Security

트럼프 추종자들만 쓰는 텔레메시지 앱, 민감 정보 노출

JustAnotherEditor

18 Jul 2025 — 5 min read

💡

Editor's Pick
- 시그널 기반 텔레메시지, 인증 메커니즘이 낡아
- 인증 과정 없이 특정 엔드포인트가 전체 공개돼
- 각종 민감 정보 포함될 수 있는 엔드포인트라 문제

보안 채팅 앱인 텔레메지시SGNL(TeleMessage SGNL)이 익스플로잇 공격에 노출됐다. 사용자들 간 오갔던 민감 정보들이 인터넷에 대량으로 노출됐다. 문제의 근원에는 CVE-2025-48927이라는 취약점이 있다고 보안 업체 그레이노이즈(GreyNoise)는 공개했다.

텔레메시지는 시그널(Signal)을 기반으로 개발된 메신저 기업용 보안 메신저 앱으로, 이스라엘에서 개발했고 트럼프 정부가 적극 채용해 쓰고 있다. 일부 연방 정부 요원들은 물론, 보안이 중요한 기업들의 임직원들 사이에서도 이 앱이 사용되고 있는 것으로 알려져 있다.

CVE-2025-48927 취약점은 2025년 5월에 이미 공개됐다. 하지만 곧바로 공격에 악용되지는 않았다가 최근 해커들 사이에서 주목을 받기 시작했다. 실제 익스플로잇 공격이 발견되면서 미국 사이버 보안 전담 기관인 CISA가 ‘긴급 패치가 필요한 취약점 목록’인 KEV에 추가했다.

그레이노이즈에 의하면 CVE-2025-48927은 결국 ‘인증 메커니즘이 지나치게 오래돼서 생기는 문제’라고 한다. “스프링부트액츄에이터(Spring Boot Actuator)에서 사용되는 레거시 인증 기술이 문제의 근원입니다. 이 때문에 진단용 엔드포인트인 /heapdump가 인증 절차를 거치지 않고 공개된 상태로 남아있게 됩니다.”

이 엔드포인트가 노출되면 약 150MB 용량의 힙 메모리 전체 스냅샷을 열람할 수 있게 된다고 그레이노이즈는 설명을 잇는다. “이 스냅샷 안에는 평문으로 된 사용자 이름, 비밀번호, 기타 민감 데이터가 포함되어 있을 수 있습니다. 최신 버전의 스프링부트는 이 엔드포인트를 노출시키지 않고 있습니다만 텔레메시지 인스턴스들이 구버전을 사용하고 있어서 이러한 위험이 발생하는 겁니다.”

현재까지의 공격 상황

그레이노이즈는 7월 16일까지 CVE-2025-48927을 익스플로잇 하려는 시도가 수많은 IP에서 있었다고 알렸다. “대부분은 이 취약점 혹은 스프링부트액츄에이터를 대상으로 한 스캐닝 활동입니다. 매우 공격적으로 스캔이 이뤄지고 있으며, 이는 추가 공격을 강하게 암시하는 현상입니다. 다음 단계의 공격이 곧 있을 거라고 봅니다.”

얼마나 스캔을 했기에 ‘공격적’이라는 표현이 사용됐을까? “90일 동안 2009개 IP가 스프링부트액츄에이터를 스캔했습니다. 이 중 1582개는 특정 엔드포인트를 직접 표적으로 삼기도 했습니다. 이 정도 규모면, 사이버 공격 기술을 갖춘 사람들이라면 한 번쯤 텔레메시지라는 앱을 건드리는 거라고도 할 수 있습니다.”

우리 회사는 텔레메시지 같은 거 안 쓰니까 괜찮아, 라고 할 수 있을까? 그레이노이즈는 “이번 사태의 근원이 스프링부트액츄에이터이므로, 스프링부트 사용 조직이라면 모두 눈여겨 봐야 한다”는 입장이다. “스프링부트나 텔레메시지를 사용하고 있다면 /heapdump 엔드포인트가 인터넷에 노출되어 있지 않은지 반드시 확인해야 합니다. 그리고 비활성화 하거나 비공개로 전환하는 게 좋습니다.”

정치적 표적

텔레메시지는 일반 사용자들에게는 잘 알려지지 않았지만 트럼프 대통령과 그 행정부 요원들 사이에서 인기가 높기 때문에, 이들과 반대 성향을 가진 사람들에게 표적이 될 수밖에 없다. 위에 설명한 것처럼 90일 만에 수천 번의 공격 시도가 이뤄지는 것도 이것과 무관하지 않다고 전문가들은 보고 있다.

텔레메시지는 지난 5월에도 해킹 공격에 당했었다. 한 해커가 “텔레메시지로부터 민감한 대화 내용을 확보하는 데 성공했다”며 특정 매체들에 이를 뿌린 것. 로이터도 이를 입수해 분석했고, 약 60명의 정부 요원들이 이를 사용하고 있음을 알아냈다고 보도했었다.