Signal 사용자들이 해킹당하는 이유 (앱이 아닌 사용자가 문제)

Signal의 암호화는 문제없다. 표적은 사용자다.

Signal은 오랫동안 개인 메시지 앱의 표준으로 명성을 쌓아왔습니다. 종단 간 암호화는 수학적으로 견고하고, 코드는 오픈 소스이며, 프로토콜은 전 세계 보안 연구자들로부터 신뢰를 받고 있습니다. 그런데 러시아와 연계된 해커들이 유명 사용자들의 Signal 계정을 성공적으로 탈취하고 있다는 보도가 나오자, 자연스럽게 이런 질문이 떠오릅니다. Signal이 해킹당한 걸까요?

간단히 답하자면, 그렇지 않습니다. Signal의 암호화는 뚫리지 않았습니다. 뚫린 것은 훨씬 더 패치하기 어려운 것, 바로 인간의 신뢰입니다.

보도에 따르면, 공격자들은 정교한 피싱 캠페인을 통해 Signal 사용자들이 스스로 계정 접근 권한을 내주도록 유도하고 있습니다. 이 수법은 대개 공식적인 것처럼 보이는 가짜 보안 경고를 이용해 대상자가 새 기기를 자신의 계정에 연결하도록 유도하는 방식입니다. 일단 그렇게 되면, 공격자는 Signal 서버에 일절 접근하거나 암호화를 단 한 줄도 해독하지 않고도 피해자의 메시지를 실시간으로 그대로 받아볼 수 있습니다.

이 차이는 매우 중요합니다. 앱이 취약한 것이 아닙니다. 사용자의 행동이 취약한 것입니다.

실제 공격이 작동하는 방식

Signal은 연결된 기기라는 정식 기능을 지원합니다. 이 기능을 통해 사용자는 여러 대의 휴대폰이나 컴퓨터에서 동시에 자신의 계정에 접근할 수 있습니다. 공격자들은 악성 QR 코드나 링크를 생성해 이 기능을 악용합니다. 대상자가 해당 코드를 스캔하거나 링크를 클릭하면, 공격자의 기기가 피해자의 계정에 조용히 추가됩니다.

피싱 메시지는 긴박감을 조성하도록 설계되어 있습니다. 계정이 침해되었다거나, 신원을 확인해야 한다거나, 보안 업데이트를 즉시 적용해야 한다는 식의 내용을 담고 있습니다. 압박을 받는 고가치 표적일수록 서둘러 행동하고, 요청을 꼼꼼히 살펴볼 가능성이 낮아집니다.

연결이 이루어지면, 공격자는 아무것도 해독할 필요가 없습니다. 정상적으로 연결된 기기와 마찬가지로, 메시지가 도착하는 대로 일반 텍스트로 그냥 읽으면 됩니다. 또한 진행 중인 대화에서 피해자를 사칭할 수도 있으며, 이는 언론인, 활동가, 변호사, 정부 관계자, 그리고 민감한 커뮤니케이션을 다루는 모든 사람에게 심각한 결과를 초래할 수 있습니다.

이런 유형의 공격은 소셜 엔지니어링 공격 또는 승인된 접근을 통한 계정 탈취라고 불리기도 합니다. 제로데이 익스플로잇도, 서버 침해도, 암호학적 마법도 필요하지 않습니다. 오직 대상자가 단 한 번의 실수를 저지르는 것만으로 충분합니다.

이것이 여러분에게 의미하는 바

개인 정보 보호를 위해 Signal을 사용하고 있다면, 이 소식이 앱을 포기할 이유가 되지는 않습니다. Signal은 여전히 가장 신뢰할 수 있는 메시지 플랫폼 중 하나이며, 기반 암호화는 전송 중인 메시지를 계속해서 안전하게 보호합니다. 하지만 이번 상황은 암호화가 보안 체계의 한 층에 불과하며, 전부가 아니라는 사실을 상기시켜 줍니다.

