독일 기관, 정치인·군·언론인을 겨냥한 Signal 피싱 경고
Source: The Hacker News
Ravie Lakshmanan
2026년 2월 7일 – 위협 인텔리전스 / 사이버 스파이 활동
개요
독일 연방 헌법보호청 (Bundesamt für Verfassungsschutz – BfV)과 연방 정보보안청 (BSI)은 국가 지원 위협 행위자가 수행했을 가능성이 있는 악성 사이버 캠페인에 대해 공동 경고를 발표했습니다. 이 캠페인은 독일 및 유럽 전역의 정치, 군사, 외교 분야 고위 인사와 탐사 저널리스트를 Signal 메신저 앱을 통한 피싱으로 표적으로 삼고 있습니다.
“The focus is on high‑ranking targets in politics, the military, and diplomacy, as well as investigative journalists in Germany and Europe,” the agencies said. “Unauthorized access to messenger accounts not only allows access to confidential private communications but also potentially compromises entire networks.”
— Verfassungsschutz advisory (Feb 6 2026)
이 캠페인이 다른 점은?
- 악성코드가 전달되지 않으며 Signal의 취약점도 악용되지 않습니다.
- 공격자는 정식 Signal 기능을 악용하여 피해자의 채팅 및 연락처 목록에 은밀하게 접근합니다.
공격 체인
- Impersonation – 위협 행위자는 “Signal Support” 또는 Signal Security ChatBot이라는 챗봇으로 가장해 잠재 피해자에게 연락합니다.
- Social engineering – 피해자에게 Signal PIN(또는 SMS로 받은 인증 코드)을 요구하고, 요청을 무시하면 데이터가 손실될 것이라고 위협합니다.
- Account takeover – 피해자가 응하면 공격자는 해당 계정을 자신이 제어하는 기기에 등록하여 프로필, 설정, 연락처, 차단 목록에 접근합니다.
- 도난당한 PIN은 과거 대화를 보여주지는 않지만, 공격자가 들어오는 메시지를 가로채고 피해자 행세로 메시지를 보낼 수 있게 합니다.
- Further manipulation – 원래 계정에서 잠긴 상태가 된 피해자는 (여전히 가짜 지원 챗봇에 의해) 새로운 계정을 등록하도록 지시받습니다.
대체 감염 순서
- 공격자는 Signal의 device‑linking 기능을 악용합니다.
- 피해자는 악성 QR 코드를 스캔하도록 속아 공격자의 기기가 피해자의 계정에 연결됩니다.
- 피해자는 여전히 계정에 접근할 수 있지만, 공격자는 과거 45 일 동안의 메시지를 읽고 현재 진행 중인 채팅을 감시할 수 있다는 사실을 인지하지 못합니다.
보다 넓은 함의
- 현재 초점은 Signal에 맞춰져 있지만, 동일한 기법을 WhatsApp에도 적용할 수 있으며, 이 또한 기기 연결 및 PIN‑기반 2단계 인증을 지원합니다.
- 메신저 계정에 성공적으로 접근하면 그룹 채팅이 노출될 수 있어 전체 네트워크가 위험에 처할 수 있습니다.
Attribution
캠페인의 배후는 아직 밝혀지지 않았지만, 전술은 여러 러시아‑연계 위협 클러스터에서 사용된 것과 유사합니다:
- Star Blizzard – The Hacker News, Jan 2025
- UNC5792 (aka UAC‑0195) and UNC4221 (aka UAC‑0185) – The Hacker News, Feb 2025
2025년 12월, Gen Digital은 GhostPairing이라는 관련 캠페인을 보고했으며, 사이버 범죄자들이 WhatsApp의 기기 연결 기능을 악용해 계정을 탈취하고 사용자를 가장했습니다.
세부 사항: The Hacker News, Dec 2025
권고 사항
| Action | Why |
|---|---|
| “Signal Support” 계정과 절대 교류하지 말고 문자/이메일로 PIN을 제공하지 마세요. | PIN은 계정을 탈취하는 열쇠입니다. |
| 등록 잠금 활성화 (Signal 설정 → 개인정보 보호). | 다른 사람이 새 기기에 전화번호를 등록하는 것을 방지합니다. |
| 연결된 기기를 정기적으로 검토하고 인식하지 못하는 기기를 제거하세요. | 공격자가 지속적인 접근을 유지하는 것을 차단합니다. |
| 고위험 사용자(정치인, 언론인, 외교관)에게 이 피싱 수법을 교육하세요. | 성공적인 사회공학 공격 가능성을 낮춥니다. |
관련 지정학적 맥락
노르웨이 경찰 보안청(PST)은 최근 Salt Typhoon을 포함한 중국 지원 해킹 그룹들이 취약한 네트워크 장치를 이용해 노르웨이 조직을 침투했다고 비난했습니다. PST는 또한 러시아가 군사 목표와 동맹국을 면밀히 감시하고 있으며, 이란은 반체제 인사들을 감시하고 있다고 경고했습니다.
“중국 정보기관은 노르웨이 국민을 모집해 기밀 데이터에 접근하려 하고, 구인 게시판 광고나 LinkedIn을 통한 접근을 통해 ‘인간 소스’ 네트워크를 구축하도록 장려합니다.”
— PST 위협 브리프
이미지 출처: The Hacker News