왓츠앱 스파이웨어 공격, 앱 보안의 한계를 드러내다

이탈리아 감시 기업, 가짜 왓츠앱 앱을 이용해 스파이웨어 배포

왓츠앱은 SIO라는 회사의 자회사인 이탈리아 감시 기업 ASIGINT가 약 200명의 사용자를 속여 스파이웨어가 탑재된 메신저 앱의 위조 버전을 다운로드하게 했다고 공개했습니다. 피해자들은 주로 이탈리아에 거주하고 있었으며, 이번 캠페인은 왓츠앱 자체의 기술적 취약점이 아닌 소셜 엔지니어링에 의존한 고도로 표적화된 공격으로 묘사되었습니다.

왓츠앱은 피해를 입은 계정을 확인한 후 해당 사용자들을 플랫폼에서 강제 로그아웃시키고, 기기에서 사기성 애플리케이션을 찾아 삭제할 것을 촉구했습니다. SIO는 법 집행 기관 및 정보 기관과 협력하고 있다고 공개적으로 밝혔지만, 왓츠앱의 공개 발표는 이러한 주장을 검증하거나 지지하지 않았습니다.

이번 사건은 15개월 만에 왓츠앱의 모회사인 메타가 이탈리아와 연관된 스파이웨어 활동을 공개적으로 다룬 두 번째 사례입니다. 이러한 패턴은 해당 지역에서 운용되는 상업적 감시 도구에 대한 관심이 높아지고 있음을 시사합니다.

소셜 엔지니어링의 실제 모습

"소셜 엔지니어링"이라는 용어는 종종 기술적인 전문 용어로 취급되지만, 개념 자체는 단순합니다. 시스템을 직접 침입하는 대신, 공격자는 사람들을 조종하여 스스로 문을 열게 만드는 것입니다.

이번 사례에서 피해자들은 왓츠앱처럼 보이지만 실제로는 그렇지 않은 앱을 다운로드하도록 속았습니다. 이 사기 행위에는 가짜 다운로드 링크, 오해를 유발하는 안내문, 또는 신뢰할 수 있는 출처를 가장한 사칭 등이 복합적으로 사용되었을 가능성이 높습니다. 왓츠앱 자체 코드의 어떠한 취약점도 필요하지 않았습니다. 이 공격은 사람들이 눈앞에 보이는 것을 신뢰했기 때문에 성공했습니다.

이것은 중요한 차이점입니다. 기업이 소프트웨어 결함을 패치하면 기술적인 침입 경로가 차단됩니다. 하지만 소셜 엔지니어링 공격은 그러한 결함에 의존하지 않습니다. 이는 인간의 행동, 특히 친숙해 보이는 인터페이스를 신뢰하고 권위 있어 보이는 출처의 지시를 따르는 경향에 의존합니다.

어떠한 앱 업데이트도, 아무리 철저하더라도, 이 간극을 완전히 메울 수는 없습니다.

상업용 스파이웨어의 반복되는 문제

정부 및 법 집행 기관에 판매되는 상업용 감시 도구는 개인정보 보호 연구자들과 시민 자유 단체들 사이에서 지속적인 우려의 대상이 되어 왔습니다. 이러한 도구를 개발하는 기업들은 흔히 합법적인 수사 목적에 기여한다고 주장합니다. 그러나 비평가들은 동일한 도구가 범죄 활동과 무관한 언론인, 활동가, 변호사, 일반 시민에게 사용되어 왔으며 앞으로도 그럴 수 있다고 지적합니다.

ASIGINT와 SIO는 이 분야에서 익숙한 형태의 기업입니다. 스파이웨어를 은밀히 전달하기 위해 설계된 가짜 왓츠앱 앱의 존재는 감독 체계, 표적 선정 기준, 그리고 이번 캠페인을 규제한 법적 틀이 존재하는지에 대한 의문을 제기합니다. 왓츠앱의 공개 발표는 이러한 질문들을 직접적으로 다루지는 않았지만, 주요 플랫폼이 해당 기업을 공개적으로 지목하고 피해 사용자들에게 경고할 필요성을 느꼈다는 사실 자체가 주목할 만합니다.

이번 캠페인에 연루된 약 200명에게 이 경험은 위협이 자신이 선택한 앱의 결함에서 비롯된 것이 아니라, 전혀 다른 앱을 사용하도록 속은 데서 비롯되었다는 사실을 뼈저리게 상기시켜 줍니다.

이것이 여러분에게 의미하는 것

일반적인 왓츠앱 사용자가 상업용 감시 작전의 표적이 될 가능성은 낮습니다. 이러한 캠페인은 비용이 많이 들고 노동 집약적이며 특정 개인에게 집중되는 경향이 있습니다. 하지만 그 근본적인 방식, 즉 합법적으로 보이게 만들어 악성 앱을 설치하도록 속이는 수법은 국가 수준의 감시에만 국한된 것이 아닙니다. 이 전술의 변형들은 전 세계의 일상적인 피싱 캠페인과 사기 행위에서도 나타납니다.

왓츠앱 사례는 디지털 안전이 단순히 올바른 앱을 신뢰하는 문제만이 아님을 상기시켜 주는 유용한 사례입니다. 그 앱들이 어디에서 오는지에도 주의를 기울여야 합니다.

다음은 고려할 만한 실용적인 조치들입니다:

• 공식 출처에서만 앱을 다운로드하세요. 안드로이드의 경우 구글 플레이 스토어, iOS의 경우 앱 스토어를 이용하세요. 아는 사람이 보낸 것이라 해도 메시지로 전달된 링크를 통한 앱 설치는 피하세요.
• 설치 전에 확인하세요. 누군가 앱 다운로드 링크를 보냈다면, 링크를 따라가는 대신 해당 앱의 공식 웹사이트를 직접 확인하세요.
• 기기의 보안 기능을 활성화해 두세요. 대부분의 최신 운영체제는 미확인 출처의 앱에 대해 경고를 표시합니다. 이러한 경고에 주의를 기울이세요.
• 급박함을 조성하는 상황을 의심하세요. 소셜 엔지니어링 공격은 신중한 판단을 방해하기 위해 종종 긴박감을 조성합니다. 지시가 강압적으로 느껴진다면, 잠시 멈추세요.
• 앱 제공업체의 경고에 즉각 대응하세요. 왓츠앱은 피해 사용자들에게 선제적으로 연락을 취했습니다. 이용 중인 서비스에서 보안 문제와 관련하여 연락이 온다면, 이를 진지하게 받아들이고 안내에 따르세요.

이번 사건이 주는 더 넓은 교훈은, 어떤 단일 애플리케이션도 사용자를 대신하여 완전한 보안을 제공할 수 없다는 것입니다. 안전을 유지하려면 도구만이 아닌 습관이 필요합니다. 소프트웨어의 출처를 확인하고, 무언가 이상하게 느껴질 때 의심하는 태도는 모든 사용자가 활용할 수 있는 가장 효과적인 방어 수단 중 하나입니다.