텔레그램 해킹 사태와 대처법

테러방지법 등등 때문에 사이버 망명의 선택지가 됐던 보안의 대명사 텔레그램이 이란에서 털렸다는 뉴스가 떴다. 그것도 1500만명 수준으로.

애초에 발송자 어플에서 암호화한 뒤 암호화된 형태로 보내고, 수신자 어플에서 해독하는 방식으로 작동하기 때문에 대규모로 털리기 어려울텐데 어찌된 영문일까? 국내메신저들은 서버에 일정 기간 내용을 보관하기 때문에 서버가 뚫리거나 공권력이 요구하면 대규모로 메세지 내용이 털릴 수 있을텐데, 텔레그램의 대규모 해킹은 이해하기 어려웠다.

텔레그램 블로그IT뉴스를 좀 찾아보니 기기 인증에 사용되는 SMS를 탈취해서 계정 접근권한을 따낸 것이라고 소개하고 있다. 또한 중복가입여부를 확인하는 API를 이용해 휴대폰 번호와 텔레그램 아이디를 매칭시켰다고 한다. 내 마음대로 재구성한 해킹 시나리오는 다음과 같다.

1500만명의 텔레그램 아이디, 프로파일 정보

  1. 세계적으로 공공재인 이란 휴대폰 목록을 텔레그램 중복가입여부 확인을 위한 API에 일일이 대입해 계정ID를 알아낸다.
  2. 각 계정의 프로파일 정보까지 수집

약 12명의 메시지 내역

  1. 공격 타겟이 된 개인들(사회운동가, 기자 등)이 폰을 바꾸거나 할 때 새 기기를 인증받는 용도로 발송되는 SMS를 해커들이 탈취.
    1. 폰에 악성코드를 미리 심어놓거나
    2. USIM 복제를 해놨거나 (이건 물리적으로 폰에 접근해야 하는건데)
    3. 기지국에서 타겟의 핸드폰으로 발송되는 SMS 내역을 중간에서 감청하거나
    4. 통신사를 통해서(협조를 받든 털든) 문자 내용을 탈취하는 식으로 SMS는 털릴 수 있다.
  2. 전화번호와 계정정보를 알고 있으니 타겟이 인증코드를 요청할 때까지 기다리지 않고, 해커들이 인증코드를 요청했을수도 있다.
  3. 탈취한 SMS로 해켜가 다른 기기에 계정을 연동시켜 메세지 내역 탈취

 

tele

보도내용이 이상하다

  • 국내 메신저를 옹호하는 표현이 많다. ‘텔레그램 털렸다’와 같은 표현들…
  • 실제로 메세지 내역까지 털린 건 12명이다. 1500만명은 전화번호와 계정아이디 및 공개된 정보 정도만 털렸다. 오해를 불러일으킬만한 표현이 많은데 설마 의도적인 건 아니겠지.
  • 작년에 일어난 일이다. 왜 이제 와서 보도된건진 아직 잘 모르겠다. (로이터가 한 첫 보도)

대처법

  • 2-step verification을 활성화 시킨다. (Settings -> Privacy and Security -> Two-Step Verification) 새 기기를 인증받을 때 기본 옵션은 SMS 인증번호만 있으면 되는 것인데, 여기다가 개인이 외우고 있는 비밀번호를 하나 더 추가해서 입력해야 새 기기가 인증되는 방식이다. 이렇게 해두면 해커가 SMS를 탈취해도 새 기기를 계정에 연동시킬 수가 없다.
  • 스마트폰은 언제나 털릴 수 있다는 것을 염두해두고 출처를 알 수 없는 어플을 설치하거나 잘 모르는 WiFi에 접속하는 등의 행동을 하지 않는다.
  • 중복가입 확인하는 API는 텔레그램 측에서 대규모 입력을 못하도록 방식을 변경했다고 한다.

CC BY-NC-SA 4.0 This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.