AI 요약
보안 메신저 '시그널(Signal)' 사용자를 대상으로 대화 백업 데이터를 탈취하려는 정교한 신종 피싱 캠페인이 기승을 부리고 있습니다. 2026년 5월 27일, 워싱턴 포스트(Washington Post) 분석가 조시 로긴(Josh Rogin)은 해커들이 시그널 지원팀(Signal Support)을 사칭해 사용자들에게 접근하는 공격 화면을 공개했습니다. 해커들은 "동기화 문제로 백업된 대화와 미디어가 영구 손실될 위험이 있다"고 속이며, 온라인 백업에 접근할 수 있는 '복구 키(Recovery Key)' 공유를 유도했습니다. 인권단체 액세스 나우(Access Now)의 디지털 보안 헬프라인 책임자인 모하메드 알마스카티(Mohammed Al-Maskati)는 중국 반공산당 활동가뿐만 아니라 다른 지역의 활동가들도 유사한 메시지를 받았다고 밝혀, 공격 대상이 광범위하게 퍼져 있음을 시사했습니다. 시그널 측은 공식적으로 사용자에게 먼저 연락하거나 복구 키, PIN, 등록 코드 등을 요구하지 않는다고 강조하며 주의를 당부했습니다.
핵심 인사이트
- 조시 로긴(Josh Rogin)의 폭로: 워싱턴 포스트 분석가 조시 로긴이 2026년 5월 27일 트위터를 통해 시그널 지원팀을 사칭한 피싱 공격 화면 스크린샷을 공개하며 이 사실이 널리 알려졌습니다.
- 광범위한 표적: 이번 공격은 반중국공산당(anti-CCP) 활동가뿐만 아니라, 액세스 나우(Access Now)가 확인한 비중국계 활동가 최소 2명 이상에게도 전달되어 다양한 타겟을 겨냥하고 있습니다.
- 시그널 공식 입장: 시그널 측은 지난달(2026년 4월) 유사한 유형의 공격에 대해 경고했으며, 사용자에게 먼저 연락해 PIN, 등록 코드, 백업 복구 키를 절대 요구하지 않는다는 원칙을 밝혔습니다.
주요 디테일
- 사회공학적 피싱 기법: 해커들은 "동기화 문제(sync issue)로 인해 데이터가 영구 유실될 수 있다"는 경고 메시지를 보내 사용자의 불안감을 자극하고 신뢰를 악용했습니다.
- 백업 데이터 표적화: 이전의 피싱 공격들과 달리, 이번 캠페인은 피해자의 과거 대화 기록, 사진, 문서 등이 보관된 '백업 파일' 자체를 직접 노린다는 특징이 있습니다.
- 추가 공격 단계 필요: 모하메드 알마스카티에 따르면, 해커가 복구 키를 손에 넣는 것은 공격의 한 단계일 뿐이며, 실제로 백업 내용을 탈취하기 위해서는 최종적으로 피해자의 시그널 계정 자체를 탈취(Takeover)해야 합니다.
- 제보 채널 가동: 테크크런치의 로렌조 프란체스키-비키에라이(Lorenzo Franceschi-Bicchierai) 기자는 시그널 번호(+1 917 257 1382) 및 텔레그램(@lorenzofb)을 통해 관련 피싱 피해 사례를 제보받고 있습니다.
향후 전망
- 보안 메신저의 우수한 암호화 기술에도 불구하고 사용자의 실수를 유도하는 사회공학적 피싱 기법은 계속해서 정교해질 것이며, 활동가와 기자 등 민감 정보를 다루는 그룹의 각별한 주의가 요구됩니다.
- 시그널 등 보안 서비스들은 백업 보안을 강화하기 위해 다요소 인증(MFA)을 강화하거나, 앱 내 사용자 경고 메시지를 더 직관적으로 배치하는 패치를 도입할 가능성이 있습니다.