본문으로 건너뛰기
J
피드

폴란드 정부, 공무원들에게 시그널 대신 자국 메신저 쓰라고 지시

security 약 6분
tags
#signal#phishing#apt#mfa#gdpr
vote
0
댓글
북마크

폴란드 정부가 공무원과 국가 사이버보안 체계 대상 기관에 시그널 사용을 줄이고 자국산 암호화 메신저 mSzyfr Messenger로 옮기라고 권고했어. 이유는 시그널 자체의 암호화가 깨졌다는 얘기라기보다, APT 조직이 피싱과 계정 탈취로 공무원 메시지에 접근할 수 있다는 우려야.

  • 1

    폴란드는 시그널 대신 mSzyfr Messenger 사용을 공공 부문에 권고했어.

  • 2

    문제의 핵심은 암호화 알고리즘보다 피싱, 인증 코드 탈취, 연결된 기기 기능 악용 같은 계정 탈취 시나리오야.

  • 3

    mSzyfr는 폴란드 관할권을 강조하지만, 인증은 마이크로소프트, 구글, FreeOTP 같은 외부 MFA에 의존해.

  • 4

    기존에 권고하던 Threema에서 mSzyfr로 옮기지만, 종단간 암호화 특성상 메시지 이전은 안 돼.

  • 폴란드 정부가 공무원과 국가 사이버보안 체계 소속 기관에 시그널(Signal) 사용을 중단하고, 자국산 암호화 메신저 mSzyfr Messenger로 옮기라고 권고했음.

    • 대상은 일반 국민 전체가 아니라 공공 행정기관, 국가 사이버보안 시스템 관련 조직, 정부가 승인한 기관 중심임.
    • mSzyfr는 폴란드 디지털부와 NASK가 만든 메신저고, 정부는 “폴란드 관할권 아래 있는 첫 보안 메신저”라고 홍보 중임.

  • 정부가 문제 삼은 건 시그널의 암호화가 깨졌다는 얘기가 아님. 진짜 포인트는 계정 탈취형 사회공학 공격임.

    • 공격자는 시그널 고객지원 직원인 척하거나, 계정이 차단될 거라는 식의 긴급 메시지를 보내 악성 링크를 누르게 만듦.
    • 성공하면 전화번호는 물론이고, 정부 관계자끼리 주고받은 메시지까지 노출될 수 있어서 국가 안보 이슈로 번질 수 있다는 게 폴란드 정부의 논리임.

중요

> 이번 건은 “종단간 암호화면 끝”이 아니라는 사례임. 메시지 암호화가 강해도, 사용자가 인증 코드나 QR 연결을 넘겨주면 계정은 털릴 수 있음.

  • 폴란드 발표는 최근 네덜란드 정보기관이 공개한 러시아발 피싱 캠페인과도 맞물려 있음.

    • 네덜란드 AIVD와 MIVD는 지난 3월 러시아 해커들이 정부 관계자를 대규모로 노렸고, 일부 공격은 실제로 성공했다고 밝혔음.
    • 피해 대상에는 공무원뿐 아니라 기자도 포함됐고, 네덜란드 기관은 해커들이 민감한 정보에 접근했을 가능성이 높다고 봤음.
    • 미국 FBI, CISA, 독일 정보보안 당국도 거의 같은 취지의 경고를 냈음.

  • 공격 방식도 꽤 현실적임. 대단한 제로데이보다 “사람을 속이는 절차”가 핵심임.

    • 피해자에게 인증 코드나 PIN을 직접 넘기게 만들거나, 시그널과 왓츠앱의 Linked Devices 기능을 QR 코드로 악용해 계정 접근권을 가져가는 식임.
    • 보안 메신저라고 해도 계정 연결 절차가 뚫리면, 공격자는 사용자의 정상 기기처럼 메시지 접근을 시도할 수 있음.

  • mSzyfr는 공공기관 전용 폐쇄형 메신저에 가까움.

