by Wizard

미국 CISA, 암호화되지 않은 문자 메시지 사용 경고: 아이폰, 안드로이드 사용자 보안 강화 방법

미국 사이버보안·인프라 보안국(CISA)이 또다시 암호화되지 않은 문자 메시지 사용에 대한 경고를 발표했습니다. 지난해와 마찬가지로, 이번 경고는 특히 국가 배후의 해킹 그룹이 고위직 인사를 대상으로 메시징 서비스를 통해 공격할 가능성에 초점을 맞추고 있습니다. 이번 CISA의 최신 정보는 우리 모두에게 중요한 경고로 받아들여야 합니다.

CISA의 경고 내용

CISA는 사이버 공격자들이 스파이웨어 및 고도화된 사회 공학 기법을 사용하여 개인 메시징 앱을 표적으로 삼고 모바일 장치를 손상시키고 있다고 밝혔습니다. 현재는 Signal과 WhatsApp에 대한 공격이 주를 이루고 있지만, 안드로이드와 아이폰 사용자 모두 암호화되지 않은 문자 메시지 사용을 피해야 함을 시사합니다.

표준 메시징 앱 사용의 위험성

기본 문자 메시지 앱은 보안에 취약합니다. 최신 RCS(Rich Communication Services) 프로토콜이 양 플랫폼에서 지원되더라도, 아직 종단간 암호화(E2EE)를 완벽하게 제공하지 않습니다. 구글은 종단간 암호화를 테스트 중이며, 애플도 도입을 약속했습니다. 애플은 iMessage가 이미 종단간 암호화를 지원하고 있으며, GSMA에서 발행한 RCS Universal Profile에 종단간 암호화를 도입하는 데 기여하게 되어 기쁘다고 밝혔습니다. 앞으로 iOS, iPadOS, macOS, watchOS 소프트웨어 업데이트를 통해 종단간 암호화된 RCS 메시지를 지원할 예정입니다.

iOS 26.2, RCS 암호화 지원 가능성

업계에서는 애플이 개인 정보 보호를 중요한 인권으로 간주하고 있으며, 이를 보호하기 위해 메시징 앱에 E2EE를 도입할 것으로 예상합니다. 따라서 RCS 암호화가 iOS 26.2에 추가될 가능성이 높다고 전망하고 있습니다.

CISA의 구체적인 권고사항

CISA는 잠재적 표적(특히 군, 정부, 정치 분야 종사자)에게 현재 보안 상태를 즉시 점검할 것을 권고합니다. CISA는 모든 모바일 장치(정부 및 개인 장치 포함)와 인터넷 서비스 간의 통신이 가로채기 또는 조작될 위험에 처해 있다고 경고합니다. 메시지를 보내야 한다면 Signal 또는 WhatsApp과 같은 암호화된 메시징 플랫폼을 사용해야 합니다. 또한 장치에서 표준 문자 메시지 사용을 차단하여 자신을 보호할 수 있습니다.

아이폰 보안 강화 방법

아이폰 사용자는 설정 앱에서 메시지 섹션으로 이동하여 'SMS로 보내기' 옵션을 비활성화해야 합니다. 이렇게 하면 메시지를 보낼 때 iMessage의 E2EE 시스템을 사용하여 안전하게 전송됩니다. CISA는 아이폰 사용자에게 락다운 모드 활성화, iCloud 비공개 릴레이 사용, Cloudflare, Google, Quad9와 같은 제공업체의 암호화된 DNS 서비스 사용을 권장합니다. 또한 설정 > 개인 정보 보호 및 보안에서 앱 권한을 정기적으로 검토하고 앱에 불필요한 기능이 있는 경우 권한을 해지하는 것이 좋습니다.

안드로이드 보안 강화 방법

안드로이드 사용자는 종단간 암호화가 활성화된 경우 RCS를 사용하고, 비공개 DNS/암호화된 DNS 서비스를 사용하며, Chrome 및 Google Play 프로텍트에서 최고 수준의 보안 설정을 적용해야 합니다. 또한 보안 업데이트를 제때 제공하고 장기적인 보안 지원에 헌신하는 평판이 좋은 제조업체의 모델을 우선적으로 사용해야 합니다.

Signal, WhatsApp 사용자 보안 강화 방법

CISA는 Signal 또는 WhatsApp 사용자를 위해 그룹 초대 또는 출처를 알 수 없는 QR 코드를 스캔하지 말고, 그룹 관리자에게 연락하여 그룹 초대의 진위 여부를 확인하도록 권장합니다. 또한 메시지 애플리케이션 설정의 연결된 장치 섹션에서 연결된 장치를 검토해야 합니다. 마지막으로, FIDO 인증을 사용하여 장치와 메시징 서비스를 보호하고 SMS 기반 MFA 시스템에서 벗어날 것을 권장합니다.