네타냐후 비서실장·베네트 전 총리 텔레그램 유출
심 스와핑·SS7 취약점 악용...2단계 인증 미설정이 부른 보안 참사

2025년 12월, 이란과 연계된 해킹 조직 한다라(Handala)가 이스라엘 주요 정치인 2명의 모바일 기기를 완전히 장악했다고 주장했다. 그러나 사이버 인텔리전스 기업 켈라(Kela)가 분석한 결과, 이는 기기 전체를 장악한 것이 아니라 기본적인 계정 보안 허점을 파고든 텔레그램 탈취 사건인 것으로 밝혀졌다.

공격자들은 ‘문어 작전’(Operation Octopus)을 통해 나프탈리 베네트 전 이스라엘 총리의 아이폰에서 연락처와 사진, 영상, 약 1900개의 대화 내용을 유출했다고 주장했다.

또 베냐민 네타냐후 총리의 비서실장인 차키 브라베르만의 기기 역시 동일한 방식으로 침해했다고 발표하며 이스라엘 정계에 큰 파장을 일으켰다.

켈라의 포렌식 분석에 따르면, 유출된 대화 내용 중 실제 메시지가 포함된 것은 약 40개에 불과했으며 대부분 자동 생성된 연락처 카드였다.

유출된 모든 데이터가 활성화된 텔레그램 계정과 연결돼 있어, 정보의 근원지가 기기가 아닌 텔레그램 서버와 앱 자체임이 확인됐다.

공격자들은 기기 전체를 해킹하는 대신 심 스와핑 기법을 사용해 피해자의 전화번호 권한을 가로챘을 가능성이 크다.

또 통신망 프로토콜인 SS7의 취약점을 악용해 네트워크 수준에서 인증 SMS 문자를 가로챘을 확률도 제기됐다.

다른 유력한 수법으로는 텔레그램 데스크톱 인증 파일인 ‘tdata’ 폴더를 복사해 활성 세션을 그대로 훔치는 세션 하이재킹이 지목됐다.

이 방식은 일회용 비밀번호(OTP)나 다중인증(MFA)을 완전히 우회해 공격자가 계정에 즉시 접속할 수 있게 했다.

공격자들은 텔레그램 지원팀을 사칭하거나 기본 비밀번호(PIN)가 설정된 음성 사서함에서 코드를 추출하는 등 사회공학적 기법도 병행했다.

텔레그램 기본 설정이 클라우드 비밀번호(2단계 인증)를 선택 사항으로 두어 비활성화된 경우가 많다는 점이 피해를 키운 핵심 원인이었다.

또 텔레그램 일반 채팅은 종단간 암호화(E2E)가 적용되지 않고 서버에 저장되기 때문에, 계정 권한만 얻으면 과거 대화 기록을 모두 볼 수 있다.

한다라는 2023년 12월 처음 등장한 이후 이스라엘 기업과 조직을 주로 노리며 이란 및 팔레스타인을 지지하는 정치적 행보를 보여왔다.

전문가들은 이번 사건이 이스라엘 국가 안보 핵심 인력의 개인정보 보호 체계에 심각한 공백이 있음을 드러냈다고 평가했다.

단지 보안 기기를 사용하는 것으론 충분하지 않고, 계정 수준 2단계 인증(2FA) 활성화와 세션 관리가 중요하다는 것이다.

이번 공격은 보안이 강조된 메신저라 하더라도 사용자 설정 오류가 치명적 독이 될 수 있음을 보여주는 사례다. 국가 정상급 인사들조차 기본적 계정 보안 설정을 간과할 때 국가 기밀이 유출될 수 있다는 안보적 취약성을 노출했다.

이는 메신저의 암호화 성능보다 사용자의 보안 수칙 준수가 현대 사이버 전쟁에서 더욱 결정적 방어 기제임을 시사한다.

[출처 : 보안뉴스]