DDoSecrets, TeleMessage 해킹한 410GB 힙 덤프 데이터 공개

 (micahflee.com)
5P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 해커 집단 DDoSecrets가 이스라엘 기업 TeleMessage에서 해킹한 410GB의 힙 덤프 데이터를 공개함
  • TeleMessage는 Signal, WhatsApp, Telegram, WeChat의 수정 버전을 개발하여 메시지 보관 서비스를 제공함
  • 해당 데이터에는 평문 메시지, 메타데이터, 개인정보가 포함되어 있어 언론과 연구자에 한해 제한적으로 배포됨
  • TeleMessage 제품은 종단간 암호화를 지원한다고 주장했으나 실제로는 이를 우회하는 구조임이 밝혀짐
  • 미국 정부와 관계자들이 보안상 취약한 채널로 민감한 정보를 공유한 정황도 드러남

개요

  • 2025년 5월, 해킹 단체 DDoSecrets가 이스라엘 기업 TeleMessage로부터 획득한 410GB의 힙 덤프 데이터를 공개함
  • TeleMessage는 Signal, WhatsApp, Telegram, WeChat 등 주요 메신저의 중앙 저장(아카이브) 솔루션을 제공하는 업체임
  • 이 데이터는 민감 정보와 개인식별정보(PII) 가 다수 포함되어 있어 언론인 및 연구자에게 한정하여 배포됨

사건 요약 타임라인

  • 3월: 트럼프 행정부 시절 Mike Waltz 국가안보보좌관Signal 그룹에서 전쟁 범죄 관련 대화를 하던 중, 실수로 언론인을 초대함. 관련 내용이 보도되면서 의회 청문회가 진행됨
  • 5월 1일: Waltz가 자리를 강등당한 날, TeleMessage에서 만든 TM SGNL이라는 Signal 수정버전을 사용하는 모습이 포착됨. 대화 상대는 Tulsi Gabbard, JD Vance, Marco Rubio 등 고위 인사였음
  • 5월 3일: TM SGNL의 소스코드가 GitHub를 통해 공개됨
  • 5월 4일: TeleMessage 해킹이 발생하여, 관련 사실이 언론을 통해 보도됨
  • 5월 5일: 또 다른 해커가 TeleMessage를 재차 해킹하여 서비스가 중단됨
  • 5월 6일: TM SGNL 소스코드 분석 결과, TeleMessage가 주장한 종단간 암호화가 실제로는 적용되어 있지 않음이 입증됨. 해킹 데이터 일부에서 평문 채팅 로그가 확인됨
  • 5월 18일: 추가 분석에서 TeleMessage의 아카이브 서버 취약점이 공개됨. 특정 URL(archive.telemessage.com/management/heapdump)에 누구나 접속해 Java 힙 덤프를 다운로드할 수 있었음

이번 유출의 세부 내용

  • 공개된 힙 덤프는 2025년 5월 4일에 확보된 것으로, TeleMessage가 제공하는 보안 메시징 솔루션의 취약점에서 비롯됨
  • 제품은 미 정부를 포함한 여러 기관에서 2023년부터 사용된 것으로 확인됨
  • 데이터에는 평문 메시지, 발신자/수신자 정보, 타임스탬프, 그룹 이름 등 풍부한 메타데이터가 포함됨
  • DDoSecrets는 연구 목적으로 필요한 정보를 추출 및 정제하여 제공 중임

영향 및 시사점

  • 이번 사건을 통해 메시징 솔루션의 신뢰성 결여운영상 허술함이 대두됨
  • TeleMessage가 광고한 보안 수준과 실제 동작 간 불일치가 확인됨
  • 미국 정부 고위 관계자들이 취약한 클론 메시징 앱을 통해 기밀 정보를 주고받은 사실이 드러나 심각한 보안 이슈가 부각됨
  • SignalGate라 불리는 이번 사태는 현재도 진행 중이며, 보안 커뮤니티의 추가 분석과 대응이 계속될 전망임
GN⁺ 2일전  [-]
Hacker News 의견

