특히 시그널이 최근 ‘강제 2단계 인증’을 도입했다는 허위 메시지를 동원해 사용자의 경계를 무력화시키는 전략을 쓰고 있습니다.

러시아 해킹 그룹 UNC5792의 공격 패턴과 타겟

FBI와 CISA는 이번 공격을 UNC5792와 UNC4221로 지정된 러시아 정보기관 산하 해킹 그룹의 소행으로 밝혔습니다. 이 그룹은 주로 시그널과 같은 암호화 메시징 앱 사용자를 겨냥해, 가짜 ‘자동화 지원 계정’을 사칭한 피싱 메시지를 발송합니다. 초기에는 인증 코드나 계정 PIN 탈취에 주력했지만, 최근에는 백업 복구키 탈취로 공격 범위를 넓혔습니다. 특히 미국·유럽·우크라이나 정부 관계자, 군인, 정치인, 언론인 등 ‘고정밀 타겟’을 집중 공략하는 특징을 보입니다.

공격자들은 시그널이 ‘이란 및 구소련권 해커들의 공격 증가’를 이유로 ‘강제 2단계 인증’을 도입한다는 허위 메시지를 동원합니다. 이 메시지는 시그널의 이용 약관 및 개인정보 보호 정책이 업데이트됐다는 허위 사실을 포함해, 사용자의 신뢰를 악용합니다. 또한 백업을 활성화하지 않으면 메시지를 잃게 된다는 거짓 정보를 덧붙여 조급증을 유발합니다. FBI에 따르면 이러한 허위 메시지는 이메일, SMS, 인스턴트 메시지 등 다양한 채널을 통해 전파되며, 특히 우크라이나 현지에 있는 타겟에게는 로컬 언어로 번역된 메시지까지 사용됩니다.

피싱 메시지의 핵심 특징과 감지 방법

이번 공격의 핵심은 ‘시그널 지원팀을 사칭한 자동화 계정’이라는 점입니다. 실제 시그널은 사용자에게 복구키를 요청하지 않으며, 백업 설정 시 복구키를 직접 보여주는 방식으로만 안내합니다. 공격자들은 이 점을 악용해, “계정을 보호하기 위해 복구키를 입력하라”는 등의 메시지를 발송합니다. 특히 다음과 같은 특징을 공통적으로 보입니다.

첫째, 메시지 내용에 ‘강제 2단계 인증’, ‘이용 약관 업데이트’, ‘보안 위협 경고’ 등의 키워드를 포함해 위기감을 조성합니다. 둘째, 시그널 로고나 공식 색상을 모방한 디자인으로 정체를 위장합니다. 셋째, 복구키 입력 또는 복사-붙여넣기를 요구하는 링크가 포함된 경우가 많습니다. 넷째, 타임프레셔를 유도하는 문구(예: “24시간 이내 미입력 시 계정 정지”)를 삽입합니다.

사용자는 이러한 메시지를 받았을 때, 시그널 공식 앱 또는 웹사이트를 직접 방문해 알림이 있는지 확인해야 합니다. 시그널은 공식적으로는 백업 복구키를 요청하지 않으며, 복구키는 설정 메뉴에서만 확인할 수 있습니다. 또한 이메일이나 SMS로 전달되는 링크는 클릭하지 말고, 시그널 앱 내 알림 센터를 우선 확인하는 것이 중요합니다.

시그널 백업 관리 전략: 복구키 노출을 최소화하는 방법

시그널 백업 기능은 유용하지만, 복구키 관리가 미흡하면 공격에 취약해질 수 있습니다. 가장 안전한 방법은 백업 기능을 사용하지 않는 것이지만, 대부분의 사용자에게는 현실적이지 않죠. 따라서 다음과 같은 관리 전략을 권장합니다.

첫째, 백업 복구키는 절대 클라우드에 저장하지 말고, 오프라인(예: 종이, 암호화된 USB)에 보관하세요. 시그널은 복구키를 30자 영숫자로 표시하는데, 이 문자열을 스크린샷으로 저장하는 것도 위험합니다. 둘째, 백업 기능을 활성화하더라도, 백업 주기를 짧게 설정해 복구키 노출 위험을 줄이세요. 예를 들어 ‘매일’ 또는 ‘매주’ 백업으로 설정하면, 한 번의 공격으로 인한 피해 범위를 제한할 수 있습니다. 셋째, 백업 암호를 설정해 복구키 자체에 추가 보호 레이어를 두세요. 시그널은 백업 암호를 설정할 수 있도록 지원하는데, 이 암호는 복구키를 입력할 때 추가로 요구됩니다.

또한, 시그널 앱 내 ‘보안 및 개인정보 보호’ 설정을 정기적으로 점검하세요. ‘알 수 없는 링크 열기 차단’, ‘스크린샷 방지’ 등의 기능을 활성화하면 피싱 공격에 대응할 수 있습니다. 특히 ‘장치 링크’ 기능을 정기적으로 확인해, 자신이 모르는 기기가 계정에 연결돼 있지 않은지 점검해야 합니다.

조직 차원의 대응: 정부·기업·언론사에서 해야 할 일

FBI는 이번 공격이 고위험 타겟을 겨냥하고 있다고 강조했습니다. 특히 정부 기관, 군부대, 언론사, 정치 단체 등은 조직 차원의 대응이 시급합니다. 첫째, 직원들에게 시그널 사용 가이드라인을 제공하고, 백업 복구키 관리 교육을 실시하세요. 시그널은 업무용 메시징으로 널리 사용되지만, 개인용과 마찬가지로 보안 관리가 필요합니다. 둘째, 시그널 계정의 2단계 인증을 필수화하고, 백업 복구키를 조직 차원에서 관리·보관하세요. 셋째, 피싱 메시지 감지 시스템을 구축해, 위조된 알림이나 가짜 지원 메시지를 자동 차단하세요.

또한, 시그널 백업 데이터를 클라우드에 저장하지 말고, 사내 서버 또는 암호화된 저장소에 보관하는 것이 좋습니다. 복구키가 유출되더라도 조직 차원의 백업 시스템이 있다면 피해를 최소화할 수 있습니다. 마지막으로, 보안 사고 발생 시 신속한 대응을 위한 프로토콜을 마련하세요. FBI는 이번 공격을 UNC5792로 지정한 만큼, 러시아 해킹 그룹의 공격 패턴을 모니터링하고, 유사 공격 발생 시 즉각 보고할 수 있는 시스템을 구축해야 합니다.

기술적 보완책: 시그널과 타 암호화 앱의 보안 기능 활용

시그널은 자체적으로 강력한 보안 기능을 제공하지만, 사용자와 조직이 이를 충분히 활용하지 못하는 경우가 많습니다. 시그널은 ‘장치 링크’ 기능을 제공해, 계정에 연결된 기기를 실시간으로 모니터링할 수 있습니다. 정기적으로 이 기능을 확인해, 자신이 모르는 기기가 연결돼 있지 않은지 점검하세요. 또한 ‘스크린샷 방지’ 기능을 활성화하면, 공격자가 복구키를 스크린샷으로 저장하는 것을 방지할 수 있습니다.

타 암호화 메시징 앱(예: 왓츠앱, 텔레그램)도 비슷한 보안 기능을 제공합니다. 왓츠앱은 ‘백업 암호화’ 기능을 통해 클라우드 백업을 보호할 수 있으며, 텔레그램은 ‘비밀 채팅’ 기능을 통해 메시지를 서버에 저장하지 않고 기기 간에 직접 전송합니다. 조직에서는 이러한 대체 앱을 검토해, 시그널 외에 보안 요구 사항에 맞는 앱을 병행 사용할 수도 있습니다.

한편, 시그널은 최근 ‘강제 2단계 인증’을 도입했지만, 이 기능만으로는 복구키 탈취 공격을 완전히 방지할 수 없습니다. 2단계 인증은 계정 접근을 보호하지만, 백업 복구키를 탈취당하면 과거 메시지까지 접근할 수 있기 때문입니다. 따라서 2단계 인증과 백업 관리 전략을 병행해야만 완전한 보호를 기대할 수 있습니다.

앞으로의 위협 전망과 지속적인 모니터링 필요성

러시아 해킹 그룹의 공격은 앞으로도 진화할 가능성이 높습니다. 특히 백업 복구키를 노리는 공격은, 시그널이 메시지 암호화에 강점을 두고 있는 만큼, 공격자들이 새로운 취약점을 찾아낼 가능성이 큽니다. 또한, 인공지능을 활용한 피싱 메시지 생성 기술이 발전하면서, 공격자들은 더 정교한 위조 메시지를 만들 수 있게 됐습니다. 이는 시그널뿐 아니라 타 암호화 앱 사용자에게도 위협이 될 수 있습니다.

사용자와 조직은 이러한 위협에 대응하기 위해, 정기적인 보안 교육과 모니터링 시스템을 구축해야 합니다. 시그널은 자체적으로 보안 업데이트를 제공하지만, 사용자의 부주의로 인해 보안이 뚫릴 수 있습니다. 특히 백업 복구키 관리와 피싱 메시지 감지는 사용자 스스로가 책임져야 하는 부분입니다. 앞으로도 FBI와 CISA는 подоб한 위협에 대해 경고를 발령할 가능성이 높으므로, 관련 공지사항을 꾸준히 확인하고 즉각 대응할 준비를 해야 합니다.

결국, 시그널의 강력한 암호화는 사용자의 안전한 관리에 달려 있습니다. 백업 복구키는 한 번 유출되면 복구하기 어려운 만큼, 사용자는 보안 관리에 각별한 주의를 기울여야 합니다. 조직은 직원 교육과 보안 시스템 구축을 통해, 러시아 해킹 그룹의 공격으로부터 안전을 지켜야 합니다.