구글 프로젝트 제로 팀이 발견하고 제보한 취약점…피해자 몰래 염탐 가능
페이스북은 이 취약점 하나에 6만 달러의 상금 제공…단일 취약점 역대 최고

[보안뉴스 문가용 기자] 페이스북이 자사 메신저 앱인 왓츠앱에서 발견된 위험한 취약점을 패치했다. 이 취약점은 안드로이드 버전에서 발견된 것으로, 성공적으로 익스플로잇 할 경우 피해자 몰래 염탐이 가능하게 되며, 특수한 경우 주변 환경에 대한 정보도 취득할 수 있게 된다.


[이미지 = utoimage]

구글 프로젝트 제로 팀의 보안 전문가인 나탈리 실바노비치(Natalie Silvanovich)에 의하면 이 취약점은 앱 내부에 WebRTC 요소를 구축하는 데에서 발생한다고 한다. WebRTC는 음성 통화와 영상 통화를 가능하게 해 주는 프로토콜로, 수신자와 송신자 사이에 간략한 메시지들을 연속적으로 주고 받을 때 활용된다.

일반적인 통화 상황에서 전화를 거는 사람의 음성 정보는, 수화기 반대편에서 받는 사람이 실제로 통화 요청에 응할 때까지 전송되지 않는다. 앱 내의 setLocalDescription가 신호를 받는 사람이 ‘통화 허락’과 관련된 버튼을 누를 때까지 발동되지 않는다는 뜻이 된다. 실바노비치는 “그런데 한 가지 예외가 있다”고 설명한다.

“호 설정(call set-up)에 사용되지 않는 유형의 메시지가 존재합니다. SdpUpdate라는 것으로, 상대가 전화를 받지 않아도 setLocalDescription이 즉각적으로 발동되도록 합니다. 이런 종류의 메시지가 수신자 장비에 전달될 때, 신호가 울리는 와중에도 음성 정보가 전송되기 시작합니다. 이를 공격자가 악용하면 수신자의 주변 환경 상황을 관찰할 수 있게 됩니다.” 실바노비치의 설명이다.

실바노비치는 보고서를 통해 취약점 익스플로잇 방식을 단계별로 상세히 설명했다. 공격을 처음부터 끝까지 진행하는 데에 걸린 시간은 수분에 불과했다. 다만 이번 설명은 “공격자가 피해자와 페이스북 친구 사이라는 것을 전제로 하고 있”었다. 친구가 아닐 경우, 공격은 좀 더 복잡해지고 길어질 수 있다.

실바노비치는 10월 6일 이 버그를 페이스북 측에 알렸다. 페이스북은 이를 접수하고 11월 19일 패치를 발표했다. 이를 통해 실바노비치는 6만 달러의 상금을 페이스북으로부터 받았다. 참고로 페이스북은 올해 버그바운티 실시 10주년을 맞이하고 있으며, 자축 게시글을 자사 블로그에 올린 바 있다.

페이스북의 보안 엔지니어링 관리자인 댄 거핑켈(Dan Gurfinkel)은 해당 블로그 글을 통해 실바노비치가 제보한 취약점을 언급하며 “서버 사이드의 취약점을 수정한 후 추가 보호 장치들을 해당 프로토콜과 관련이 있는 모든 앱들에 적용했다”고 밝혔다. 6만 달러의 상금은, 단일 취약점에 대한 보상 중 역대 세 번째 규모라고도 썼다. 그만큼 심각한 취약점이었다는 것이다.

페이스북은 최근 자사 버그바운티 프로그램에 독특한 보상 제도를 추가했다. 제도의 이름은 해커 플러스(Hacker Plus)로, 특정 조건을 달성할 경우 공지된 상금 외의 보너스를 수여하는 것을 골자로 한다. 상금도 추가되며, 제보자의 이름으로 기부금이 제보자가 지정한 단체로 전달되기도 하며, 페이스북이 여는 공식 행사에 무료로 입장할 수 있게 된다. 실바노비치의 경우 보너스 부분을 기브웰(GiveWell)이라는 비영리 단체에 전달했다고 트위터를 통해 밝혔다.

최근 실바노비치를 필두로 한 구글 프로젝트 제로 팀은 인기 높은 앱들에서 심각한 취약점들을 계속해서 찾아내고 있다. 구글에서 개발한 크롬 브라우저에서 제로데이 취약점들을 여러 개 발견한 것부터 시작해 애플의 모바일 장비들과 마이크로소프트 윈도 시스템에서도 심각한 취약점들을 찾아내 기업 측에 알리거나 공개했다.

3줄 요약
1. 구글 프로젝트 제로 팀의 연구원, 페이스북 왓츠앱에서 취약점 발견.
2. 특수한 통화 메시지는 수신자의 허가 없이 전송 시작할 수 있다는 것이 문제.
3. 공격자가 피해자를 몰래 염탐하는 것을 가능하게 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>