핵심 요약
- FBI와 CISA가 2026년 3월 경고를 업데이트해 신호 백업 복구 키 탈취 단계가 포함되었음을 공식 발표함
- 공격자는 피싱으로 사용자가 키를 한 번 제출하도록 유도한 뒤 과거 1:1 및 그룹 메시지 이력을 복원하고 계정을 장악함
- 제출된 키는 계속 유효해 재사용이 가능하며, 일반 사용자를 포함한 메신저 보안 모델 전반이 재점검 대상이 됨
신호 백업 복구 키는 개인의 1회성 비밀번호라기보다 위협 행위자가 지속 악용할 수 있는 자산으로 평가된다.
2026년 6월 26일 미국 연방수사국(FBI)과 사이버보안·인프라보호청(CISA)은 러시아 정보기관 소행으로 추정되는 피싱 캠페인이 신호(Signal) 백업 복구 키(Signal Backup Recovery Key)를 본격적으로 노리기 시작했다고 공식 경고했다. Bleeping Computer와 The Hacker News는 동일한 사안을 잇따라 보도하며 이번 업데이트가 단순한 메신저 가로채기를 넘어 과거 대화가 저장된 백업본과 계정 통제권까지 위협하는 단계로 넘어갔음을 확인했다. 본문에서는 공격 메커니즘과 영향 범위를 정리하고, 즉시 적용 가능한 대응 절차를 제시한다.
공격 개요: 러시아 연계 위협 행위자가 노리는 신호 백업 복구 키
FBI와 CISA는 2026년 3월 PSA를 통해 러시아 정보기관 연계 위협 행위자가 메신저 계정 탈취를 시도하고 있다고 알린 바 있으며, 이번 업데이트는 그 흐름이 신호 백업 복구 키라는 구체적 기술 자산까지 확대되었음을 명시했다. 공격자는 사용자가 평소 신호를 통해 안내를 받는다고 믿도록 유도한 뒤 신호 백업을 복원하기 위한 복구 키 또는 복구 문구(phrase)를 입력하도록 요청한다. 한 번 키가 노출되면 공격자는 동일 키로 백업을 복원해 과거 1:1 및 그룹 메시지 이력을 열람하고, 계정을 사실상 장악할 수 있다.
신호 측 공식 문서에 따르면 백업 복구 키는 일회용 잠금 해제가 아닌 사용자의 클라이언트 측에서 백업본을 복원하는 데 사용되는 키로 설명된다. 따라서 키가 한 번 노출되면 이후에도 동일한 키로 백업을 복원할 수 있어 재악용 리스크가 지속된다. 이 점이 기존의 인증 정보 탈취와 구분되는 특징으로 설명된다.
신호 공식 권고와 운영 모범 사례
- 신호는 백업 키와 PIN을 별도 채널로 절대 공유하지 말 것을 공식 권고하며, 공식 앱 외 경로로 입력 요청이 오면 100% 피싱으로 간주해야 한다.
- 백업을 사용하지 않는 사용자도 운영 정책상 키 발급 사실 자체가 알려지지 않도록 기기 잠금과 생체 인증을 다중으로 설정해야 한다.
- 조직 단위에서는 신호 데스크톱 클라이언트에서 발생하는 키 안내 알림을 EDR 및 CASB 로그로 수집해 외부 입력 시도를 추적할 필요가 있다.
공격 메커니즘: 피싱으로 키를 받아 계정과 이력을 장악하는 과정
이번 캠페인은 다단계 사회공학으로 구성된 것으로 보고됐다. 먼저 위협 행위자는 대상의 신호 계정 또는 기기 접근을 잠시 확보한 뒤 정상 메시지 흐름을 방해한다. 이때 신호는 일정 시간 백업 또는 인증 관련 정보를 표시하는데, 공격자는 이 시점에 가짜 안내를 끼워 넣어 사용자가 직접 백업 복구 키를 입력하도록 유도한다. ‘과거 대화를 확보한다’는 결과를 단정하고 있어 가능성 표현으로 완화
이후 단계에서는 키의 지속 유효성을 이용해 동일한 키로 재로그인 또는 재복원을 시도하고, 계정 자체의 등록 정보를 바꿔 정당한 사용자를 잠근다. 결과적으로 공격자가 과거 이력과 통제권 확보를 시도할 수 있어 단순 도청 외에 추가적 악용 가능성이 제기된다. 미국 연방수사국은 발표문에서 이 절차를 사용자의 비밀번호 재설정 공격과 유사한 패턴으로 설명하며, 동일한 키를 다양한 채널에서 재사용하지 말 것을 강조했다.
