- FBI와 CISA가 3월 경고를 업데이트하며, 러시아 정보기관 소행으로 추정되는 해커 그룹이 신호(Signal) 메신저의 백업 복구 키를 표적으로 한 피싱이 식별됐다고 공개했다.
- 피해자가 복구 키를 한 번 넘기는 순간 공격자는 계정 백업을 복원해 1:1 및 그룹 메시지 기록까지 읽어낼 수 있으며, 키는 계속 유효해 재사용이 가능한 것으로 보고되었다.
- 연방기관과 고가치 표적을 중심으로 신호 사용자에게 2단계 인증 강화, 백업 복구 키 공유 거부, 공식 클라이언트 외 인증 흐름 주의가 권고된다.
신호 메신저의 보안 신뢰를 사실상 무력화하는 새로운 공격 표면이 확인됨에 따라, 메신저 보안은 이제 ‘암호화 알고리즘’만이 아니라 ‘계정 복구 경로’까지 점검해야 하는 국면에 접어들었다.
2026년 6월 26일 미국 연방수사국(FBI)과 사이버보안·인프라보호청(CISA)은 공동으로 사이버 보안 권고를 업데이트하며, 러시아 정보기관과 연계된 것으로 추정되는 해커 그룹이 암호화 메신저 신호(Signal) 사용자를 상대로 정교한 피싱 공격을 수행하고 있다고 밝혔다. 이번 경고는 지난 3월 발표된 기존 권고의 후속 조치로, 공격 표적이 단순 계정 로그인을 넘어 ‘백업 복구 키(Backup Recovery Key)’까지 확대되었다는 점에서 업계의 이목을 집중시키고 있다.
FBI·CISA 경고의 핵심 내용
FBI와 CISA가 공개한 권고문에 따르면, 공격자는 우선 정부·군·정책결정자와 관련된 고가치 표적을 대상으로 신호 계정 탈취를 시도한다. 기존에는 피싱을 통해 SMS 인증번호나 로그인 자격증명을 탈취하는 방식이 주를 이뤘으나, 최근 확인된 캠페인에서는 ‘백업 복구 키를 제출하라’는 한 단계가 추가된 것으로 드러났다. 기관 측은 해당 키가 한 번 노출되면 계정의 과거 백업 전체가 복원될 수 있어, 단순 접근 탈취를 넘어 메시지 기록의 완전한 열람이 가능해진다고 강조했다.
더 우려스러운 부분은 탈취된 복구 키가 즉시 폐기되지 않는다는 점이다. 한 번 공격자에게 넘어간 키는 인증 메커니즘이 회전하지 않는 한 계속 유효하며, 동일한 키로 재접속과 추가 메시지 수집이 가능한 것으로 보고됐다. 이는 공격자에게 사실상 ‘마스터키’를 건네주는 것과 동일한 효과로, 보안 전문가들은 기존 2단계 인증의 한계를 다시 한번 환기시키고 있다.
공격 메커니즘: 백업 복구 키를 통한 계정 완전 장악
신호 메신저는 대화 내용 자체의 종단간 암호화(E2EE)로 잘 알려져 있지만, 클라우드 백업과 복구 기능은 사용자 편의와 복원력을 위해 별도의 키 체계를 운용한다. 공격자는 이 지점을 노려 다음과 같은 흐름으로 계정을 장악하는 것으로 보고된다.
- 1단계 – 표적 접근: 공격자는 공식 도메인으로 위장한 피싱 사이트나 가짜 지원 포털로 유도한다. 가짜 URL은 신호의 실제 도메인( signal.org )과 유사한 문자열을 사용해肉眼 구분은 어려운 수준으로 제작된다.
- 2단계 – 자격증명 수집: 로그인 자격증명 또는 SMS 인증번호를 입력받아 1차 접근 권한을 확보한다.
- 3단계 – 복구 키 요청: ‘계정 보안 점검’, ‘백업 복원 검증’ 등의 명목으로 백업 복구 키(Backup Recovery Key)를 추가로 요구한다. 이 단계가 이번 업데이트의 핵심 변화점이다.
- 4단계 – 백업 복원 및 장악: 확보한 키로 공격자 측에서 계정 백업을 복원해 1:1 및 그룹 메시지 기록을 읽어내고, 향후 들어오는 메시지까지 실시간으로 수집한다.
이와 같은 흐름이 완성되면, 피해자의 신호 계정은 사실상 공격자에게 ‘통째로’ 넘어간 상태가 된다. 메신저 본연의 종단간 암호화가 제공하는 기밀성은 유지되더라도, ‘인증 주체’ 자체가 바뀌었기 때문에 새로운 메시지가 작성되는 순간부터 노출이 시작되는 것으로 분석된다.
왜 러시아 정보기관이 신호를 노리는가
신호 메신저는 외교·정보 커뮤니티 사이에서 비공식적인 통신 채널로 활용되어 온 것으로 알려져 있다. 러시아 정보기관의 경우, 우크라이나 전쟁 이후 다양한 메신저 플랫폼을 통해 정보를 수집해 온 것으로 알려져 있으며, 이번에 표적으로 삼은 ‘백업 복구 키’는 통상적인 메시지 가로채기보다 훨씬 정밀한 정보 접근 통로를 제공한다. 보고서에 따르면 공격자는 정책 결정자, 군·정보기관 관계자뿐 아니라 그들의 협업 파트너에 해당하는 2차·3차 표적으로까지 침투 범위를 확장하고 있는 것으로 보인다.
