WhatsApp, 새로운 NSO 스파이웨어 피싱 공격 차단했다고 밝혀.
WhatsApp은 사용자들이 보고한 사회공학 공격을 조사한 결과, NSO Group이 수행한 것으로 추정되는 스피어 피싱 캠페인을 탐지하고 차단했습니다.
NSO Group은 이스라엘의 상업용 스파이웨어 업체로, 정치인, 활동가, 언론인, 학자 등 “고위험” 인물들을 대상으로 사용된 고도화된 “Pegasus” 도구로 알려져 있습니다.
이 회사는 2021년 11월부터 미국 제재 대상 기업 명단에 올랐으며(제재 관련 기사), 외국 정부에 제공한 소프트웨어가 미국 내 인물·조직을 대상으로 사용된 데 대해 제재를 받았습니다. NSO의 도구는 또한 억압적인 정권에 의해 국경 밖 반체제 인사를 겨냥하는 데에도 활용되었습니다.
그럼에도 불구하고 NSO는 여러 차례 제로데이 취약점을 이용해 WhatsApp 사용자를 표적으로 삼았습니다(관련 기사).
WhatsApp의 모회사인 Meta는 미국 법원에서 NSO Group을 상대로 소송을 제기했으며, 2025년에 영구 금지 명령을 확보하고, 1,400건의 감염에 대한 책임 선언과 함께 $167,000,000 벌금을 부과받았습니다.
Meta의 최신 발표에 따르면, 이러한 이전 판결에도 불구하고 NSO Group은 특정 WhatsApp 사용자를 계속해서 표적으로 삼고 있다고 합니다.
공격자는 악성 링크를 클릭하도록 유도해 외부 웹사이트로 리다이렉션시키는 방식을 사용했으며, 이는 이전에 보고된 NSO 연관 1‑클릭 피싱 캠페인과 유사한 형태였습니다.
“우리는 사용자 보고를 조사한 뒤 NSO와 연계된 사회공학 시도를 성공적으로 차단했습니다,” 라고 Meta는 말합니다.
“그들은 악성 링크를 클릭하도록 속여 WhatsApp 외부의 웹사이트로 유도하려 했으며, 이는 이전에 보고된 NSO 연관 1‑클릭 피싱 캠페인과 유사합니다.”
“또한 그들이 WhatsApp에 테스트용 계정과 그룹을 만들고 있는 것을 포착했으며, 이를 차단했습니다.”
Meta는 탐지된 공격에 대한 지표(Indicators of Compromise)로 다음 도메인을 제시했으며, 이를 차단하겠다고 약속했습니다.
- ikhwancast[.]com
- ghazacast[.]com
- fr24cast[.]com
Meta는 이 행위가 2025년 법원이 내린 영구 금지 명령을 위반한다며, NSO Group이 WhatsApp이나 그 사용자를 표적으로 삼는 것을 금지하고 있습니다.
Meta의 발표는 NSO Group이 국가 안보에 미치는 위협을 강조하며, 법정에서 스파이웨어 회사 CEO가 WhatsApp 외의 접근 경로를 모색하고 있다고 밝힌 점과, 해당 기업이 미국에서 제재를 받고 있음을 다시 한 번 상기시켰습니다.
WhatsApp은 종단 간 암호화가 Pegasus 및 기타 스파이웨어로부터 사용자의 메시지와 통화를 효과적으로 보호한다는 점을 강조했으며, 최적의 보호를 위해 앱과 운영체제를 최신 버전으로 업데이트할 것을 사용자에게 권고했습니다.
상업용 스파이웨어 공격을 차단하거나 모바일 방어력을 강화하려면, Android 사용자는 ‘Advanced Protection’를, iOS 사용자는 ‘Lockdown Mode’를 활성화할 수 있습니다. 두 기능 모두 스파이웨어에 대한 공격 표면과 데이터 노출을 최소화하도록 설계되었습니다.
보안 팀은 성공적인 공격의 54%를 기록하지만, 알림을 받는 경우는 14%에 불과합니다. 나머지는 환경을 무시하고 진행됩니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.