이미 가짜뉴스 번지는 플랫폼...메시지와 발신인 조작하면 파장 클 것 예상돼
[보안뉴스 문가용 기자] 보안 업체 체크포인트(Check Point)가 왓츠앱(WhatsApp) 메신저 앱에서 심각한 취약점을 발견했다. 이 취약점을 공격자들이 악용할 경우 비밀 대화 내용 및 그룹 대화 내용을 아무런 위험 신호를 발동시키지도 않고 조작할 수 있다고 한다.
[이미지 = iclickart]
체크포인트는 이 같은 내용을 담아 보고서를 발표하면서, 공격자가 취약점 익스플로잇을 통해 메시지를 입력하는 사람의 아이덴티티와 메시지 내용을 바꾸는 과정을 설명했다. 또한 그룹 대화방에 참여하고 있는 각 사람들에게 전체 메시지인 것처럼 개인적인 메시지를 보내는 방법도 공개됐다.
그런데 왓츠앱을 소유하고 있는 페이스북의 대변인은 “이 문제에 대해 보고를 받고 검토했다”며 “이메일의 발신인을 바꿔치기 하는 수법과 비슷한 것이라는 결론을 내렸다”고 발표했다. 그러면서 “이번에 발견된 오류라는 것은, 메시지를 주고받은 당사자만 메시지를 보게 해주는 종단간 암호화의 보안성과는 아무런 관련이 없는 것”이라고 주장했다.
이에 대해 체크포인트의 제품 취약점 연구 수석인 오데드 바누누(Oded Vanunu)는 “애초부터 체크포인트는 왓츠앱의 암호화 기술의 보안성에 문제를 제기한 것이 아니며, 그런 부분을 언급도 하지 않았다”고 반박했다. 그러면서 “갑자기 엉뚱한 암호화 이야기를 끄집어내면서 왓츠앱은 진짜 문제를 보지 못하게 하고 있다”고 말했다. “문제의 근원은 왓츠앱의 주요 메시지 매개변수의 인증 원리에 있습니다.”
체크포인트에 따르면 이번에 발견된 취약점을 통하면 공격자들이 암호화가 진행되기 전에 왓츠앱의 중요한 속성들을 조작할 수 있게 된다고 한다. 예를 들어 그룹 채팅방에서 ‘인용’ 기능을 공격자가 활용하면 메시지 전송자의 아이덴티티를 바꿀 수 있게 된다. 전송자가 그룹 방에 없는 사람이라고 하더라도 말이다.
또는 다른 사람의 대답 내용도 편집할 수 있다. 즉, 실제 본인이 하지 않은 말을 그룹 방에 전파할 수 있다는 것이다. 체크포인트는 이 점을 활용하면 표적을 삼은 누군가를 속여 마치 단둘이만 있는 방에서 정보를 공유하는 것처럼 보이게 만들 수 있다고 한다. “하지만 실상은 그룹방에 있는 모두가 그 내용을 볼 수 있죠.”
이 두 가지 경우 모두 암호화가 본격적으로 시작되기 전에 발생한다. 하지만 왓츠앱에는 이러한 조작 시도를 탐지하거나 막을 방법이 존재하지 않는다고 한다. 그러니 공격이 들어왔을 경우 메시지나 발신자의 상태가 조작된 상태로, 암호화가 진행되고, 그것이 누군가에게 전달되는 것이다. “(페이스북이 말한 그대로) 암호화는 잘 작동합니다. 문제는 공격이 그 전에 발생할 수 있다는 것이죠.” 바누누의 설명이다.
왓츠앱 사용자는 전 세계에 약 15억 명에 달하며, 이 중 4억 5천만 명은 왓츠앱을 매일 사용한다. 일반 소비자들이 일상적인 대화를 하기 위해서만 왓츠앱을 사용하기도 하지만, 사업체나 정부 기관들이 사업을 논의하거나 민감한 정보를 교환하기 위해서도 왓츠앱을 사용한다. 바누누는 “이런 경우 왓츠앱은 정보를 노리는 자들의 표적이 되기 좋다”고 경고한다.
실제로 인도에서 최근에 왓츠앱을 통해 퍼진 메시지 때문에 집단 구타 사건이 발생하기도 했다는 걸 기억해야 한다고 바누누는 말한다. “왓츠앱을 통해 퍼진 거짓 소문 때문에 아무런 잘못도 없는 사람들이 예고도 없이 거리에서 짓밟혔습니다. 블라질에서는 황열병 백신과 관련된 잘못된 정보가 왓츠앱에서 퍼지기도 했죠. 이미 왓츠앱은 가짜뉴스를 통한 여론 조작 및 소셜 엔지니어링 공격에 약한 플랫폼임이 드러났습니다. 여기에 이번에 발견된 취약점까지 가세하면 무슨 일이 일어날지 장담할 수가 없습니다.”
그러면서 바누누는 “이는 왓츠앱의 기본 설계에서부터 발생하는 오류”라고 말한다. 즉, 당장의 패치 배포와 적용을 통해 금방 해결할 수 없는 문제라는 것이다. 또한 체크포인트는 왓츠앱의 프로토콜 작동 원리를 이해하기 위해 흔히 구할 수 있는 도구들을 사용해 패킷을 취득했을 뿐이라고 덧붙였다. 즉 공격 난이도가 높지 않다는 뜻이다.
특히 주의가 요구되는 매개변수는 conversation, participant, fromMe, remoteJid, id라고 짚었다. 브라우저와 왓츠앱 웹 버전을 사용하고 몇몇 자동화 도구를 사용하면, 이 매개변수들의 조작을 간단히 실행할 수 있다고 한다.
3줄 요약
1. 왓츠앱에서 발신자와 메시지 내용 변경시킬 수 있는 취약점 발견됨.
2. 페이스북은 “종단간 암호화 알고리즘과는 아무런 상관없는 내용”이라고 주장함.
3. 알고 보니 암호화가 시작되기 직전에 공격을 가능하게 해주는 취약점이었던 것.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>