다중 라이센스 할인 견적
컴퓨터 보안 러시아 해커, 암호화된 대화를 감시하기 위해 Signal의 '연결된 장치' 기능 악용

러시아 해커, 암호화된 대화를 감시하기 위해 Signal의 '연결된 장치' 기능 악용

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

사이버 보안 전문가들은 러시아 국가 지원 공격자가 Signal Messenger 계정을 해킹하여 비공개적이고 암호화된 대화를 실시간으로 도청하는 은밀한 해킹 캠페인을 밝혀낸 후 경각심을 높이고 있습니다.

Google의 한 부서인 Mandiant의 보안 연구원들은 최근 공개된 조사에서 여러 러시아의 고급 지속 위협(APT) 그룹이 Signal의 "연결된 장치" 기능을 손상시키는 강력한 방법을 개발했다고 경고했습니다. 이 기능은 사용자가 보안 메시징 앱을 여러 대의 휴대전화, 태블릿 또는 컴퓨터에서 동기화할 수 있게 해주는 핵심 기능입니다.

하지만 이러한 편의성이 위험한 무기로 왜곡되고 있습니다. 해커는 연결된 장치를 악용하여 Signal의 종단 간 암호화를 깨지 않고도 피해자의 계정에 눈에 띄지 않게 침투하여 암호화된 메시지를 모니터링할 수 있습니다. 액세스가 확보되면 모든 메시지가 공격자에게 직접 복사되며 대상은 이를 전혀 알지 못합니다.

공격 작동 방식: QR 코드 피싱 및 장치 하이재킹

해커의 방법은 속임수에 의존합니다. 피해자는 합법적인 Signal 그룹 초대나 기기 페어링 지침처럼 보이는 악성 QR 코드를 스캔하도록 속습니다. 스캔이 완료되면 공격자의 기기는 피해자의 Signal 계정에 "연결된 기기"로 비밀리에 추가됩니다.

그 순간부터 모든 메시지(송신 및 수신 모두)가 실시간으로 공격자의 시스템에 미러링됩니다. 이는 공격자가 이제 암호화를 깨지 않고 대화에 은밀하게 참여하는 공인 참여자가 되었기 때문에 Signal의 강력한 암호화를 우회합니다.

Mandiant 보고서는 다음 사항을 강조합니다.

  • 크렘린과 연계된 러시아 APT 그룹은 군인, 정치인, 언론인, 활동가 등 보안 통신을 위해 일반적으로 Signal에 의존하는 개인을 표적으로 삼는 피싱 공격에서 이 방법을 사용하는 것으로 나타났습니다.
  • 이러한 피싱 페이지는 종종 Signal의 공식 인터페이스를 모방하거나 우크라이나 군의 포병 유도 도구인 Kropyva와 같이 신뢰할 수 있는 앱인 것처럼 가장합니다.
  • 전장에서 러시아군은 탈취한 장치를 이용해 Signal 계정을 자국 서버에 연결해 정보를 수집하는 것이 적발됐습니다.

보이지 않는 액세스: 이 악용이 왜 그렇게 위험한가

이 공격의 가장 우려되는 측면 중 하나는 얼마나 조용히 작동하는가입니다. Signal 사용자는 일반적으로 새 기기가 계정에 연결될 때 눈에 띄는 알림을 받지 못합니다. 이를 통해 해커는 감지되지 않고 장기적인 감시를 유지할 수 있습니다.

Mandiant는 이 기술을 "초기 접근의 저시그니처 형태"로 설명하는데, 이는 흔적을 거의 남기지 않는다는 의미입니다. 피해자는 "연결된 기기" 설정을 적극적으로 확인하지 않으면 몇 달 동안, 심지어 그 이상 동안 자신의 사적인 대화가 적대적인 행위자에게 방송되고 있다는 사실을 알지 못할 수 있습니다.

더 광범위한 대상: WhatsApp과 Telegram도 위험에 처해 있습니다

Signal이 현재 초점이지만 Mandiant는 이러한 유형의 연결된 장치 공격이 Signal에만 국한되지 않는다고 강조합니다. 러시아 해커는 WhatsApp 및 Telegram을 포함한 다른 널리 사용되는 메시징 앱에 대해서도 유사한 전술을 배치하고 있습니다.

