2017.01.16

“왓츠앱, 암호화된 메시지 노출 가능성 있는 취약점 존재” 가디언 보도

Michael Simon | Greenbot
지난해 페이스북의 왓츠앱은 엔드투엔드 암호화를 구현했다고 밝혔다. 애플과 FBI간의 암호화 논란이 진행되고 있던 당시, 왓츠앱은 앱을 통해 전달되는 모든 메시지와 통화를 암호화한다고 밝히면서 사용자의 프라이버시를 제1 우선순위로 생각한다는 인상을 주었다.

그런데 최근 이러한 왓츠앱이 사용자의 생각만큼 안전하지 않다는 보도가 나와 눈길을 끌고 있다. 가디언(The Guardian)은 왓츠앱의 암호화에 심각한 취약점이 있으며, 이 취약점으로 페이스북이 받는 사람 몰래 메시지를 확인할 수 있다고 보도했다. 메시지를 보내는 사람이 암호화 경고를 받도록 설정해둔 경우, 보내는 사람은 페이스북이 중간에 메시지를 읽었다는 사실을 알 수 있다. 캘리포니아 대학교 버클리의 암호 해독 및 보안 연구원인 토비아스 볼터가 발견한 이 보안 취약점은 보안 키를 변경해서 메시지를 재전송함으로써 사용자의 메시지에 접근할 수 있도록 한다.

가디언은 “왓츠앱의 엔드투엔드 암호화는 고유의 보안 키를 생성하는 방식에 의존하는데, 중간자(middleman)가 방해할 수 없어서 대화가 안전하다는 것을 보장하기 위해서 ‘시그널 프로토콜’이라는 것을 사용한다. 하지만 왓츠앱은 오프라인 사용자를 위해서 강제로 새로운 암호 키를 생성하는 기능이 있는데, 전송되지 않은 메시지를 새로운 키로 다시 암호화해서 전송한다”고 설명했다.

현재 이러한 취약점이 악용된 사례는 발견되지 않았으나, 볼터가 페이스북에 이 취약점을 2016년 4월에 보고했음에도 불구하고 왓츠앱의 최신 버전에서도 여전히 전송되지 않은 메시지가 사용자의 승인없이 전송되고 있다.

왓츠앱 웹사이트에 따르면, 엔드투엔드 암호화는 사용자가 왓츠앱을 사용할 땐 항상 활성화되며, 비활성화할 방법은 없다. 추가로 각 대화는 자체적인 선택적 인증 프로세스가 있으며, 이 프로세스는 통화 및 메시지의 암호화를 인증하는 데 사용된다.

한편, 왓츠앱은 이번 가디언의 보도에 대해서 “의도적인 디자인”이라면서, 가디언이 이것을 ‘오류’라고 판단한 것에 대해 비판했다. “왓츠앱은 정부에게 시스템으로 들어갈 수 있는 백도어를 제공하지 않으며, 백도어를 만들라는 정부의 요청에 대해 싸우고 있다. 가디언의 기사에서 언급한 기능은 수백만 개의 메시지가 ‘길을 잃는 것’을 방지해주며, 왓츠앱은 잠재적인 보안 위협에 대해 보안 알림을 통해 고지하고 있다”고 설명했다. editor@itworld.co.kr


2017.01.16

“왓츠앱, 암호화된 메시지 노출 가능성 있는 취약점 존재” 가디언 보도

Michael Simon | Greenbot
지난해 페이스북의 왓츠앱은 엔드투엔드 암호화를 구현했다고 밝혔다. 애플과 FBI간의 암호화 논란이 진행되고 있던 당시, 왓츠앱은 앱을 통해 전달되는 모든 메시지와 통화를 암호화한다고 밝히면서 사용자의 프라이버시를 제1 우선순위로 생각한다는 인상을 주었다.

그런데 최근 이러한 왓츠앱이 사용자의 생각만큼 안전하지 않다는 보도가 나와 눈길을 끌고 있다. 가디언(The Guardian)은 왓츠앱의 암호화에 심각한 취약점이 있으며, 이 취약점으로 페이스북이 받는 사람 몰래 메시지를 확인할 수 있다고 보도했다. 메시지를 보내는 사람이 암호화 경고를 받도록 설정해둔 경우, 보내는 사람은 페이스북이 중간에 메시지를 읽었다는 사실을 알 수 있다. 캘리포니아 대학교 버클리의 암호 해독 및 보안 연구원인 토비아스 볼터가 발견한 이 보안 취약점은 보안 키를 변경해서 메시지를 재전송함으로써 사용자의 메시지에 접근할 수 있도록 한다.

가디언은 “왓츠앱의 엔드투엔드 암호화는 고유의 보안 키를 생성하는 방식에 의존하는데, 중간자(middleman)가 방해할 수 없어서 대화가 안전하다는 것을 보장하기 위해서 ‘시그널 프로토콜’이라는 것을 사용한다. 하지만 왓츠앱은 오프라인 사용자를 위해서 강제로 새로운 암호 키를 생성하는 기능이 있는데, 전송되지 않은 메시지를 새로운 키로 다시 암호화해서 전송한다”고 설명했다.

현재 이러한 취약점이 악용된 사례는 발견되지 않았으나, 볼터가 페이스북에 이 취약점을 2016년 4월에 보고했음에도 불구하고 왓츠앱의 최신 버전에서도 여전히 전송되지 않은 메시지가 사용자의 승인없이 전송되고 있다.

왓츠앱 웹사이트에 따르면, 엔드투엔드 암호화는 사용자가 왓츠앱을 사용할 땐 항상 활성화되며, 비활성화할 방법은 없다. 추가로 각 대화는 자체적인 선택적 인증 프로세스가 있으며, 이 프로세스는 통화 및 메시지의 암호화를 인증하는 데 사용된다.

한편, 왓츠앱은 이번 가디언의 보도에 대해서 “의도적인 디자인”이라면서, 가디언이 이것을 ‘오류’라고 판단한 것에 대해 비판했다. “왓츠앱은 정부에게 시스템으로 들어갈 수 있는 백도어를 제공하지 않으며, 백도어를 만들라는 정부의 요청에 대해 싸우고 있다. 가디언의 기사에서 언급한 기능은 수백만 개의 메시지가 ‘길을 잃는 것’을 방지해주며, 왓츠앱은 잠재적인 보안 위협에 대해 보안 알림을 통해 고지하고 있다”고 설명했다. editor@itworld.co.kr


X