이렇게 생각해 보세요. 자물쇠 전문가라고 주장하는 공격자에게 열쇠를 건네준다면, 아무리 튼튼한 금고 문도 소용이 없습니다.

대부분의 일반 사용자에게 이번 러시아 연계 캠페인으로 인한 위험은 낮습니다. 보고된 표적은 민감한 정치, 군사, 언론 업무에 관여하는 유명 인사들일 가능성이 높습니다. 그러나 이번에 사용된 수법은 결코 특이한 것이 아닙니다. 가짜 보안 경고를 이용한 피싱 공격은 모든 플랫폼에서 흔하게 발생하며, 연결된 기기 기능도 Signal만의 고유한 특성이 아닙니다.

어떤 위험 수준에 있든 개인 정보를 중시하는 사용자라면, 보안 전문가들이 민감한 시스템을 대하는 방식처럼 메시지 앱을 다뤄야 합니다. 즉, 다층적인 방어와 지속적인 주의가 필요합니다.

Signal 계정을 보호하기 위한 실질적인 조치

지금 당장 노출 위험을 줄이기 위해 할 수 있는 일들을 소개합니다.

연결된 기기를 정기적으로 감사하세요. Signal 설정 메뉴에서 현재 계정에 연결된 모든 기기를 확인할 수 있습니다. 낯선 기기가 보이면 즉시 제거하세요. 이를 일회성 작업이 아닌 정기적인 점검 항목으로 삼으세요.

보안 경고에는 깊은 의심을 품으세요. 정식 앱이 QR 코드를 스캔하거나 링크를 클릭해 계정을 확인하라는 긴급 메시지를 보내는 경우는 거의 없습니다. 그런 요청은 공식적으로 보이더라도 기본적으로 의심스러운 것으로 간주하세요.

Signal의 등록 잠금 기능을 활성화하세요. 이 기능은 새 기기에서 계정을 재등록하기 전에 PIN을 요구합니다. 계정 탈취를 시도하는 공격자에게 추가적인 장벽을 만들어 줍니다.

기기 자체를 보호하세요. Signal의 암호화는 전송 중인 메시지를 보호합니다. 잠금이 해제된 상태로 누군가에게 휴대폰을 건네주거나, 악성 소프트웨어에 감염된다면 그 보호는 끝납니다. 강력한 기기 비밀번호, 생체 인식 잠금, 그리고 운영 체제를 최신 상태로 유지하는 것 모두 중요합니다.

더 넓은 네트워크 보안을 고려하세요. 진정으로 민감한 커뮤니케이션을 다루는 사용자라면, 신뢰할 수 있는 VPN을 통해 트래픽을 라우팅하는 것이 익명성을 한 층 더 높여줍니다. 이를 통해 공격자가 활동을 프로파일링하거나, 위치를 파악하거나, 표적형 피싱에 앞서 흔히 이루어지는 사전 정찰을 수행하기 어렵게 만들 수 있습니다. VPN이 피싱을 막아주지는 않지만, 전반적인 노출을 줄이는 다층적 접근 방식의 일부입니다.

별도의 채널로 확인하세요. 알고 있는 연락처로부터도 의심스러운 메시지를 받았다면, 어떤 행동을 취하기 전에 완전히 별개의 채널, 즉 전화 통화, 대면 대화, 또는 다른 앱을 통해 요청을 확인하세요.

이번 Signal 피싱 공격에서 얻을 수 있는 교훈은 암호화된 메시지가 쓸모없다는 것이 아닙니다. 어떤 단일 도구도 완전한 해결책이 될 수 없다는 것입니다. Signal은 메시지를 탁월하게 보호합니다. 계정을 보호하려면, 공격자들이 기술을 완전히 우회하려는 방식, 즉 기술 대신 사람을 표적으로 삼는 방식에 항상 주의를 기울여야 합니다.