Signal·WhatsApp 노린 피싱 공격에서 백업 복구 키 탈취까지 수법 고도화
CISA 및 FBI “복구 키 유출 시 새 계정도 재탈취 가능” 경고

[보안뉴스 강초희 기자] 미국 정부가 러시아 정보기관과 연계된 것으로 알려진 두 해킹 조직에 대한 제보에 최대 1000만달러(약 136억원)의 포상금을 내걸었다.


미국 IT·보안 전문매체 SecurityWeek에 따르면, 공개적으로 UNC5792와 UNC4221으로 추적되는 이들 조직은 미국의 현직 및 전직 정부 관계자와 군 지휘부, 동맹국 인사, 언론인, 정치인, 우크라이나 주요 관계자 등을 표적으로 공격해 왔다.

미국 사이버보안 및 인프라 보안국(CISA)과 미국 연방수사국(FBI)는 지난 3월 공동 경보를 통해 이들이 상용 메신저 애플리케이션(CMA)을 노린 피싱 공격을 수행하고 있다고 밝힌 바 있다. 공격자들은 메신저 플랫폼의 공식 고객지원 계정을 사칭해 피해자에게 접근한 뒤, 링크 클릭이나 인증 코드 공유를 유도해 Signal과 WhatsApp 등의 메신저 계정을 탈취했다.

최근 CISA와 FBI는 이들의 공격 수법이 더욱 진화했다고 경고했다. 기존에는 계정 탈취에 집중했다면, 이제는 피해자에게 백업 복구 키까지 요구해 과거 대화 기록과 개인·그룹 채팅 내용까지 확보하려는 시도를 하고 있다는 것이다.

두 기관은 “피해자가 백업 복구 키를 실수로 공유하면 동일한 전화번호로 새 계정을 만들어도 해당 키는 계속 유효하다”며 “공격자는 이를 이용해 새 계정을 다시 탈취할 가능성이 있다”고 설명했다.

이미 탈취된 계정에서 공격자를 완전히 차단하려면 새로운 백업 복구 키를 생성해 기존 키를 무효화해야 한다. 다만 CISA와 FBI는 “새 키를 생성하더라도 공격자가 기존 계정의 백업 데이터를 이미 내려받았다면 이를 되돌릴 수는 없다”고 경고했다.

두 기관은 UNC5792와 UNC4221이 모두 러시아 정보기관(RIS)과 연계된 것으로 분석했다. 미국 정부의 Rewards for Justice 포털에서는 UNC5792를 러시아 연방보안국(FSB) 국경수비대, UNC4221을 러시아 군 정보기관과 각각 연관된 조직으로 지목했다.

미국 정부는 “이들은 사회공학 기법을 이용해 보안 메신저의 합법적인 기기 연결(Device Linking) 기능을 악용해 정부의 민감한 통신 내용과 연락처, 그룹 대화에 무단 접근하고 있다”고 밝혔다.

공격자들은 탈취한 계정을 이용해 다른 고가치 표적을 대상으로 추가 피싱 공격을 수행했으며, 일부 사례에서는 Signal의 그룹 초대 페이지를 조작해 공격자가 제어하는 기기를 피해자의 계정에 연결하기도 했다.

미국 정부는 UNC5792 조직원의 이름, 소재지, 인적사항 등 신원 확인에 도움이 되는 정보를 제공하는 제보자에게 최대 1000만달러의 포상금을 지급할 예정이다.

또한 이들의 러시아 정보기관과의 연계 관계를 비롯해 지원 조직, 공격 인프라와 도구, 자금 조달 방식, 금융 네트워크, 은행 계좌, 암호화폐 지갑 및 거래 내역 등에 관한 정보도 함께 제보받고 있다.

[강초희 기자(choh@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>