    • 앱은 일반 공개가 아니라 승인된 조직에서 일하는 사람만 초대를 받아 가입할 수 있음.
    • 폴란드 정부는 이 앱이 privacy-by-design 철학으로 만들어졌고, 왓츠앱이나 시그널은 여기에 맞지 않는다고 주장함.
    • FAQ에서는 미국 기반 플랫폼들이 GDPR을 준수하지 않는다는 주장도 담겼음.

  • 근데 “완전한 자국 관할권”이라는 메시지는 살짝 애매해지는 부분도 있음.

    • mSzyfr의 다단계 인증(MFA)은 마이크로소프트가 권장 옵션이고, 구글이나 FreeOTP도 선택 가능함.
    • 로그아웃 뒤에도 메시지 접근을 유지하려면 복구 키를 설정해야 하고, 설치 매뉴얼은 이 키를 비밀번호 관리자에 저장하라고 안내함.
    • 문제는 인기 있는 비밀번호 관리자 상당수가 해외 기업 제품이거나 오픈소스라는 점이라, 폴란드 정부가 강조한 “관할권” 논리와 완전히 깔끔하게 맞아떨어지진 않음.

  • 폴란드는 이전에도 외부 메신저를 권고한 적이 있음. 2022년에는 스위스 기반 Threema를 공무원과 법집행기관용으로 밀었음.

    • 이번 mSzyfr는 그 Threema를 대체하는 흐름임.
    • 다만 암호화된 앱 특성상 기존 Threema 메시지는 mSzyfr로 이전할 수 없음.
    • Threema 사용자는 이미 초대를 받았거나, 조만간 mSzyfr 초대를 받을 예정이라고 함.

  • 개발자 입장에서 볼 포인트는 “보안 제품 선택 기준이 기술 스펙만이 아니다”라는 거임.

    • 암호화 프로토콜, 계정 복구, MFA, 조직 단위 배포, 법적 관할권, 운영 주체 신뢰까지 한꺼번에 봐야 함.
    • 특히 정부나 금융처럼 공격자가 국가 단위로 붙는 환경에선, 제일 약한 고리가 앱 코드가 아니라 사용자 인증 플로우일 때가 많음.

기술 맥락

  • 이번 결정의 핵심은 시그널의 암호화 알고리즘을 버그 취급한 게 아니라, 계정 탈취까지 포함한 전체 위협 모델을 다시 잡은 거예요. 정부 관계자가 피싱 링크를 누르거나 인증 코드를 넘기면, 종단간 암호화가 좋아도 공격자는 정상 사용자처럼 계정에 붙을 수 있거든요.

  • mSzyfr를 고른 이유는 기술 성능보다 운영 통제와 관할권에 가까워요. 폴란드 정부가 승인한 조직만 초대받는 구조라서, 공공 부문 안에서 누가 쓰는지 관리하기 쉽고 정책도 강제로 맞출 수 있어요.

  • 대신 트레이드오프도 분명해요. MFA는 마이크로소프트, 구글, FreeOTP 같은 외부 수단에 기대고, 복구 키는 비밀번호 관리자에 맡기라고 안내하니까 “완전히 폴란드 안에서만 닫힌 시스템”이라고 보긴 어려워요.

  • Threema에서 mSzyfr로 메시지를 옮기지 못하는 것도 암호화 메신저다운 제약이에요. 서버가 평문 메시지를 들고 있지 않아야 안전한데, 바로 그 이유 때문에 서비스 간 데이터 이전은 거의 불가능해지는 거죠.

이건 ‘시그널이 안전하지 않다’는 단순한 얘기가 아니라, 국가 기관 입장에선 메신저 보안이 암호화만으로 끝나지 않는다는 사례야. 계정 복구, 기기 연결, 관할권, 운영 통제까지 전부 보안 모델에 들어간다는 점이 꽤 현실적임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.