이러한 모든 앱은 여러 기기의 동기화를 허용하며, 이 과정에는 편의를 위해 QR 코드가 포함되는 경우가 많아 피싱을 통한 남용의 위험이 있습니다.

실제 세계 스파이 활동: 군사 및 정치적 목표

공격자의 주요 목표는 다음을 포함한 고가치 개인 및 그룹으로부터 정보를 수집하는 것으로 보입니다.

  • 우크라이나 군인들
  • 유럽 정치인들
  • 수사 기자
  • 인권 활동가들

특히 정교한 작전 중 하나는 러시아의 악명 높은 샌드웜 해킹 그룹이 전장에서 이 기술을 활용하는 것을 보았습니다. 적군의 휴대전화를 탈취한 후, 그들은 장치를 인프라에 연결하여 실시간으로 군 통신을 감시할 수 있었습니다.

당신이 침해당할 수 있는 징후

이 공격 방법은 침묵하도록 설계되었으므로 자체 검사가 중요합니다. 다음은 무단 액세스를 감지하고 방지하기 위한 몇 가지 단계입니다.

  1. 연결된 기기를 정기적으로 검토하세요: Signal 앱을 열고 설정 → 연결된 기기 로 이동한 다음 목록을 주의 깊게 살펴보세요. 익숙하지 않은 기기가 보이면 즉시 연결을 해제하세요.
  • 화면 잠금 활성화: 휴대전화에 길고 복잡한 비밀번호를 사용합니다. 이렇게 하면 누군가가 잠시 물리적으로 접근할 경우 기기를 연결하기가 더 어려워집니다.
  • 최신 정보 유지: 항상 Signal 및 기타 메시징 앱의 최신 버전을 설치하세요. 업데이트에는 공격 표면을 줄일 수 있는 보안 강화 기능이 포함되는 경우가 많습니다.
  • QR 코드에 주의하세요: 신뢰할 수 있는 출처에서 온 것처럼 보이더라도 예상치 못한 QR 코드는 의심의 눈초리로 다루세요. 스캔하기 전에 발신자에게 직접 그룹 초대장을 확인하세요.
  • 다중 인증(MFA) 사용: Signal 자체는 장치 연결을 위한 MFA를 지원하지 않지만, 스마트폰의 클라우드 백업 및 계정에서 2단계 인증을 활성화하면 추가적인 방어 수단을 제공할 수 있습니다.

    • Signal 사용자가 지금 해야 할 일

    Mandiant의 보고서는 어떤 앱도 악용에 면역이 없다는 것을 냉정하게 일깨워줍니다. 특히 방대한 자원을 가진 국가 행위자와 마주할 때 더욱 그렇습니다. Signal의 종단 간 암호화는 여전히 강력하지만, 이 공격은 인간의 행동과 앱의 기기 동기화 편의성을 악용하여 암호화를 우회합니다.

    민감한 직종에 종사하고 있거나 감시 위협이 활발한 지역에 거주하는 경우 Signal 보안 설정을 감사하는 것을 정기적인 습관으로 삼아야 합니다.

    보안 전문가들은 경계가 중요하다고 강조합니다.

    • 고위험 사용자 (군인, 언론인, 활동가)는 연결된 장치를 매주 확인해야 합니다.
    • QR 코드의 출처를 확실히 알지 못하는 한 스캔하지 마세요.
    • 의심스러운 메시지나 피싱 시도가 있으면 조직의 IT 팀이나 사이버 보안 제공업체에 신고하세요.

    침묵의 감시의 새로운 시대

    Signal의 "연결된 장치" 기능의 악용은 국가 지원 사이버 간첩 활동의 섬뜩한 진화를 보여줍니다. 흔적을 남기거나 시스템을 방해하는 맬웨어와 달리 이 방법은 조용히 작동하며 배경에 섞이면서 민감한 대화를 러시아 정보 기관으로 흘립니다.

    로드 중...