독일 고위 인사 표적 시그널 계정 탈취 경고

독일 국내 정보기관은 시그널(Signal) 같은 메신저 앱을 통한 피싱 공격으로 고위 인사를 노리는 국가 지원 위협 행위자들에 대한 경고를 발령
이번 공격은 사회공학적 기법과 합법적 기능을 결합해 독일 및 유럽 전역의 정치인, 군 장교, 외교관, 탐사보도 기자들의 데이터를 탈취
이번 보안 권고는 연방헌법보호청(BfV)과 연방정보보안청(BSI)이 수집한 정보에 기반
두 기관은 이번 공격 캠페인의 특징이 악성코드 사용이나 메시징 서비스의 기술적 취약점 악용이 아니라고 밝혔습니다.
경고문에 따르면 공격자는 메시징 서비스 지원팀이나 지원 챗봇을 사칭하며 대상에게 직접 연락
목표는 피해자의 1:1 및 그룹 채팅, 연락처 목록에 은밀히 접근하는 것입니다.
이번 공격에는 두 가지 유형이 있습니다
계정 전체를 탈취하는 방식과 공격자의 기기에 계정을 연동해 채팅 활동을 감시하는 방식
첫 번째 유형에서 공격자는 시그널 지원 서비스로 속여 가짜 보안 경고를 보내 긴급함을 조성
이를 통해 대상은 시그널 PIN 또는 SMS 인증 코드를 공유하도록 유도되며 공격자는 이를 이용해 자신이 통제하는 기기에 계정을 등록
이후 계정을 탈취하고 피해자를 차단합니다.
두 번째 사례에서는 공격자가 그럴듯한 속임수로 대상에게 QR 코드 스캔을 유도

시그널

이는 계정을 여러 기기(컴퓨터, 태블릿, 휴대폰)에 추가할 수 있도록 허용하는 시그널의 합법적인 기기 연동 기능을 악용하는 것입니다.
결과적으로 피해자 계정이 악의적 행위자가 통제하는 기기와 연동하여 어떠한 경고 없이도 공격자가 채팅 내용과 연락처에 접근할 수 있게 됩니다.
시그널은 설정->연결된 기기에서 계정에 연결된 모든 기기를 표시하지만, 사용자들은 이를 거의 확인하지 않습니다.
이러한 공격은 시그널에서 관찰되었으나 해당 공지는 WhatsApp 역시 유사한 기능을 지원하며 같은 방식으로 악용될 수 있다고 경고합니다.
지난해 구글 위협 연구진은 샌드웜(Sandworm)과 같은 러시아 정부 연계 위협 집단이 QR 코드 페어링 기법을 사용했다고 보고
우크라이나 컴퓨터 비상 대응팀(CERT-UA) 역시 유사한 공격을 러시아 해커들의 소행으로 규명하며 WhatsApp 계정을 표적으로 삼았다고 밝혔습니다.
그러나 이후 사이버 범죄자를 포함한 다수의 위협 행위자들이 GhostPairing 같은 캠페인에서 이런 기법을 채택해 사기 및 사기 행위를 위해 계정을 탈취하고 있습니다.
독일 당국은 사용자들이 지원 계정이라고 주장하는 시그널 메시지에 답장하지 말 것을 권고
해당 메시징 플랫폼은 사용자에게 직접 연락하지 않기 때문입니다.
대신 이러한 메시지를 수신한 사용자는 해당 계정을 차단하고 신고할 것을 권장
추가 보안 조치로 시그널 사용자는 설정->계정에서 등록 잠금 옵션을 활성화할 수 있습니다.
활성화되면 누군가 사용자의 전화번호로 앱에 등록을 시도할 때마다 시그널은 사용자가 설정한 PIN을 요청합니다.
PIN 코드가 없으면 다른 기기에서의 Signal 계정 등록이 실패합니다.
등록에 필수적인 이 코드를 분실할 때 계정 접근 권한을 상실할 수 있습니다.
또한, 사용자는 설정->연결된 기기에서 Signal 계정에 접근 가능한 기기 목록을 정기적으로 검토하고 인식되지 않는 기기를 제거할 것을 강력히 권장
한국에서는 카카오톡 이나 텔레그램으로 공격하는 방법도 있을 것이니 언제나 조심을 하는 습관을