  • 한 서버에서 /heapdump 엔드포인트가 있었고, 공개적으로 서버의 heap dump를 제공했던 상황이라 언급함, 이번 사건이 걷잡을 수 없이 커진 느낌임, 이 그룹이 진짜로 데이터를 “공개”한 것은 아니고, 기자들이 신청서를 제출해야 접근이 가능함, 실제 메시지 내용이 얼마나 되는지 밝히지 않고 단순히 410GB의 dump가 있다는 숫자만 강조해서 더 이슈가 됨을 지적함

    • 비신뢰성 높은 소프트웨어를 더 나쁘게 만들고, 게다가 유료화까지 하는 상황을 상상해보라고 말함, 회사 입장이나 사용자 입장 모두 부끄러운 일이라 생각함

    • heap dump의 실제 데이터가 얼마나 되는지 밝히지 않고 410GB라는 숫자만 언급한다는 점이 중요 포인트라고 생각함, 본인은 최근에 비슷한 대용량 dump를 확인해봤는데, 사실상 OS 패키지 업데이트 캐시와 로그들뿐이었음, 중요한 데이터는 전혀 없었음, heap dump 크기는 쉽게 줄일 수 있는데 그냥 다 내놓은 건 뭔가 수상하게 느껴짐, 물론 512GB dump 중에서도 이미 중요 데이터는 걸러냈을 수도 있다고 생각함

    • 이스라엘 소프트웨어 회사들 대부분이 뛰어난 전직 모사드 출신이라는 인식이 흔한데, 실제로는 기대만큼이 아니라고 봄, 이번 메시지 dump에 흥미로운 내용이 많길 기대함

    • 누군가 Java 애플리케이션을 사용하면서 실수로 JMX 엔드포인트를 전부 HTTP로 노출시킨 듯한 상황으로 보임, 이건 기본 설정이 아니기 때문에 단순한 부주의로 인한 실수라 생각함

    • 이게 서버 heap dump인지, 클라이언트용 heap dump인지 궁금함, 만약 클라이언트가 크래시 날 때 로그 남기는 용도로 의도했을 수도 있을 것 같음

  • TeleMessage CEO의 LinkedIn 소개글을 인공지능이 부실하게 자동생성한 글 같다고 느낌, 전략적 혁신, 윤리적 가치, SaaS, 인수합병, 업계 리더십 등 상투적인 표현으로만 채워짐

    • 정말 형편없는 LinkedIn 스타일의 글쓰기같다고 생각함

    • 요약하자면 "나는 CEO다. 우리 회사는 SaaS다. 나는 CEO다" 라고 반복하는 느낌임

  • TeleMessage 사건이 공개되고 몇 주가 지났는데, Signal Foundation에서 공식 입장을 내놓았는지 궁금함, Signal 이름을 써서 오픈소스 서드파티 클라이언트가 나오면 상표권 소송을 경고하면서도, 방위산업체가 같은 이름을 사용해도 침묵하는 이중잣대에 의문을 느낌

    • 현재 미국 사회에서 여러 조직들이 가만히 조용히 지내는 이유는 정부의 공격을 무서워해서라는 입장이 있음, 또 한편으로는 Signal Foundation의 핵심이었던 Moxie가 이제 조직을 떠나고 존재감이 사라진 뒤, 현재 조직이 무엇을 추구하는지 불명확해졌다고 생각함

    • 이번 사태에서 Signal은 아무런 잘못이 없다고 생각함, 오히려 TeleMessage와 이를 선택해 사용한 책임자들의 문제임, Signal이 별다른 언급을 한다 해도 비난만 받을 뿐 의미가 없다 판단함