이러한 양상은 단순한 사이버 범죄가 아닌 국가 주도 정찰 활동의 전형적인 특징이라는 평가가 지배적이다. 즉, 국가 지원 해킹 그룹이 수행하는 장기 침투 작전의 일환으로 신호 메신저의 ‘계정 복구 체계’ 자체가 새로운 공격 표면으로 부상한 것이라는 분석이다.
한국 사용자를 위한 시사점
이번 경고의 직접적인 표적은 미국 연방기관과 고위 정책결정자이지만, 보고된 메커니즘상 한국 사용자들도 유사한 사회공학에 노출될 수 있다. 한국에서는 정치권, 공공기관, 언론사, 대기업 임직원 등을 중심으로 신호 메신저 사용이 늘고 있어, 사회공학 기법에 취약한 환경을 사전에 점검할 필요가 있다는 목소리가 높다. 특히 다음과 같은 실무적 조치가 권고된다.
내부 커뮤니케이션 채널 보안 강화 방향
- 기관·기업은 사내 메신저 보안 정책에 ‘백업 복구 키 관리 절차’를 명문화하고, 키를 개인이 별도의 오프라인 저장소에 분산 보관하도록 유도해야 한다.
- 고가치 정보를 다루는 임직자에 한해 메신저 2단계 인증(2FA)을 필수화하고, 공식 클라이언트 외 진입을 차단하는 MDM(모바일 기기 관리) 정책을 적용해야 한다.
- 외부 링크 클릭 시 사내 보안 게이트웨이를 통한 도메인 검증 절차를 의무화해 신호 공식 도메인( signal.org ) 외 경로를 차단해야 한다.
기관·기업에서 즉시 적용 가능한 체크리스트
| 점검 항목 | 권고 조치 | 우선순위 |
|---|---|---|
| 백업 복구 키 보관 위치 | 클라우드 메모·이메일이 아닌 오프라인 저장소로 이전 | 상 |
| 2단계 인증 활성화 여부 | PIN·생체 등 추가 인증 활성화 및 정기 재설정 | 상 |
| 신고 메신저 클라이언트 출처 | 공식 앱스토어 및 공식 사이트 외 설치 금지 | 상 |
| 의심 링크 보고 체계 | 피싱 의심 링크 발생 시 전사 즉시 공유 체계 가동 | 중 |
| 계정 로그 정기 모니터링 | 비인가 기기·비정상 로그인 시 자동 알림 설정 | 중 |
개인 사용자의 자가 점검 절차
- 신고 앱 내 ‘백업 복구 키’를 한 번도 발급받지 않았다면 지금 즉시 생성하고, 스크린샷이나 클라우드 메모가 아닌 종이 등 오프라인 매체에 기록한다.
- 어떠한 이유로도 ‘복구 키를 입력하라’는 안내가 메신저나 웹사이트에서 뜬다면 즉시 입력을 중단하고 공식 헬프센터( signal.org )를 통해 사실 여부를 확인한다.
- 본인 계정에 연결된 기기 목록을 정기적으로 확인해, 모르는 기기가 등록되어 있지 않은지 점검한다.
마치며
이번 FBI·CISA 경고는 ‘암호화된 메신저는 안전하다’는 막연한 신화를 다시 한번 점검해야 할 시점을 보여준다. 종단간 암호화가 메시지 내용 자체를 보호하더라도, 계정 복구 키와 같은 ‘인증 우회 경로’는 공격자에게는 그 자체가 최종 목표가 될 수 있다는 사실이 명확해졌다. 한국 정부와 기업, 그리고 개인 사용자 모두 메신저 보안을 ‘앱 설치 여부’의 차원이 아니라 ‘계정 복구 체계까지 포함한 종합 점검’의 관점에서 재설계해야 할 것으로 분석된다. The Hacker News 원문과 CISA 공식 권고 포털을 함께 참고해 정책과 절차를 최신 상태로 유지하는 것이 권고된다.
핵심 정리
- 신호 메신저의 ‘백업 복구 키(Backup Recovery Key)’가 러시아 정보기관 연계 해커의 새로운 주요 공격 표적으로 부상했다.
- 복구 키가 한 번 유출되면 계정 백업 전체가 복원되어 1:1·그룹 메시지 기록이 노출되며, 키는 회전하지 않아 재사용이 가능한 것으로 보고된다.
- FBI·CISA는 2단계 인증 강화, 오프라인 키 보관, 공식 클라이언트 외 인증 흐름 차단 등 다층적 대응을 권고하고 있다.
- 한국 기관과 사용자는 사내 보안 정책과 자가 점검 절차에 ‘복구 키 관리 항목’을 즉시 반영해야 하며, 그 영향은 단순 개인을 넘어 국가·산업 전반으로 확장될 가능성이 있는 것으로 분석된다.