FBI와 CISA는 러시아 정보기관과 연계된 해킹 조직이 Signal 사용자들을 대상으로 한 피싱 캠페인을 진화시켜, 이제는 Signal Backup Recovery Key까지 탈취해 피해자의 과거 메시지에 접근하고 있다고 경고하였다. 이번 경고는 2026년 3월 발표된 기존 권고의 업데이트로, 해커들이 엔드투엔드 암호화를 직접적으로 뚫지 않고 피싱을 통해 계정 탈취를 시도한다는 점을 강조한다. 공격자들은 Signal 공식 지원팀을 사칭해 백업 복구키를 요구하는 등 수법을 고도화하고 있다.
이 피싱 캠페인은 미국 및 국제 정부 관계자, 군인, 정치인, 언론인, 우크라이나 주요 인사 등 고가치 정보를 가진 인물들을 주요 표적으로 삼고 있다. FBI는 이 활동이 러시아 연방보안국(FSB) 국경수비대 및 러시아 군을 대리하는 인물들과 연계된 것으로 보고 있으며, 해당 캠페인은 UNC5792 및 UNC4221로 추적되고 있다. 공격자들은 Signal의 보안 정책 변경을 빙자해 사용자가 백업 복구키를 복사해 전달하도록 유도하며, 이 키를 확보하면 피해자의 대화 내역 전체에 접근할 수 있다.
FBI는 백업 복구키가 유출된 경우, 동일한 전화번호로 새 계정을 만들어도 기존 키가 무효화되지 않으므로 반드시 Signal 설정에서 새로운 복구키를 생성해야 한다고 강조했다. 또한, 공식 지원팀은 앱 내에서 인증코드나 복구키를 요구하지 않으며, 의심스러운 연락을 받았을 경우 FBI 인터넷 범죄 신고센터(IC3)나 CISA에 신고할 것을 권고했다.
요약
- 러시아 정보기관 연계 해커들이 Signal 사용자 대상으로 백업 복구키 탈취 피싱 캠페인을 진행 중이다.
- 주요 표적은 정부 관계자, 군인, 정치인, 언론인 등 고가치 인물들이다.
- 공격자는 Signal 지원팀을 사칭해 복구키를 요구하며, 이를 통해 과거 메시지에 접근한다.
- 복구키 유출 시 반드시 새로운 키를 생성해야 하며, 기존 백업은 이미 노출될 수 있다.
- 공식 지원팀은 인증코드나 복구키를 요구하지 않으므로, 의심스러운 연락은 즉시 신고해야 한다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.