우크라이나·미국, 러시아 정보기관이 가짜 메시지 지원 사기로 통신 계정 탈취

러시아 정보기관이 우크라이나·유럽·미국의 정부관료·군인·정치인·활동가 대상 메시징 계정을 장기간에 걸쳐 탈취하고 있다고 우크라이나 보안청(SSU)이 밝혔다. FBI와 공동으로 진행된 수사에서 드러난 이 campaña는 가짜 지원봇을 사칭한 SMS 문자메시지를 핵심 수단으로 삼아 계정 접근 권한과 민감 정보를 탈취하는 방식으로 진행됐다. SSU는 “이 공격의 목표는 사용자들이 교환하는 군사·정치·경제 정보와 개인 데이터를 빼내는 데 있다”며 “공격 대상은 조직과 공직자뿐 아니라 일반 우크라이나 국민의 개인 계정까지 포함된다”고 설명했다. 공격 주체는 특정 해킹 그룹을 직접 명시하지 않았지만, 유사한 공격 패턴은 Signal·WhatsApp 사용자를 겨냥한 러시아 threat activity 클러스터 ‘Star Blizzard’, ‘UNC5792(UAC-0195)’, ‘UNC4221(UAC-0185)’로 추적된 바 있다. 이번 적발은 러시아 정보기관이 상용 메시징 앱(Commercial Messaging Application)을 겨냥한 복구키 탈취 phishing campaign을 진행 중이라는 FBI의 최근 발표와도 맞물린다.

이번 campaign의 핵심 수법은 메시징 플랫폼의 공식 지원봇을 사칭한 SMS 메시지를Victims에게 발송하는 것이다. 메시지에는 “계정 보안을 위해 로그인 정보 제출을 요청한다”는 내용이 포함되며, 사용자가 링크를 클릭하거나 인증번호를 입력하도록 유도한다. SSU는 “피해자는 메시지 내 링크를 클릭하거나 첨부파일을 열어서는 안 되며, QR 코드를 무작위로 스캔하거나 확인 코드·PIN·비밀번호·계정 복구키를 공개해서도 안 된다”고 경고했다. 공격자는 이렇게 확보한 인증정보를 바탕으로 타arget의 메시징 계정에 몰래 접근해 민감한 대화를 빼내거나 추가적인 phishing 공격을 연쇄적으로 수행할 수 있다. 특히, 메시징 앱의 ‘활성 세션’ 조회와 ‘알 수 없는 연결 로그아웃’ 같은 기본 보안 점검을 주기적으로 실시하고, 2단계 인증(2FA)을 활성화하는 것이 필수적이다. 이와 더불어, QR 코드를 무분별하게 스캔하지 말고, 신뢰할 수 없는 채팅에서 전송된 링크나 파일을 열지 말아야 한다.

공격자는 메시징 앱의 복구키 탈취를 최종 목표로 삼고 있다. FBI는 최근 러시아 정보기관 산하 cyber threat actor가 고위 Target을 상대로 복구키를 빼앗기 위한 지속적인 phishing campaign을 수행 중이라고 밝혔다. 복구키는 메시징 앱의 계정 복구 과정에서 사용되는 고유한 암호 문자열로, 이 키를 확보하면 계정 소유자 동의 없이도 로그인할 수 있게 된다. 특히 Signal과 WhatsApp과 같은 암호화 메시징 앱은 복구키가 계정 복구뿐 아니라 새로운 기기 동기화에도 활용되므로, 이 키가 유출되면 공격자는Victims의 모든 과거·미래 메시지를 탈취하거나 메시지를 위조·유포할 수 있다. FBI는 “복구키는 절대로 타인과 공유하거나 클라우드 백업에 저장하지 말고, 오프라인 저장소에 안전하게 보관하라”고 권고했다. 또한, 메시징 앱의 보안 설정에서 ‘복구키 숨기기’ 기능을 활성화하고, 복구키가 유출됐을 경우 즉시 계정 재설정 절차를 진행해야 한다.

