프랑스 정부의 암호화 통신 플랫폼인 Tchap이 해킹당해 개인 데이터가 영향을 받을 수 있습니다.

프랑스 정부 디지털국(DINUM)은 최근 해커들이 합법적인 사용자 계정을 탈취하여 프랑스 정부의 내부 암호화 통신 플랫폼인 Tchap에 성공적으로 침입했으며, 이로 인해 대화에서 일부 사용자가 공유하는 개인 정보에 무단 액세스가 발생할 수 있다는 보안 권고를 최근 발표했습니다.

Tchap은 2018년 프랑스 정부 디지털국과 프랑스 국립 정보 시스템 보안국(ANSSI)이 공동으로 개발했습니다. Tchap은 분산형 매트릭스 프로토콜을 기반으로 하며 프랑스 공공 부문에 서비스를 제공하는 인스턴트 메시징 및 협업 사무실 도구로 자리매김하고 있습니다. 공공 서비스 시스템의 사용자에게만 공개됩니다. 이 앱은 출시 이후 지속적으로 성장해 현재 프랑스 공공 부문에서 월간 활성 사용자가 30만 명 이상이며 Google Play 스토어에서 50만 번 이상 다운로드되었습니다. 2025년 8월 초, 프랑스 총리 프랑수아 바이루(François Bayrou)는 모든 공무원에게 공식 통신에 Tchap을 사용하도록 요구하는 공지를 발표하고 외국 제조업체의 통신 애플리케이션 사용을 금지하여 플랫폼의 사용 범위와 데이터 전송 용량을 크게 확대했습니다.

DINUM은 월요일에 발행된 보도자료를 통해 ANSSI가 일요일에 Tchap 플랫폼에서 비정상적인 침입 동작을 처음으로 감지했다고 밝혔습니다. 사전 조사 결과 공격자는 사용자의 해킹된 계정을 통해 시스템에 진입해 암호화된 통신 플랫폼에 접근한 것으로 확인됐다. 사건 이후 DINUM은 채팅에서 일부 사용자가 공유한 개인 데이터가 공격자에 의해 액세스되거나 내보내졌을 수 있기 때문에 프랑스 데이터 보호 규제 기관인 CNIL에 보안 사고를 보고했습니다. 동시에 DINUM은 모든 Tchap 사용자에게 알림을 보내 플랫폼의 공개 채팅방은 등록된 모든 사용자에게 공개되며 이러한 공개 채팅방의 콘텐츠에는 암호화 보호가 활성화되어 있지 않다는 점을 강조했습니다.

DINUM은 공격자의 지속적인 접속 채널을 차단하고 접속 범위 및 데이터 유출 가능성에 대한 후속 심층 분석을 위한 조건을 만들기 위해 문제 발견 후 즉시 악성 요청이 발생한 특정 계정을 잠그고 금지했다고 밝혔습니다. 현재 조사는 계속 진행 중이며, 기술팀은 이벤트 로그를 상세하게 비교하여 공격자가 어떤 세션에 접속했는지, 전송되었을 수 있는 데이터의 유형과 범위를 파악하고 있습니다. 관계자들은 또한 Tchap의 공개 채팅방에서는 개인 정보, 민감한 정보 또는 기밀 정보를 공유해서는 안 되며, 그러한 콘텐츠는 플랫폼 이용 약관의 명확한 요구 사항인 비공개 채팅방에서만 전달해야 한다고 거듭 강조했습니다.

DINUM이 더 자세한 기술적 세부 사항을 공개하지는 않았지만, 공격자는 주말 동안 사건에 대한 책임을 주장하기 위해 주도권을 잡았고 Tchap에서 훔친 것으로 추정되는 파일 샘플을 게시하면서 소셜 엔지니어링 공격을 수행한 후 플랫폼에 액세스할 수 있었다고 주장했습니다. 공격자는 "소셜 엔지니어링을 통해 교육 샤드(matrix.agent.education.tchap.gouv.fr)의 유효한 계정에 대한 접근 권한을 획득했다"고 주장하며 노출된 데이터는 이 단일 계정에서 접근 가능한 콘텐츠일 뿐이며 다른 샤드에는 더 많은 데이터가 있을 수 있음을 강조했습니다.

자신의 계정에 따르면 이번 공격에서 스크립트에 하드 코딩된 것으로 의심되는 LDAP 자격 증명을 획득했습니다. 이러한 자격 증명은 프랑스 세무서 지역 책임자가 공유한 PowerShell 스크립트에서 나온 것으로 알려졌습니다. 또한 공격자들은 Tchap 플랫폼에서 13.5GB 이상의 문서와 미디어 파일을 내보냈다고 주장했는데, 이 파일들은 프랑스 공무원들이 일상적으로 업로드하고 공유했습니다. 또한 사용자 이메일 주소, 소속 정보, 회의 링크, 계정 및 장치의 메타데이터와 같은 민감한 요소를 포함하여 약 650,000개의 메시지 기록과 73,000개가 넘는 계정의 관련 정보를 캡처했다고 밝혔습니다.

기술적 세부 사항 측면에서 공격자들은 Tchap의 아키텍처에 심각한 결함이 있다고 주장했습니다. "플랫폼의 모든 샤드에서 공유된 모든 파일은 토큰 없이 다운로드될 수 있습니다." 이에 따르면, 미디어 URL이 포함된 메시지 콘텐츠를 얻으면 미디어 ID를 사용하여 해당 파일이 위치한 샤드의 제한을 받지 않고 인증 없이 해당 파일을 직접 다운로드할 수 있습니다. 현재 DINUM은 위에서 언급한 구체적인 기술적 취약점과 데이터 규모를 공식적으로 확인하지 않았습니다. BleepingComputer는 이에 대해 DINUM에 문의를 보냈으나 보도 시점 현재 답변을 받지 못했습니다.

주목할 점은 바로 지난달 프랑스 국가안보문서기관 ANTS(공식 신원 및 등록서류 발급 및 관리를 담당하는 국가 기관)에서 훔친 데이터를 판매한 혐의로 15세 10대 용의자를 프랑스가 신고해 체포했다는 점이다. 이번 사건은 올해 4월 ANTS를 대상으로 한 사이버 공격에서 비롯됐으며, 이후 공격자들이 훔친 데이터를 지하 포럼에 판매해 사회 전반에 큰 우려를 불러일으켰다. 이번 Tchap 침입 사건은 디지털 혁신 과정에서 프랑스 공공 부문이 직면한 복잡한 네트워크 보안 문제를 다시 한 번 강조합니다. 또한 정부의 내부 통신 플랫폼에 대한 계정 보안 관리, 액세스 제어 및 데이터 암호화 전략에 대한 요구 사항이 더 높습니다.