텔레메시지 취약점 노린 해킹 재확산…미 정부·코인베이스 사용자 위험 노출

이스라엘 기반 메신저 플랫폼 '텔레메시지(TeleMessage)'에 존재했던 심각한 보안 취약점(CVE-2025-48927)을 노리는 해커들의 공격 시도가 최근 다시 증가하고 있다는 경고가 나왔다. 미국의 위협 인텔리전스 기업 그레이노이즈(GreyNoise)는 해당 취약점을 악용한 공격 흔적이 지난 4월 이후 11개의 IP 주소에서 확인됐다고 밝혔다.

그레이노이즈는 텔레메시지의 스프링 부트 액추에이터(Spring Boot Actuator) 구성요소에서 발생한 문제를 추적하고 있으며, 총 2,009개의 IP가 지난 90일간 액추에이터 관련 엔드포인트를 탐색했고, 이 중 1,582개는 /health 엔드포인트에 집중된 것으로 나타났다. 이는 시스템 구성 진단에 사용되는 공개 접근 가능한 /heapdump 엔드포인트가 인증 없이 노출돼 있어, 해커가 민감 데이터를 추출할 수 있다는 점에서 심각한 위협이 된다.

텔레메시지는 미국 정부기관 및 기업이 사용하는 메시징 앱 중 하나로, 전송된 기록을 아카이빙 기능을 통해 규제 준수 목적에 맞게 저장할 수 있다는 점에서 널리 활용돼왔다. 특히 텔레메시지 사용자 중에는 마이크 왈츠(Mike Waltz) 의원, 미국 세관국경보호국(US CBP), 암호화폐 거래소 코인베이스(Coinbase) 등 민감한 사용자들이 다수 포함돼 있어 보안 우려가 크다.

텔레메시지를 지난 2024년 인수한 미국 기반 기업 스마시(Smarsh)는 2025년 5월 발생한 보안 침해 사건 이후 서비스를 잠정 중단한 바 있다. 이번 보안 침해로 다수의 내부 파일이 유출된 것으로 알려졌다. 이후 텔레메시지는 “해당 취약점은 지금은 패치가 완료됐다”고 밝혔지만, 그레이노이즈 소속 연구원 하우디 피셔(Howdy Fisher)는 “패치 적용 시기의 편차나 운영 환경에 따라 여전히 일부 시스템은 위험에 노출될 수 있다”고 경고했다.

앱 보안 취약점은 새로운 문제가 아니지만, 텔레메시지 사례는 사용자가 고위 공직자 및 기업이라는 특성상 정보 유출 위험의 파급력이 상당하다는 점에서 주목할 필요가 있다. 그레이노이즈는 텔레메시지 사용자들에게 가능하면 /heapdump에 대한 접근을 제한하거나 차단하는 한편, 악성 IP 주소의 접속을 차단할 것을 권고했다.

한편, 암호화폐 생태계에서는 보안 위협이 빠르게 증가하고 있다. 체이널리시스(Chainalysis)의 최신 보고서에 따르면, 2025년 들어 암호화폐와 관련된 해킹으로 이미 21억 7,000만 달러(약 3조 158억 원)가 탈취됐다. 이는 역대 최고치를 경신할 수 있는 속도다. 최근 몇 달 사이에는 피싱, 악성코드, 소셜 엔지니어링과 같은 수법 외에도 비트코인 이용자를 상대로 한 물리적 폭력(wrench attack) 도 함께 증가세를 보이고 있다. 특히 2월에는 암호화폐 거래소 바이빗(Bybit) 해킹 사건이 대형 보안 사고로 기록됐다.

이처럼 디지털 위협과 현실적 공격이 맞물리는 흐름 속에서, 사용자와 플랫폼 모두 다층적인 보안 전략 구축이 요구되고 있다.