이번 campaign의 또 다른 특징은 타arget의 신뢰를 악용한 spear-phishing 공격이다. 우크라이나 CERT-UA는 지난달 벨라루스 계열 threat actor ‘UNC1151(Ghostwriter/UAC-0057)’이 정부기관 대상 spear-phishing campaign을 수행했다고 밝혔다. 공격자는 이미 탈취한 계정을 바탕으로 ‘정보 유출 방지’나 ‘보안 업데이트’라는 허위 사유로 악성 첨부파일을 전송했으며, 이 파일이 ‘OYSTERBLUES’라는 정보 탈취 악성코드를 설치하는 수법이었다. OYSTERBLUES는Victims의 파일·브라우저 기록·쿠키·메시지·연락처 등을 수집한 뒤, C2 서버로 전송하는 역할을 한다. 이러한 공격은 초기 접근 권한을 확보한 공격자가 내부 네트워크로 침투해 추가적인 피해를 입히는 ‘사이드 무브먼트(横展開)’ 공격으로 이어질 수 있으므로, 조직은 계정 탈취 시 즉시 보안 팀에 보고하고, 의심스러운 활동 로그를 검토해야 한다.

메시징 계정 탈취는 군사·정치·경제적 이해관계가 얽힌 우크라이나 전쟁과 같은 지정학적 분쟁에서 더욱 빈발한다. 러시아 정보기관은 우크라이나 내외의 고위 Target을 겨냥해 장기간에 걸쳐 정교한 phishing·social engineering 공격을 수행해 왔다. 특히, 메시징 앱은 실시간 의사소통과 문서 공유가 빈번한 플랫폼인 만큼, 계정 탈취는Victims 개인뿐 아니라 조직 전체의 보안 위협으로 확대된다. SSU는 “러시아 정보기관이 우크라이나 국민의 개인 계정까지 노리는 이유는 민간인들 간의 통신이 군사 작전의 중요한 정보원이 될 수 있기 때문”이라고 설명했다. 이러한 공격은 단순히 정보 탈취를 넘어, 가짜 뉴스·프로파간다 유포를 위한 인프라로 악용될 가능성도 있다.

이번 campaign을 방어하기 위한 실질적인 대책은 ‘제로トラ스트(Zero Trust)’ 원칙에 기반해야 한다. 모든 메시징 세션과 연결을 주기적으로 점검하고, 2FA를 필수적으로 활성화하며, 복구키를 오프라인에 안전하게 보관해야 한다. 또한, QR 코드 스캔이나 링크 클릭 같은 즉각적인 액션을 지양하고, 의심스러운 메시지나 첨부파일이 도착했을 때는 즉시 보안 팀에 문의해야 한다. 조직의 경우, 메시징 앱의 ‘활성 세션’ 로그와 ‘장치 동기화’ 내역을 정기적으로 감사하고, 알 수 없는 IP 주소나 기기에서 로그인 시도를 감지하면 즉시 계정을 잠그거나 차단해야 한다. 특히, 2FA 미사용 계정은 즉시 활성화하고, 복구키가 유출됐을 경우 계정 재설정을 서두르는 것이 중요하다.

러시아 정보기관의 메시징 계정 탈취 campaign은 단순히 기술적 위협을 넘어, 현대 사이버 전쟁의 한 축으로 자리잡고 있다. 이러한 공격은 군사적·정치적 목표 달성을 위해 민간인·공직자·군인 할 것 없이 광범위한 Target을 노리며, 그 수법 또한 끊임없이 진화하고 있다. SSU와 FBI의 이번 공동 수사는 이러한 위협에 대응하기 위한 국제적 협력의 중요성을 강조한다. 개인은 물론, 조직과 정부 차원에서 Zero Trust 기반의 메시징 보안 체계를 강화하고, 지속적인 보안 교육과 모니터링을 통해 예방적 대응 체계를 구축해야 한다. 특히, 복구키와 인증정보 관리, QR 코드·링크 클릭 주의 등은 메시징 보안의 기본 중 기본이지만, 이 기본을 충실히 이행하지 않으면 심각한 피해로 이어질 수 있음을 명심해야 한다. 앞으로도 러시아 threat actor를 비롯한 국가 지원 cyber threat group은 메시징 앱을 비롯한 상용 통신 플랫폼을 끊임없이 노릴 전망이므로, 보안 의식과 기술적 대책 모두를 끊임없이 업데이트해야 한다.