DDoSecrets, TeleMessage 해킹한 410GB 힙 덤프 데이터 공개

• 해커 집단 DDoSecrets가 이스라엘 기업 TeleMessage에서 해킹한 410GB의 힙 덤프 데이터를 공개함
• TeleMessage는 Signal, WhatsApp, Telegram, WeChat의 수정 버전을 개발하여 메시지 보관 서비스를 제공함
• 해당 데이터에는 평문 메시지, 메타데이터, 개인정보가 포함되어 있어 언론과 연구자에 한해 제한적으로 배포됨
• TeleMessage 제품은 종단간 암호화를 지원한다고 주장했으나 실제로는 이를 우회하는 구조임이 밝혀짐
• 미국 정부와 관계자들이 보안상 취약한 채널로 민감한 정보를 공유한 정황도 드러남

개요

• 2025년 5월, 해킹 단체 DDoSecrets가 이스라엘 기업 TeleMessage로부터 획득한 410GB의 힙 덤프 데이터를 공개함
• TeleMessage는 Signal, WhatsApp, Telegram, WeChat 등 주요 메신저의 중앙 저장(아카이브) 솔루션을 제공하는 업체임
• 이 데이터는 민감 정보와 개인식별정보(PII) 가 다수 포함되어 있어 언론인 및 연구자에게 한정하여 배포됨

사건 요약 타임라인

• 3월: 트럼프 행정부 시절 Mike Waltz 국가안보보좌관이 Signal 그룹에서 전쟁 범죄 관련 대화를 하던 중, 실수로 언론인을 초대함. 관련 내용이 보도되면서 의회 청문회가 진행됨
• 5월 1일: Waltz가 자리를 강등당한 날, TeleMessage에서 만든 TM SGNL이라는 Signal 수정버전을 사용하는 모습이 포착됨. 대화 상대는 Tulsi Gabbard, JD Vance, Marco Rubio 등 고위 인사였음
• 5월 3일: TM SGNL의 소스코드가 GitHub를 통해 공개됨
• 5월 4일: TeleMessage 해킹이 발생하여, 관련 사실이 언론을 통해 보도됨
• 5월 5일: 또 다른 해커가 TeleMessage를 재차 해킹하여 서비스가 중단됨
• 5월 6일: TM SGNL 소스코드 분석 결과, TeleMessage가 주장한 종단간 암호화가 실제로는 적용되어 있지 않음이 입증됨. 해킹 데이터 일부에서 평문 채팅 로그가 확인됨
• 5월 18일: 추가 분석에서 TeleMessage의 아카이브 서버 취약점이 공개됨. 특정 URL(archive.telemessage.com/management/heapdump)에 누구나 접속해 Java 힙 덤프를 다운로드할 수 있었음

이번 유출의 세부 내용

• 공개된 힙 덤프는 2025년 5월 4일에 확보된 것으로, TeleMessage가 제공하는 보안 메시징 솔루션의 취약점에서 비롯됨
• 제품은 미 정부를 포함한 여러 기관에서 2023년부터 사용된 것으로 확인됨
• 데이터에는 평문 메시지, 발신자/수신자 정보, 타임스탬프, 그룹 이름 등 풍부한 메타데이터가 포함됨
• DDoSecrets는 연구 목적으로 필요한 정보를 추출 및 정제하여 제공 중임

영향 및 시사점

• 이번 사건을 통해 메시징 솔루션의 신뢰성 결여와 운영상 허술함이 대두됨
• TeleMessage가 광고한 보안 수준과 실제 동작 간 불일치가 확인됨
• 미국 정부 고위 관계자들이 취약한 클론 메시징 앱을 통해 기밀 정보를 주고받은 사실이 드러나 심각한 보안 이슈가 부각됨
• SignalGate라 불리는 이번 사태는 현재도 진행 중이며, 보안 커뮤니티의 추가 분석과 대응이 계속될 전망임