FBI와 CISA는 러시아 해커들이 Signal 사용자들을 대상으로, 메시지 아카이브를 풀 수 있는 백업 복구 키를 피싱으로 빼내고 있다고 경고했다.
핵심 요점:
- 러시아 정보기관과 연계된 해커들은 단순 코드나 PIN이 아닌 시그널 백업 복구 키 자체를 노리고 있다.
- 탈취된 키 하나면 공격자는 백업을 복원해 개인·그룹 채팅을 읽고, 같은 전화번호에 계정을 계속 묶어둘 수 있다.
- 이 공격 캠페인은 사회공학과 정상 기능을 악용할 뿐, 시그널 암호화 자체를 공격하는 것은 아니다.
시그널 해커들
6월 26일에 공개된 최신 권고에 따르면, 러시아 정보기관과 연계된 행위자들이 자동 지원 계정인 것처럼 가장해, 표적에게 시그널 복구 키를 노출하도록 유도하고 있다.
이 공지는 3월 경고에는 없던 UNC5792와 UNC4221을 새로 지목하고, 이 활동을 FSB 국경수비대에 파견된 FSB 요원을 포함한 러시아 정보기관 그룹과 연관 짓는다.
캠페인 표적은 “높은 정보 가치”가 있다고 당국이 묘사한 인물들로, 현직 및 전직 미국·해외 정부 관계자, 군인, 정치인, 언론인, 그리고 우크라이나 당국자 등을 포함한다.
초기 버전 공격은 대상에게 인증 코드와 계정 PIN을 요구하거나, 가짜 그룹 초대 링크를 이용해 공격자의 기기를 계정에 연결하는 수법을 썼다.
새로운 버전은 사용자에게 시그널 백업을 활성화하고, 복구 키 화면을 연 뒤 그 키를 채팅창에 붙여 넣으라고 지시한다.
함께 읽기: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
FBI의 경고
FBI에 따르면, 수집된 예시 메시지 중 하나는 의무적 2단계 인증 도입 통지인 것처럼 꾸며졌고, 다른 하나는 메시지 손실을 막기 위해 긴급한 데이터 복구가 필요하다고 주장했다.
표적이 키를 공유하면, 공격자는 백업을 복원해 개인 및 그룹 메시지 기록을 읽고 계정을 장악할 수 있다. 피해자가 휴대폰을 바꾸거나 같은 번호로 새 계정을 만들어도, 키는 여전히 유효할 수 있다.
시그널 설정에서 새 키를 생성하면, 이전 키는 이후의 백업 다운로드에는 쓸 수 없게 되지만 이미 접근이 이뤄진 백업을 되돌릴 수는 없다.
이 전술은 시그널의 암호화나 앱 자체를 무력화하지 않는다. 피해자가 자신의 백업을 보호하는 자격 증명을 속아서 넘겨주기 때문에 통하는 방식이다.
미 국무부의 리워드 포 저스티스(Rewards for Justice) 프로그램은 UNC5792에 대한 정보에 최대 1,000만 달러의 포상금을 내걸고 있다.
Google Threat Intelligence Group은 2025년 초 UNC5792가 시그널의 연결된 기기(linked-device) 기능을 악용하는 사례를 문서화했으며, 이후 연구자들은 유사한 수법이 WhatsApp과 Telegram을 향해 사용되는 정황도 포착했다.
다음 읽기: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile