FBI와 CISA는 러시아 해커들이 메시지 아카이브를 열 수 있는 백업 복구 키를 노리고 시그널(Signal) 사용자들을 피싱하고 있다고 경고했다.
핵심 내용:
- 러시아 정보기관 연계 해커들은 코드나 PIN뿐 아니라 시그널 백업 복구 키 자체를 노리고 있다.
- 탈취된 키는 공격자가 백업을 복원해 비공개 및 그룹 채팅을 읽고, 동일한 번호에 계정을 계속 연결한 채 접근을 유지하게 만든다.
- 이 공격 캠페인은 시그널의 암호화를 깨는 것이 아니라 사회공학과 정식 기능을 악용하고 있다.
시그널 해킹 수법
6월 26일 공개된 최신 권고문에 따르면, 러시아 정보기관과 연계된 행위자들은 자동화된 고객 지원 계정인 것처럼 사칭해 대상자들에게 시그널 복구 키를 노출하도록 유도하고 있다.
공지는 3월 경고에는 없던 UNC5792와 UNC4221을 새롭게 명시하고, 이들의 활동을 FSB 국경수비대에 파견된 FSB 요원들을 포함한 러시아 정보기관 그룹과 연계하고 있다.
캠페인 대상은 기관들이 “높은 정보 가치”가 있다고 표현한 인물들로, 현직 및 전직 미국·국제 공무원, 군인, 정치인, 언론인, 그리고 우크라이나 당국자 등을 포함한다.
초기 버전 공격에서는 대상자에게 인증 코드와 계정 PIN을 요구하거나, 공격자의 기기를 계정에 연결하기 위해 가짜 그룹 초대 링크를 사용했다.
최신 수법에서는 사용자에게 시그널 백업을 활성화하고 복구 키 화면을 연 뒤, 그 키를 채팅창에 붙여 넣으라고 지시한다.
함께 읽기: 클로드 페이블 5, 워싱턴의 Anthropic 갈등 완화로 복귀할 수도
FBI 경고
FBI에 따르면 한 예시 메시지는 의무적인 2단계 인증 도입 안내처럼 구성됐고, 또 다른 메시지는 메시지 손실을 막기 위해 긴급한 데이터 복구가 필요하다고 주장했다.
대상자가 키를 공유하면, 공격자는 그 백업을 복원해 비공개·그룹 메시지 기록을 읽고 계정을 탈취할 수 있다. 피해자가 휴대폰을 바꾸거나 같은 번호로 새 계정을 만들어도 이 키는 계속 유효할 수 있다.
시그널 설정에서 새 키를 생성하면, 이전 키는 향후 백업 다운로드에는 무효가 되지만 이미 접근된 백업을 되돌리지는 못한다.
이 전술은 시그널의 암호화나 앱 자체를 무력화하는 것이 아니다. 피해자들이 스스로 백업을 보호하는 자격 증명을 넘겨주도록 속았기 때문에 작동하는 것이다.
미 국무부의 ‘Rewards for Justice’ 프로그램은 UNC5792에 대한 정보를 최대 1,000만 달러까지 포상금으로 제시하고 있다.
Google Threat Intelligence Group은 2025년 초, 연구자들이 유사한 수법이 WhatsApp과 텔레그램을 겨냥하는 것을 목격하기 전에 UNC5792가 시그널의 기기 연결 기능을 악용한 사례를 문서화했다.