--- title: "폴란드 정부, 공무원들에게 시그널 대신 자국 메신저 쓰라고 지시" published: 2026-05-18T22:31:55.000Z canonical: https://jeff.news/article/3006 --- # 폴란드 정부, 공무원들에게 시그널 대신 자국 메신저 쓰라고 지시 폴란드 정부가 공무원과 국가 사이버보안 체계 대상 기관에 시그널 사용을 줄이고 자국산 암호화 메신저 mSzyfr Messenger로 옮기라고 권고했어. 이유는 시그널 자체의 암호화가 깨졌다는 얘기라기보다, APT 조직이 피싱과 계정 탈취로 공무원 메시지에 접근할 수 있다는 우려야. - 폴란드 정부가 공무원과 국가 사이버보안 체계 소속 기관에 시그널(Signal) 사용을 중단하고, 자국산 암호화 메신저 mSzyfr Messenger로 옮기라고 권고했음. - 대상은 일반 국민 전체가 아니라 공공 행정기관, 국가 사이버보안 시스템 관련 조직, 정부가 승인한 기관 중심임. - mSzyfr는 폴란드 디지털부와 NASK가 만든 메신저고, 정부는 “폴란드 관할권 아래 있는 첫 보안 메신저”라고 홍보 중임. - 정부가 문제 삼은 건 시그널의 암호화가 깨졌다는 얘기가 아님. 진짜 포인트는 계정 탈취형 사회공학 공격임. - 공격자는 시그널 고객지원 직원인 척하거나, 계정이 차단될 거라는 식의 긴급 메시지를 보내 악성 링크를 누르게 만듦. - 성공하면 전화번호는 물론이고, 정부 관계자끼리 주고받은 메시지까지 노출될 수 있어서 국가 안보 이슈로 번질 수 있다는 게 폴란드 정부의 논리임. > [!IMPORTANT] > 이번 건은 “종단간 암호화면 끝”이 아니라는 사례임. 메시지 암호화가 강해도, 사용자가 인증 코드나 QR 연결을 넘겨주면 계정은 털릴 수 있음. - 폴란드 발표는 최근 네덜란드 정보기관이 공개한 러시아발 피싱 캠페인과도 맞물려 있음. - 네덜란드 AIVD와 MIVD는 지난 3월 러시아 해커들이 정부 관계자를 대규모로 노렸고, 일부 공격은 실제로 성공했다고 밝혔음. - 피해 대상에는 공무원뿐 아니라 기자도 포함됐고, 네덜란드 기관은 해커들이 민감한 정보에 접근했을 가능성이 높다고 봤음. - 미국 FBI, CISA, 독일 정보보안 당국도 거의 같은 취지의 경고를 냈음. - 공격 방식도 꽤 현실적임. 대단한 제로데이보다 “사람을 속이는 절차”가 핵심임. - 피해자에게 인증 코드나 PIN을 직접 넘기게 만들거나, 시그널과 왓츠앱의 Linked Devices 기능을 QR 코드로 악용해 계정 접근권을 가져가는 식임. - 보안 메신저라고 해도 계정 연결 절차가 뚫리면, 공격자는 사용자의 정상 기기처럼 메시지 접근을 시도할 수 있음. - mSzyfr는 공공기관 전용 폐쇄형 메신저에 가까움. - 앱은 일반 공개가 아니라 승인된 조직에서 일하는 사람만 초대를 받아 가입할 수 있음. - 폴란드 정부는 이 앱이 privacy-by-design 철학으로 만들어졌고, 왓츠앱이나 시그널은 여기에 맞지 않는다고 주장함. - FAQ에서는 미국 기반 플랫폼들이 GDPR을 준수하지 않는다는 주장도 담겼음. - 근데 “완전한 자국 관할권”이라는 메시지는 살짝 애매해지는 부분도 있음. - mSzyfr의 다단계 인증(MFA)은 마이크로소프트가 권장 옵션이고, 구글이나 FreeOTP도 선택 가능함. - 로그아웃 뒤에도 메시지 접근을 유지하려면 복구 키를 설정해야 하고, 설치 매뉴얼은 이 키를 비밀번호 관리자에 저장하라고 안내함. - 문제는 인기 있는 비밀번호 관리자 상당수가 해외 기업 제품이거나 오픈소스라는 점이라, 폴란드 정부가 강조한 “관할권” 논리와 완전히 깔끔하게 맞아떨어지진 않음. - 폴란드는 이전에도 외부 메신저를 권고한 적이 있음. 2022년에는 스위스 기반 Threema를 공무원과 법집행기관용으로 밀었음. - 이번 mSzyfr는 그 Threema를 대체하는 흐름임. - 다만 암호화된 앱 특성상 기존 Threema 메시지는 mSzyfr로 이전할 수 없음. - Threema 사용자는 이미 초대를 받았거나, 조만간 mSzyfr 초대를 받을 예정이라고 함. - 개발자 입장에서 볼 포인트는 “보안 제품 선택 기준이 기술 스펙만이 아니다”라는 거임. - 암호화 프로토콜, 계정 복구, MFA, 조직 단위 배포, 법적 관할권, 운영 주체 신뢰까지 한꺼번에 봐야 함. - 특히 정부나 금융처럼 공격자가 국가 단위로 붙는 환경에선, 제일 약한 고리가 앱 코드가 아니라 사용자 인증 플로우일 때가 많음. --- ## 기술 맥락 - 이번 결정의 핵심은 시그널의 암호화 알고리즘을 버그 취급한 게 아니라, 계정 탈취까지 포함한 전체 위협 모델을 다시 잡은 거예요. 정부 관계자가 피싱 링크를 누르거나 인증 코드를 넘기면, 종단간 암호화가 좋아도 공격자는 정상 사용자처럼 계정에 붙을 수 있거든요. - mSzyfr를 고른 이유는 기술 성능보다 운영 통제와 관할권에 가까워요. 폴란드 정부가 승인한 조직만 초대받는 구조라서, 공공 부문 안에서 누가 쓰는지 관리하기 쉽고 정책도 강제로 맞출 수 있어요. - 대신 트레이드오프도 분명해요. MFA는 마이크로소프트, 구글, FreeOTP 같은 외부 수단에 기대고, 복구 키는 비밀번호 관리자에 맡기라고 안내하니까 “완전히 폴란드 안에서만 닫힌 시스템”이라고 보긴 어려워요. - Threema에서 mSzyfr로 메시지를 옮기지 못하는 것도 암호화 메신저다운 제약이에요. 서버가 평문 메시지를 들고 있지 않아야 안전한데, 바로 그 이유 때문에 서비스 간 데이터 이전은 거의 불가능해지는 거죠. ## 핵심 포인트 - 폴란드는 시그널 대신 mSzyfr Messenger 사용을 공공 부문에 권고했어. - 문제의 핵심은 암호화 알고리즘보다 피싱, 인증 코드 탈취, 연결된 기기 기능 악용 같은 계정 탈취 시나리오야. - mSzyfr는 폴란드 관할권을 강조하지만, 인증은 마이크로소프트, 구글, FreeOTP 같은 외부 MFA에 의존해. - 기존에 권고하던 Threema에서 mSzyfr로 옮기지만, 종단간 암호화 특성상 메시지 이전은 안 돼. ## 인사이트 이건 ‘시그널이 안전하지 않다’는 단순한 얘기가 아니라, 국가 기관 입장에선 메신저 보안이 암호화만으로 끝나지 않는다는 사례야. 계정 복구, 기기 연결, 관할권, 운영 통제까지 전부 보안 모델에 들어간다는 점이 꽤 현실적임.