WhatsApp Ghost Pairing: Linked Devices의 조용한 남용

Source: Dev.to

이전 블로그에서는 WhatsApp 계정이 해킹당했는지 확인하는 방법과 일반적인 사이버 위협으로부터 계정을 보호하기 위한 방어책에 대해 다뤘습니다.

오늘은 여러분이 인지하지 못한 채 대화를 감시하고 엿볼 수 있는 특정 공격을 소개하려 합니다. 이 기법은 Ghost Pairing이라고 불립니다.

Ghost Pairing이란?

Ghost Pairing은 공격자가 공식 Linked Devices 기능을 이용해 자신의 기기를 여러분의 WhatsApp 계정에 몰래 연결하는 공격 벡터입니다. 공격자의 목적은 계정을 완전히 장악하는 것이 아니라, 여러분이 정상적으로 사용하도록 두면서 다음을 수행하게 하는 것입니다:

• 여러분이 주고받는 모든 메시지 열람
• 사진, 동영상, 문서 접근
• 여러분을 사칭해 연락처에 메시지 전송

Ghost Pairing 작동 방식

WhatsApp은 하나의 계정을 최대 네 대의 기기에 연결할 수 있도록 허용합니다. Ghost Pairing은 이 설계를 악용합니다. 이 공격은 WhatsApp의 암호화나 내부 보안을 목표로 하지 않으며, 사용자를 대상으로 인간 행동을 이용해 무단 접근을 얻습니다.

물리적 접근

전화기를 잠금 해제된 채로 방치하면 공격자는 다음을 할 수 있습니다:

• 인증 SMS 없이 여러분의 WhatsApp 계정을 자신의 기기에 연결
• 여러분은 로그아웃되지 않은 상태로 계정을 계속 사용
• 새로 연결된 기기에 대해 WhatsApp이 보내는 푸시 알림을 무시

원격 접근

이 경우 공격자는 물리적으로 전화기를 다루지 않고, 주로 사회공학을 통해 접근합니다:

• SMS로 받은 WhatsApp 인증 코드를 공유하도록 설득 (절대 공유하면 안 됩니다).
• 여러분의 연락처 중 한 명을 사칭해 인증 코드를 제공하거나 악성 링크를 클릭하도록 유도.
• “콘텐츠를 보려면 전화기를 인증하세요”라는 겉보기에 무해한 웹사이트에 유도해 인증 코드를 몰래 수집.

위험한 이유

Ghost Pairing은 다음과 같은 이유로 특히 위험합니다:

• 명백한 탈취가 없으며 계정이 정상적으로 작동합니다.
• 실시간 스파이 활동 – 메시지가 즉시 공격자의 기기로 동기화됩니다.
• 지속적인 접근 – 연결된 기기는 사용자가 직접 제거할 때까지 활성 상태를 유지합니다.
• 사기 수행에 최적 – 공격자는 여러분을 사칭해 연락처에 메시지를 보낼 수 있습니다.
• 낮은 기술 장벽 – 공격자는 공식 WhatsApp 기능만 이용하면 됩니다.

Ghost Pairing의 흔한 징후

다음 경고 신호에 주의하세요:

• 설정 → 연결된 기기에서 인식하지 못하는 기기가 표시됨.
• 열어보지 않은 메시지가 “읽음”으로 표시됨.
• 기억하지 못하는 메시지가 연락처에 전송됨.
• 마지막 확인에 비정상적인 활동 시간이 표시됨.

스스로를 보호하는 방법

기본 보안 수칙만 지키면 Ghost Pairing을 쉽게 방지할 수 있습니다:

• 전화기를 잠그고(PIN, 생체인식, 자동 잠금) 절대 방치하지 않기.
• 연결된 기기를 정기적으로 확인하고 낯선 기기를 제거하기.
• 새 연결된 기기에 대한 알림을 활성화하기.
• WhatsApp 계정에 2단계 인증(2FA)을 설정하기.