9일(현지시간) IT전문매체 테크크런치에 따르면 네덜란드 국방정보보안국(MIVD)과 정보보안국(AIVD)은 보고서를 통해 러시아 국가 행위자들이 메신저 앱 계정을 노리고 있다고 밝혔다. 이들은 악성코드 대신 피싱과 사회공학적 기법을 이용한다. 주요 공격 대상은 각국 정부 및 군 관계자, 언론인 등이다.
해커들은 시그널의 경우 앱 지원팀을 사칭해 표적에게 직접 메시지를 보낸다. 이들은 '의심스러운 활동'이나 '데이터 유출 가능성'을 언급하며 사용자를 속인 뒤 SMS 인증코드와 개인식별번호(PIN)를 요구한다.
해커는 탈취한 인증코드와 PIN으로 새 기기에서 피해자 계정에 로그인한다. 이후 피해자를 사칭하거나 주소록에 접근할 수 있다. 이 과정에서 피해자는 기존 계정에서 로그아웃되지만 번호를 재등록하면 과거 대화 기록을 다시 볼 수 있다. 이 때문에 해킹 사실을 인지하지 못할 수 있다고 보고서는 지적했다.
왓츠앱의 경우 '연결된 기기' 기능을 악용한다. 해커는 채팅 그룹에 초대하는 것처럼 위장해 악성 QR코드나 링크를 보내 사용자가 스캔하거나 클릭하도록 유도한다. 이 QR코드나 링크는 실제로는 해커의 기기를 피해자 계정에 연결하는 역할을 한다.
이 수법에 당하면 시그널과 달리 과거 대화 내용까지 유출될 수 있다. 또한 피해자 계정이 로그아웃되지 않아 해킹 사실 자체를 모를 가능성이 있다. 왓츠앱은 6자리 인증코드를 누구와도 공유해서는 안 된다고 권고하고 있다.
보고서는 이번에 드러난 해킹 기법 중 일부는 우크라이나 전쟁과 관련해 러시아 정부 해커들이 사용했던 것과 유사하다고 덧붙였다.
이번 해킹 캠페인과 관련해 시그널과 모회사 메타, 네덜란드 내무부 및 국방부, 미국 주재 러시아 대사관 등은 모두 논평 요청에 응하지 않았다.