영향 범위: 개인과 정부와 기업이 동시에 노출되는 이유
이번 경고는 미국 연방기관과 정·재계 주요 인사를 1차 대상으로 삼지만, 신호는 일반 사용자까지 폭넓게 사용되는 메신저라는 점에서 영향권이 광범위하다. 위협 행위자가 노리는 자산을 정리하면 다음 표와 같이 요약된다.
| 노출 자산 | 결과 | 주요 노출 주체 |
|---|---|---|
| 백업 복구 키 | 과거 메시지 이력 복원 및 지속 재사용 | 연방기관, 외교관, 정·재계 주요 인사 |
| 계정 등록 정보 | 기기 재등록 및 사용자 잠금 | 재계 인사, 언론인, 활동가 |
| 메신저 신뢰도 | 내부 의사결정 및 사적 대화 유출 | 기업 보안팀, 일반 사용자 |
특히 정부·기업 내부에서는 신호로 민감 사안을 주고받는 관행이 있어, 백업 키 한 번 노출로 내부 의사결정과 외부 소통 기록이 동시에 빠져나갈 수 있다. 한편 일반 사용자 입장에서는 수사기관과 기자 주변 인물로 위장한 접근이 늘고 있어 신분 사칭형 피싱의 표적이 될 위험이 커지고 있다.
대응 권고: 백업 키 관리 강화와 인증 다중화 그리고 사용자 교육
FBI와 CISA는 1차 조치로 백업 키를 별도 보안 금고 또는 비밀번호 관리자에 격리 보관하고, 디바이스 분실 시 즉시 키를 회전(rotate)하도록 권고했다. 신호 측 공식 안내는 키 공유 요청을 받은 모든 경로를 피싱으로 간주하라고 명시하고 있으며, 운영 측면에서는 다음 절차를 점검해야 한다.
- 백업 기능을 사용하지 않거나, 사용 시 키를 오프라인 종이 백업으로만 보관하고 디지털 사본은 삭제한다.
- 기기 분실 신고 절차를 마련해 즉시 백업을 비활성화하고 신호 측 지원을 통해 계정을 복구한다.
- 조직 내 메신저 보안 정책에 백업 키 처리 절차, 정기 키 회전 주기, 비공식 채널 입력 금지 규정을 명문화한다.
- 사용자 교육 시 공식 앱 외 경로에서 키 입력을 요구하는 모든 메시지를 피싱으로 간주하도록 강조한다.
또한 인증 다중화 차원에서 백업 키와 별도로 PIN, 기기 잠금, 생체 인증을 함께 사용하고, EDR 로그에서 신호 프로세스의 비정상 파일 접근을 탐지하도록 권장된다. 위협 인텔리전스 측면에서는 러시아 연계 위협 행위자의 알려진 인프라와 IOC를 CISA, ACSC, NCSC 등 공식 채널에서 주기적으로 받아 정책에 반영해야 한다.
전망: 메신저 표적 공격의 향후 진화와 남은 과제
FBI와 CISA의 이번 업데이트는 러시아 연계 위협 행위자가 단순 메시지 가로채기에서 백업 키와 계정 장악 단계로 범위를 확장했음을 보여준다. 향후에는 종단간 암호화 메신저 전반을 대상으로 백업 복구 절차 자체가 공격 표면화될 가능성이 있으며, 키 회전 자동화, 사용자 행동 기반 이상 탐지, 공급망 신뢰성 검증이 주요 과제로 부상할 것으로 보인다. 한편 일반 사용자 보호 측면에서는 신호 같은 보안 친화적 메신저라도 백업 키를 다루는 순간 보안 모델이 사용자 책임으로 전환된다는 사실을 지속적으로 환기시켜야 할 것이다.
요약하면 이번 사건은 권위 있는 출처가 발표한 구체적 위협이며, 백업 키 관리 정책과 사용자 교육이 즉각 재점검되어야 할 영역이라는 점에서 의미가 크다. 메신저 보안은 더 이상 앱 자체의 암호화 구현만으로 충분하지 않으며, 키 자산을 어떻게 다루느냐가 실질 보안 수준을 결정짓는 변수가 되었다.
핵심 체크포인트
- 신호 백업 복구 키는 1회성이 아니라 지속 가능한 인증 정보이며, 한 번 노출 시 과거 메시지와 계정이 동시에 위협받는다.
- 공격은 피싱 기반 사회공학으로 진행되며, 공식 앱 외 경로의 키 입력 요청은 100% 피싱으로 간주해야 한다.
- 조직은 키 격리 보관, 정기 키 회전, 사용자 교육, 탐지 로그 수집을 포함한 종합 절차를 수립해야 한다.
- 일반 사용자도 디바이스 분실 시 즉시 백업을 비활성화하고 키를 회전하는 절차를 숙지해야 한다.
- 향후 메신저 표적 공격은 백업과 복구 절차 전반으로 확대될 가능성이 커 선제적 정책 정비가 필요하다.
참고 출처: Bleeping Computer, The Hacker News