    • 예전 Signal FOSS 포크가 법적 경고를 받았던 것처럼, 지금은 Molly가 운영되고 있는지, 혹은 대체로 직접 호스팅 가능한 서버가 있는지 궁금함

    • moxie와 fdroid의 다툼에 불만이 있긴 하지만, 이번 사건은 그 이상의 국가 권력과 부정 이슈로, 단순히 한 개인이나 기업의 문제를 넘는 중요한 사안이라고 생각함, 만약 다른 나라 정부가 이름도 들어보지 못한 해외 소프트웨어를 국가 커뮤니케이션 도구로 썼으면 무능력이라고 비난했을지 생각해보라고 덧붙임

    • 이름과 브랜드 보호의 필요성에 공감함, 오픈소스를 포크해도 원작자 브랜드와 이름은 마음대로 쓸 수 없는 게 당연하다고 설명함, Firefox나 VSCode 오픈소스 버전을 포크해도, 상표권 때문에 복제본에는 원래 이름을 붙일 수 없다는 점을 강조함

  • Signal 포크가 형편없었어도 어쨌든 합법적이긴 했는데, 이 회사가 크랙된 WhatsApp 판매까지 하고 있었다는 게 정말 충격적임, 실제로 이런 제품을 구입한 고객이 기관과 정부라는 점이 믿기지 않음, 링크도 첨부함

    • 왜 이게 불법인지 궁금해함, Beeper 사례와 달리, 미국 법무부는 오히려 사설 클라이언트의 금지를 좋게 보지 않는 경우도 있다며 WhatsApp이 다르냐고 질문함, WhatsApp archiver는 실제로 사용자 WhatsApp에 패치를 설치하는 방식으로 보이며 보안 문제는 있겠지만 불법은 아니라는 입장임

    • 실제 글로벌 금융시장에서는 Global Relay와 TeleMessage가 컴플라이언스 목적의 커뮤니케이션 솔루션 주요 공급업체라고 경험 공유함

  • 본인의 회사는 훨씬 덜 중요한 업무이지만, 1년에 2번씩 외부에서 침투 테스트를 받고 있음, 어떻게 이런 정도의 무책임한 실수가 합법적으로 가능한지 의문임

    • 그 이유는 소프트웨어 엔지니어링이 진짜 엔지니어링으로 진지하게 받아들여지지 않기 때문이라고 생각함, 예를 들어 만약 사고가 생겼을 때 따르는 책임 자체가 제한적임

    • 실제로는 합법적이지 않았던 것 같다고 판단함, SOC2도 가짜로 만든 정황이 있다고 들음

  • 'Heapdump'는 15년 전 안드로이드 앱 디버깅하면서 알게 됐던 용어임, java 프로세스의 메모리 스냅샷이라 plaintext가 들어갈 수밖에 없음, 중요한 건 왜 그런 heap들이 오픈 HTTP 엔드포인트로 열려 있었냐는 점임, 아마 클라이언트 코드에 하드코딩됐거나 요청 패턴을 보고 알았을 거라 추정함, 백엔드 구조나 메시지 저장 방식은 이 정보로 알기 쉽지 않은데 본인만 놓치고 있는 게 있는지 자문함

    • Sprint Boot의 옵저버빌리티 엔드포인트는 기본 경로가 정해져 있어서, API 경로만 알면 heap dump 엔드포인트 경로도 쉽게 알 수 있음

  • 프로덕션 환경에서 인증 없는 /heapdump 엔드포인트를 노출하는 건 초보자 실수라고 생각함, 민감한 정부 커뮤니케이션을 처리하는 서비스에서 특히 더 심각함, MD5 해시와 JSP 같은 구식 기술이 사용된 점도 보안에 대한 이해 부족을 드러냄, 이 사건은 방어적 보안과 정기적 감사를 반드시 해야 하는 이유를 보여주는 전형적인 사례임

