와츠앱 한 통으로 시작된 2026년형 스파이전

겉으로 보면 그냥 흔한 피싱 사건 같아 보여. 근데 안을 뜯어보면, 이건 거의 2026년판 스파이 영화 시나리오에 가까워.

이번에 공개된 중동 지역 대상 해킹 캠페인은 와츠앱 메시지 한 통으로 시작해서 이메일, 메신저, 위치 정보, 심지어 음성과 카메라 접근까지 노린 꽤 집요한 공격이었어.

 

시작은 정말 평범한 와츠앱 메시지였다

사건은 영국에 거주하는 이란계 활동가 나리만 가립의 경고 글에서 알려졌어.
“수상한 링크를 받았다, 절대 누르지 마라”는 짧은 메시지였지.

문제의 링크를 누르면

• 구글 로그인 페이지처럼 보이거나
• 회의 참여를 유도하는 가짜 와츠앱 화면이 떴어.

한 번만 방심하면 지메일 비밀번호, 2단계 인증 코드, 심지어 와츠앱 계정 자체가 통째로 넘어가는 구조였어.

요즘 피싱이 무서운 이유가 딱 이거야. 디자인, 흐름, 문구까지 진짜 서비스랑 거의 구분이 안 돼.

 

노린 대상은 평범한 사람이 아니었다

이 공격의 타깃을 보면 성격이 확 드러나.

• 레바논 현직 장관
• 이스라엘 드론 제조사 임원
• 중동 안보 연구 학자
• 기자
• 미국 번호를 쓰는 일부 인사들

공통점은 돈이 아니라 정보야. 정책 결정, 안보, 권력 비판, 국제 정세와 연결된 사람들. 이건 단순 계정 털이가 아니라
“누구랑 연락하는지, 어떤 파일을 주고받는지, 어디에 있는지”를 장기간 들여다보려는 목적에 가까워 보여.

 

[Source: ChatGPT 생성]

 

그냥 피싱이 아니라, 잘 짜인 공격 체인이었다

이번 캠페인이 무서운 이유는 대충 만든 링크가 아니라는 점이야.

공격자는 동적 DNS 서비스를 써서 도메인을 계속 바꾸며 피싱 페이지를 운영했고, 보안 필터나 블랙리스트를 교묘하게 피해갔어.

피해자마다 다른 화면을 보여주기도 했어. 어떤 사람에겐 지메일 로그인, 어떤 사람에겐 전화번호 입력, 어떤 사람에겐 와츠앱 웹 QR 화면.

비밀번호가 틀리면 틀렸다고 다시 입력하게 유도하고, 정확한 비밀번호가 들어오는 순간부터는 2단계 인증 코드까지 자연스럽게 받아내는 흐름이야.

더 충격적인 건, 서버 설정이 허술해서 연구자들이 공격자가 모아둔 피해자 목록을 실시간으로 확인할 수 있었고, 거기에 실제 고위 인사들의 정보가 그대로 남아 있었다는 점이야.

 

와츠앱 QR 코드, 사실상 대화 전체를 넘기는 열쇠다

이번 공격의 핵심 중 하나가 와츠앱 QR 코드야. 가짜 페이지에 QR 코드를 띄워놓고 회의 참가나 계정 인증처럼 보이게 만들었어.
그걸 스캔하는 순간, 내 와츠앱 계정이 공격자의 디바이스에 연결돼 버려.

이렇게 되면 실시간 대화 내용, 연락처, 과거 메시지 전부 노출돼.

와츠앱 웹이나 멀티 디바이스 기능의 편의성을 정면으로 악용한 방식이야.
이건 예전에도 시그널 같은 메신저 공격에 쓰였던, 이미 검증된 공격 패턴이기도 하고.

 

계정만 노린 게 아니라, 현실 세계까지 노렸다

이 캠페인이 진짜 섬뜩한 이유는 브라우저 권한까지 노렸다는 점이야.

페이지 코드 안에 위치 정보를 가져오는 기능이 들어 있었고, 사용자가 허용만 누르면 실시간 위치가 공격자 서버로 전송되는 구조였어.

카메라와 마이크 접근도 마찬가지야. 허용되면 몇 초 간격으로 사진이나 짧은 음성 녹음도 가능했어. 다행히 실제로 데이터가 저장된 흔적은 발견되지 않았지만, 코드만 보면 이미 스파이웨어 수준으로 준비돼 있었다고 봐도 돼.

 

이거, 국가가 한 걸까? 범죄 조직일까?

이 사건이 더 복잡한 이유는 공격 주체가 딱 잘라 말하기 어렵다는 점이야. 타깃과 공격 목적을 보면 국가 차원의 스파이 활동, 특히 이란 혁명수비대 계열과 유사하다는 분석이 나와.

반대로 도메인 관리 방식이나 일부 금전적 동기를 보면 고도로 조직화된 사이버 범죄 그룹일 가능성도 배제할 수 없어.

확실한 건 하나야. 이건 개인이 장난으로 할 수 있는 수준은 아니고, 조직 단위의 행위자라는 거지.

 

이게 우리랑 무슨 상관이냐고?

이 사건이 주는 메시지는 꽤 직설적이야. 메신저는 더 이상 안전지대가 아니야.
암호화가 돼 있어도, 사용자가 직접 계정 정보나 QR 세션을 넘겨주면 끝이야. 브라우저 권한은 생각보다 위험해.
위치, 카메라, 마이크 허용 한 번이 현실 세계의 움직임과 목소리까지 노출시킬 수 있어. 지금은 장관과 활동가가 타깃이지만, 같은 기술은 기업 임직원, 단체 관리자, 개인 투자자에게도 얼마든지 재사용될 수 있어.

 

최소한 이것만은 지키자

현실적으로 지킬 수 있는 선에서 정리하면 이 정도야.

메신저로 온 링크는 아무리 그럴싸해도 직접 누르지 말고 공식 앱이나 주소창에 직접 입력해서 확인하기.

계정 관련 알림은 메일이나 메신저 링크 대신 북마크나 공식 앱으로만 접속하기. 와츠앱이나 텔레그램 QR 로그인은 내가 직접 PC에서 띄운 화면만 스캔하고, 외부 링크에서 뜬 QR은 무조건 의심하기.

브라우저가 위치나 카메라 권한을 물으면 도메인부터 다시 보고, 조금이라도 애매하면 그냥 거절하기.

이 사건을 한 줄로 요약하면 이거야.

2026년의 피싱은 링크 한 번으로 폰 전체를 스파이 장비로 바꿀 수 있는 단계까지 왔다.

다음 글로는 왜 중동 지역에서 이런 메신저 기반 공격이 자주 나오는지,
그리고 서비스 기획자나 PM 입장에서 이런 위협 모델을 UX와 보안 설계에 어떻게 반영해야 하는지도 한 번 더 깊게 풀어볼 수 있을 것 같아.