# 러시아 연계 위협 행위자들, Signal Messenger 적극 타겟팅

> Clean Markdown view of GeekNews topic #19320. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=19320](https://news.hada.io/topic?id=19320)
- GeekNews Markdown: [https://news.hada.io/topic/19320.md](https://news.hada.io/topic/19320.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-02-20T09:37:40+09:00
- Updated: 2025-02-20T09:37:40+09:00
- Original source: [cloud.google.com](https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger)
- Points: 1
- Comments: 2

## Topic Body

#### 러시아 연계 위협 행위자들이 Signal 메신저를 타겟으로 하는 활동 중   
  
- **Google 위협 인텔리전스 그룹(GTIG)** 은 러시아 국가 연계 위협 행위자들이 Signal 메신저 계정을 타겟으로 하는 활동을 관찰함. 이는 러시아의 우크라이나 재침공과 관련된 민감한 정부 및 군사 통신에 접근하려는 전시 요구에 의해 촉발된 것으로 보임. 이러한 전술과 방법은 앞으로 더 많은 위협 행위자와 지역으로 확산될 가능성이 있음.  
  
- Signal은 군인, 정치인, 기자, 활동가 등 감시와 첩보 활동의 일반적인 표적들 사이에서 인기가 높아, 민감한 정보를 가로채려는 적대자들에게 고가치 표적이 됨. 이 위협은 WhatsApp과 Telegram 같은 다른 인기 메신저 앱에도 확장됨.  
  
- Signal 팀과의 협력을 통해 최신 Signal 버전에는 유사한 피싱 캠페인에 대한 보호 기능이 강화됨. 최신 버전으로 업데이트할 것을 권장함.  
  
#### Signal의 "연결된 기기" 기능을 악용한 피싱 캠페인  
  
- 러시아 연계 행위자들은 Signal 계정을 손상시키기 위해 "연결된 기기" 기능을 악용함. 이 기능은 여러 기기에서 Signal을 동시에 사용할 수 있게 함. 악의적인 QR 코드를 통해 피해자의 계정을 행위자 제어 Signal 인스턴스에 연결하려 함.  
  
- 원격 피싱 작전에서는 악의적인 QR 코드가 Signal 리소스로 위장되어 사용됨. 우크라이나 군대에서 사용하는 특수 애플리케이션으로 위장한 피싱 페이지에 QR 코드가 포함되기도 함.  
  
#### UNC5792: 수정된 Signal 그룹 초대  
  
- UNC5792는 Signal 계정을 손상시키기 위해 "그룹 초대" 페이지를 수정하여 악의적인 URL로 리디렉션함. 이는 피해자의 Signal 계정을 행위자 제어 기기에 연결하려는 시도임.  
  
#### UNC4221: 맞춤형 Signal 피싱 키트  
  
- UNC4221은 우크라이나 군인들이 사용하는 Signal 계정을 표적으로 삼음. 이 그룹은 Kropyva 애플리케이션을 모방한 피싱 키트를 운영하며, 신뢰할 수 있는 연락처로부터의 Signal 그룹 초대로 위장함.  
  
#### 러시아 및 벨라루스의 Signal 메시지 탈취 노력  
  
- 여러 지역 위협 행위자들이 Android 및 Windows 기기에서 Signal 데이터베이스 파일을 탈취하려는 능력을 운영함. APT44는 WAVESIGN이라는 Windows Batch 스크립트를 사용하여 Signal 메시지를 주기적으로 쿼리하고 Rclone을 사용하여 탈취함.  
  
#### 전망과 영향  
  
- 여러 위협 행위자들이 Signal을 표적으로 삼는 것은 보안 메시징 애플리케이션에 대한 위협이 증가하고 있음을 경고함. 이러한 위협은 피싱 및 악성 소프트웨어 배포와 같은 원격 사이버 작전뿐만 아니라, 표적의 잠금 해제된 기기에 대한 접근을 확보할 수 있는 근접 접근 작전도 포함됨.  
  
- 보안 메시징 애플리케이션을 사용하는 개인은 스크린 잠금 활성화, 운영 체제 업데이트, Google Play Protect 활성화, QR 코드 및 웹 리소스 주의, 이중 인증 사용 등을 통해 자신을 보호해야 함.

## Comments



### Comment 34869

- Author: ndrgrd
- Created: 2025-02-20T19:56:58+09:00
- Points: 1

취약한 것은 사실이지만 그룹 채팅은 제대로 암호화도 하지 않는 텔레그램이 보안 쪽으로 비판한다는 것 자체가 웃기네요.

### Comment 34842

- Author: neo
- Created: 2025-02-20T09:37:40+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=43102284) 
* Signal과 같은 앱의 연결된 기기 워크플로우는 오랫동안 위험했음
  - Telegram이 Signal을 비판했을 때 이 문제를 언급했음
  - 연결된 기기 구현이 오랫동안 문제적이었음
  - 오픈 문헌에서 공격이 나타나기까지 오래 걸린 것이 놀라움
  - Signal이 이 공격을 경시한 것이 도움이 되지 않음

* E2E 암호화는 사용자가 직접 클라이언트를 구축하고 검증해야 함을 깨달음
  - 프로토콜이 주장하는 모든 것이 무용지물이 될 수 있음
  - iOS 스토어에 배포하는 과정에서 문제가 발생할 수 있음
  - 모든 것이 신뢰에 달려 있음
  - Signal을 사용하는 것이 오히려 감시의 대상이 될 수 있음
  - 보안 프로토콜의 수학적 타당성에 대한 논의가 무의미하게 느껴짐

* 기사에 명확히 언급되지는 않았지만, 공격의 첫 단계는 전사자의 스마트폰을 가져가는 것임

* QR 코드 스캔만으로 기기 연결이 가능하다면, 이는 문제임
  - 기기 연결을 수동으로 확인해야 함
  - 그룹 초대 코드 스캔과 기기 연결을 혼동하지 않도록 해야 함

* 일부 도메인이 제공되었지만 모두 사용 중인 것은 아님
  - 전쟁 중인 국가를 신뢰하지 말아야 함
  - 각국은 자신의 의제를 가지고 있음

* Signal이 타협되었다고 주장하는 목소리가 많음
  - Signal은 웹 스케일 회사로서 인권을 수호하려고 노력 중임
  - 개인의 존엄성이 중요함
  - 간단한 대화가 아님

* 좋은 소식은 목표가 효과적이라는 이유로 표적이 된 것임

* "러시아와 연계된 위협"... 그렇다면 미국인가?

* 설정 메뉴에서 예상치 못한 연결된 기기를 확인할 수 있음