    • JSP를 부정적으로만 볼 필요는 없다고 생각함, Java Server Pages는 이제 Jakarta Server Pages로 계속 발전 중이며, 최신 버전도 최근에 나왔고, Spring Framework 7 등도 기반으로 삼게 됨, Java 생태계는 계속 성장세임, 버전만 제대로 맞추고 업그레이드만 잘했다면 구식 기술로 볼 수 없음, 인기만 예전보다 떨어졌을 뿐임, 실상 최신 기술(next.js 등)로도 인증 없는 취약한 엔드포인트를 만들 수도 있다는 점을 덧붙임

  • 의원들이 종종 e2e 암호화를 금지하거나 백도어를 요구할 때 이번 사건을 좋은 실제 사례로 들 수 있다고 생각함

  • 데이터가 민감하고 PII가 많아서 DDoSecrets가 기자와 연구자에게만 공유한다는 점에 대해, 본인은 평소 책임감 있는 공개에 찬성하지만 이번엔 더 아프고 치명적인 유출이 필요할 수도 있다고 생각함, 독재자나 올리가르히들은 해킹 당해도 별로 신경 쓰지 않고, 계속 비슷한 도구를 쓸 것이며, 피해 국민만 분노해야 변화를 만들 수 있음, 보안 실패로 국민의 지성이 덜 보호된 상황임, 언론이나 연구자가 보도를 시도해도, 권위주의적인 사회에선 쉽게 침묵당할 수 있고, 아무도 실태를 모르는 상태가 만들어짐, 권력자는 저항이나 결과 없이 탄압을 계속 정당화할 수 있음, 단순한 기업 보안 사고였다면 책임감 있는 공개를 선호하겠지만, 독재를 막기 위해선 달라야 한다고 생각함

    • 요즘은 기자를 굳이 침묵시킬 필요도 없음, 이미 많은 사람들이 익명의 SNS 계정이나 정치 인플루언서를 정보원으로 믿기 때문에, 뭔가 폭로되어도 “가짜 뉴스”라며 대충 넘어가고, 충분한 유권자들이 속아넘어가면 별 의미가 없어짐

    • 부적절한 통치를 국민에게 각성시키기 위해 피해를 감수해야 한다는 생각은 위험하다고 느낀다고 함, 이런 생각이 극단으로 가면 오히려 더 큰 폭력이나 고통을 정당화하는 결과로 이어질 수 있음, 일반적으로 사람들에게 더 큰 상처를 내야 각성할 수 있다는 사고로 이어지면 위험하다고 경고함

    • 실제 공개될 경우 그 피해가 지도자들에게 가지 않고 내부 정보원이 위험해질 수 있음, 예를 들어 로그 내에 첩보원 등 민감 정보가 있으면 생명이 위협받을 수도 있다고 경고함

    • 과거 호주 Cabinet 유출 사건을 언급하며, 방송사가 정보의 대부분을 정부에 돌려주는 식으로 은폐에 일조했다고 설명함, 이런 방식이 오히려 국민이 알아야 할 중요한 사실이 은폐되어 정치적 영향을 크게 미쳤을 것이며, 이번 Signalgate도 비슷하다고 생각함, 정당과 무관하게 국민이 더 많은 정보를 알 권리가 중요하다고 강조함

  • 정치인들이 커뮤니케이션 소프트웨어를 백도어로 만들자고 로비하다가 스스로 똑같은 해킹을 당하는 모습이 웃기다고 느낌, 아쉽게도 이들은 이런 일련의 사건이 어떤 의미인지 제대로 이해할 능력이나 공감 능력이 없어 보임

    • 사실 이들은 자신들이 무슨 일을 하는지 충분히 알고 있다고 생각함, “나만 보안받고 너는 안 돼”라는 이중잣대를 전제로 움직이고 있고, 오히려 이용자들이 “정치인들이 너무 멍청하거나 무감각해서 이런다고 생각하게 만드는 게 그들이 바라는 전략”임을 지적함
답변달기