OS별 키 생성 패턴 차이, 해커에 기기 식별 단서 제공
암호화 키 메타데이터, 정찰 공격의 새로운 표적

[보안뉴스 김형근 기자] 30억명 이상의 사용자를 보유한 왓츠앱의 멀티 디바이스 암호화 프로토콜에서 사용자 기기 정보를 유출하는 결함이 발견됐다. 이 취약점은 해커가 사용자 기기가 안드로이드인지, iOS인지 식별하는 핑거프린팅을 가능하게 한다.


[자료: gettyimagesbank]

사용자가 메시지를 보낼 때 각 수신 기기와 개별 세션을 생성하는 과정에서 발생하는 메타데이터의 차이가 정보 유출의 원인으로 알려졌다. 특히 암호화 키 ID인 ‘서명된 프리키’(Signed Pre-Key)와 일회용 프리키(One-Time Pre-Key)의 생성 방식이 OS마다 다르다는 점이 악용됐다.

공격자가 사용자 몰래 왓츠앱 서버에 세션 키를 요청하는 방식으로 작동하며, 이 과정에서 사용자는 아무런 알림을 받지 못했다. 해커들은 이를 통해 목표 기기의 OS를 미리 파악하고 그에 맞는 정교하게 약점을 공략하거나 악성코드를 전달하는 정찰 단계로 활용했다.

2024년 보안 기업 젠고의 탈 베리 연구원이 이러한 취약점의 실체를 처음 발표한 이후, 2025년에는 비엔나 대학과 SBA 리서치 공동 연구진에 의해 안드로이드의 키 ID가 0부터 서서히 증가한다는 구체적인 패턴까지 추가로 밝혀졌다.

메타는 최근 이 문제를 수정했다. 하지만 이들 연구진은 메타의 패치에도 불구하고 여전히 일회용 프리키(OTPK)의 생성 패턴이 운영체제(OS)별로 뚜렷하게 차이 난다는 점을 근거로, 이번 조치가 결코 완전한 해결책이 아님을 지적했다.

최근 메타는 안드로이드의 키 ID를 무작위 값으로 할당하도록 ‘조용히’ 패치를 진행해 문제의 경로를 차단한 것으로 확인됐다. 그러나 보안 업계에선 메타가 이 문제를 해결하면서도 보안 취약점 번호(CVE)를 부여하지 않거나 버그바운티를 제대로 알리지 않는 등 투명성이 부족하다고 비판해 왔다.

이러한 취약점은 주로 지능형 지속 위협(APT) 그룹이 특정 인물을 감시하거나 스파이웨어를 심기 위한 교두보로 악용될 수 있다. 실제로 과거 파라곤 스파이웨어 사례 등에서 왓츠앱은 주요 공격 통로 중 하나로 지목됐다.

전문가들은 모든 플랫폼에서 키 ID 생성 방식을 완전히 무작위화 해야 왓츠앱을 쓰는 수십억 사용자를 보호할 수 있다고 강조했다. 현재의 패치 상황으론 고도화된 공격 도구를 사용하는 해커들의 분석을 완전히 막아내기엔 역부족이라는 평가다.

사용자들은 자신의 계정에 연결된 기기 목록을 수시로 확인하고, 불필요한 기기 연결은 해제하는 등 자구책이 필요하다. 결국 기술적 보안 못지않게 보안 이슈를 대하는 기업의 윤리와 공개 원칙이 중요하다는 점이 다시 한번 부각됐다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>