러시아, 독일 공무원 대상 Signal 피싱 공격의 배후로 지목

러시아, 독일 공무원 대상 Signal 피싱 공격의 배후로 지목

연방 장관, 연방의회 의원, 외교관 등 수백 명의 고위급 인사들의 Signal 계정이 침해된 후, 독일이 정교한 피싱 캠페인의 배후를 러시아 국가 지원 행위자로 공식 귀속했습니다. 독일 연방검찰청은 공식 간첩 수사를 개시했으며, 이번 사건은 최근 기억에 남는 독일 정치인을 겨냥한 국가 주도 사이버 침해 사건 중 가장 중대한 사례 중 하나로 평가받고 있습니다.

이 공격은 Signal의 암호화를 破하지 않았습니다. 대신, 패치하기 훨씬 더 어려운 것을 악용했습니다. 바로 인간의 신뢰입니다.

Signal 피싱 공격의 수법

공격자들은 Signal 지원 직원으로 위장하여 가짜 메시지를 보내고, 표적이 계정 인증 코드를 넘겨주도록 유도했습니다. 그 코드를 손에 넣은 해커들은 피해자의 Signal 계정을 공격자가 제어하는 기기에 연결할 수 있었고, 앱의 기본 암호화를 破할 필요 없이 실시간으로 비공개 대화와 연락처 목록에 완전한 접근 권한을 얻었습니다.

이 기법은 연결 기기 하이재킹(linked-device hijack)으로 알려져 있으며, Signal은 설계상 계정이 연결된 후 메시지를 읽는 데 비밀번호가 필요하지 않기 때문에 특히 위험합니다. 언론인, 활동가, 정부 관계자들 사이에서 Signal에 대한 신뢰를 만들어 온 암호화는 공격자가 연결된 기기를 제어하는 순간 사실상 우회됩니다.

여기서 얻어야 할 교훈은 Signal이 안전하지 않다는 것이 아닙니다. 아무리 잘 설계된 단일 보안 도구라도 자신의 자격 증명을 넘겨주도록 속은 사용자를 보호할 수 없다는 것입니다.

암호화 앱만으로는 충분하지 않은 이유

이 공격은 더 잘 알아야 할 전문가들을 포함하여 많은 사람들이 디지털 보안에 대해 생각하는 방식의 중대한 허점을 보여줍니다. 암호화된 메시징 앱은 전송 중인 데이터를 보호합니다. 소셜 엔지니어링, 손상된 엔드포인트, 또는 계정 수준의 조작에 대해서는 보호하지 못합니다.

상당한 자원과 작전상의 인내심을 가진 국가 지원 위협 행위자들은 기술적 계층이 침투하기 매우 어렵기 때문에 정확히 인간 계층을 표적으로 삼는 경향이 있습니다. 현대 암호화를 破하는 것보다 누군가가 인증 코드를 넘겨주도록 설득하는 것이 훨씬 더 쉽습니다.

이것이 보안 전문가들이 단일 도구에 의존하는 것보다 계층적 방어를 일관되게 옹호하는 이유입니다. 추가적인 보호 계층 하나하나가 공격자가 극복해야 할 장애물을 하나씩 더 만들어내며, 실제로 대부분의 공격자들은 강화된 표적에 자원을 낭비하기보다 더 쉬운 표적으로 이동합니다.

이것이 여러분에게 의미하는 것

이 글을 읽는 대부분의 사람들은 독일 연방 장관이 아닙니다. 그러나 이 캠페인에 사용된 전술이 고가치 정부 표적에만 국한된 것은 아닙니다. 인기 있는 앱과 서비스를 사칭하는 피싱 공격은 일반 사용자들이 직면하는 가장 흔한 위협 중 하나이며, Signal 사칭은 지난 2년간 여러 나라에서 문서화되었습니다.

독일 사례가 암호화된 메시징에 의존하여 민감한 커뮤니케이션을 하는 모든 사람에게 명확히 하는 것은 다음과 같습니다.

인증 코드는 계정의 열쇠입니다. Signal을 포함한 어떤 합법적인 서비스도 채팅 메시지나 이메일을 통해 인증 코드를 공유하도록 요청하지 않습니다. 누군가가 요청한다면, 그 요청은 사기입니다. 단호하게.

연결 기기는 실제 공격 표면입니다. Signal 계정에 연결된 기기를 주기적으로 검토하는 것(설정의 연결된 기기에서 찾을 수 있음)은 약 30초가 걸리며, 상당한 피해가 발생하기 전에 무단 접근을 발견할 수 있습니다.

이중 인증은 의미 있는 장벽을 추가합니다. Signal은 등록 잠금 기능을 제공하며, 새 기기에서 계정을 재등록하기 전에 PIN을 요구합니다. 이를 활성화하는 것은 가장 간단하고 효과적인 조치 중 하나입니다. 더 나아가, 모든 계정에서 SMS 대신 인증 앱을 2FA에 사용하면 공격자의 계정 탈취 비용이 크게 높아집니다.

기기 보안은 앱 보안만큼 중요합니다. Signal을 실행하는 기기가 악성 소프트웨어나 물리적 접근을 통해 침해된다면, 암호화는 거의 보호를 제공하지 못합니다. 운영 체제를 최신 상태로 유지하고, 강력한 기기 PIN이나 생체 인식을 사용하며, 사이드로드된 앱을 피하면 이 위험을 크게 줄일 수 있습니다.

네트워크 수준의 인식도 중요합니다. 신뢰할 수 없는 공공 네트워크에서 민감한 계정에 접근하면 추가적인 노출이 발생합니다. 평판 좋은 VPN은 자신이 통제하지 않는 네트워크에 있을 때 트래픽 가로채기의 위험을 줄여줄 수 있지만, 완전한 해결책이 아닌 여러 계층 중 하나입니다.

더 큰 그림

독일의 Signal 피싱 공격은 세상에서 가장 강력한 암호화도 보안 인식 문화의 부재를 보완할 수 없다는 사실을 상기시켜 줍니다. 정교한 국가 행위자들이 국회의원과 외교관을 대상으로 인내심 있고 표적화된 소셜 엔지니어링 캠페인에 투자할 의향이 있다면, 민감한 개인적 또는 직업적 정보를 다루는 일반 사용자들도 자원은 덜하지만 동일한 위협의 유사한 형태에 직면합니다.

대응책은 공황이 아니며, Signal과 같은 도구를 포기하는 것도 아닙니다. Signal은 여전히 가장 안전한 메시징 옵션 중 하나입니다. 대응책은 소셜 엔지니어링을 실행하기 더 어렵게 만드는 습관과 계층적 방어를 구축하는 것입니다. 연결된 기기를 검토하고, 등록 잠금을 활성화하고, 요청받지 않은 인증 코드 요청을 자동적인 위험 신호로 취급하며, 보안 태세를 단일 앱이 모든 역할을 하는 것이 아닌 중첩된 안전장치의 연속으로 생각하십시오.