# 왓츠앱에서 발견된 보안 취약점

> Clean Markdown view of GeekNews topic #24523. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=24523](https://news.hada.io/topic?id=24523)
- GeekNews Markdown: [https://news.hada.io/topic/24523.md](https://news.hada.io/topic/24523.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-11-22T06:36:58+09:00
- Updated: 2025-11-22T06:36:58+09:00
- Original source: [univie.ac.at](https://www.univie.ac.at/en/news/detail/forscherinnen-entdecken-grosse-sicherheitsluecke-in-whatsapp)
- Points: 1
- Comments: 1

## Topic Body

- **오스트리아 빈 대학교와 SBA Research 연구진**이 왓츠앱의 **연락처 검색 메커니즘**에서 35억 개 계정을 열거할 수 있는 **대규모 개인정보 취약점**을 발견  
- 연구진은 **시간당 1억 개 이상의 전화번호를 조회**할 수 있음을 입증했으며, 메타는 연구진과 협력해 문제를 수정  
- 수집 가능한 데이터는 **전화번호, 공개 키, 타임스탬프, 공개 설정된 프로필 정보** 등으로, 이를 통해 **운영체제·계정 연령·연결 기기 수**를 추론 가능  
- 분석 결과, **왓츠앱이 금지된 국가(중국·이란·미얀마 등)** 에서도 수백만 개의 활성 계정이 존재하며, **안드로이드 81%·iOS 19%** 의 글로벌 분포가 확인됨  
- 이번 연구는 **메타데이터 분석만으로도 개인정보 노출 위험이 존재함**을 보여주며, **지속적이고 독립적인 보안 연구의 중요성**을 강조  

---

### 왓츠앱 연락처 검색 취약점 발견
- 연구진은 왓츠앱의 **연락처 검색(contact discovery)** 기능이 사용자의 주소록을 기반으로 다른 사용자를 찾는 구조임을 이용해, **시간당 1억 개 이상의 전화번호를 질의**할 수 있음을 확인  
  - 이를 통해 **245개국에서 35억 개 이상의 활성 계정**을 식별  
  - 단일 소스에서 이처럼 많은 요청을 처리한 것은 시스템 설계상의 결함을 드러낸 것으로 평가됨  
- 접근 가능한 데이터는 **전화번호, 공개 키, 타임스탬프, 공개된 프로필 사진 및 소개글** 등이며, 이를 통해 **운영체제 종류, 계정 생성 시기, 연결된 기기 수**를 추론 가능  

### 주요 연구 결과
- **왓츠앱이 공식적으로 금지된 국가(중국, 이란, 미얀마)** 에서도 수백만 개의 활성 계정이 존재  
- **글로벌 단말 비율**은 안드로이드 81%, iOS 19%로 나타났으며, **지역별 개인정보 공개 행태**(예: 프로필 사진 공개 여부, 소개글 사용 등)에 차이 존재  
- 일부 사례에서 **암호 키 재사용**이 발견되어, 비공식 클라이언트나 사기성 사용 가능성을 시사  
- **2021년 페이스북 데이터 유출**에 포함된 5억 개 전화번호 중 약 절반이 여전히 왓츠앱에서 활성 상태로 확인  
  - 이는 유출된 번호가 **사기 전화 등 2차 피해에 노출될 위험**을 유지함을 의미  

### 데이터 처리 및 보안 영향
- 연구 과정에서 **메시지 내용에는 접근하지 않았으며**, 모든 수집 데이터는 **공개 전 삭제**  
- 왓츠앱의 **종단간 암호화(end-to-end encryption)** 는 메시지 내용을 보호하지만, **메타데이터는 보호 대상이 아님**  
- 연구진은 **메타데이터의 대규모 수집·분석만으로도 개인정보 침해 위험이 발생할 수 있음**을 확인  

### 메타와의 협력 및 대응 조치
- 연구는 **책임 있는 공개(responsible disclosure)** 원칙에 따라 수행되었으며, 결과는 즉시 메타에 보고  
- 메타는 이후 **요청 제한(rate-limiting)** , **프로필 정보 접근 강화** 등 대응책을 도입  
- 메타는 연구진의 협력에 감사를 표하며, **새로운 열거(enumeration) 기법**이 기존 방어 한계를 초과했음을 인정  
  - 연구 결과는 **자사 안티 스크래핑 시스템의 효과 검증**에도 기여  
  - 악의적 남용 사례는 발견되지 않았으며, **사용자 메시지는 안전하게 보호됨**  

### 연구 배경 및 연속 연구
- 이번 논문은 빈 대학교와 SBA Research가 수행한 **세 번째 메신저 보안 연구**로, 왓츠앱과 시그널의 **설계·구현상의 개인정보 노출 가능성**을 분석  
- 이전 연구:
  - **“Careless Whisper” (RAID 2025)** : 왓츠앱의 **조용한 전달 영수증(silent delivery receipts)** 을 이용해 사용자 활동 패턴을 추론 가능함을 입증  
  - **“Prekey Pogo” (USENIX WOOT 2025)** : 왓츠앱의 **프리키(prekey) 분배 메커니즘**에서 구현상의 약점을 분석  
- 이번 연구 **“Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”** 는 이 연구 흐름을 확장해, **전 세계 규모의 사용자 열거 가능성**을 실증  
  - 연구 결과는 **NDSS 2026 학회**에서 발표 예정  

### 연구의 의의
- 연구진은 **성숙한 시스템도 설계 결함을 가질 수 있음**을 지적하며, **보안·프라이버시는 지속적 재평가가 필요함**을 강조  
- **학계와 산업계의 투명한 협력**이 사용자 보호와 남용 방지에 핵심적임을 제시  
- 이번 연구는 **메시징 시스템의 진화와 새로운 위험 지점**을 장기적으로 이해하는 기반 제공

## Comments



### Comment 46662

- Author: neo
- Created: 2025-11-22T06:36:59+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=45985036) 
- 마침 타이밍이 절묘함. 우리는 최근 **연락처 매칭 방식**에 대한 RFC를 공개했음. 이 방식은 열거 공격(enumeration attack)에 강하지만, 그만큼 발견 가능성(discovery)이 줄어드는 구조임. 지금 피드백을 받고 있으니 참고 바람 — [Contact Import RFC](https://docs.bsky.app/blog/contact-import-rfc)
  - 나도 비슷한 문제를 다루면서 **Private Set Intersection**을 살펴봤음 ([위키 링크](https://en.wikipedia.org/wiki/Private_set_intersection)). 이는 **Zero Knowledge Proofs**와 관련이 있고, 전화번호를 평문으로 공유하지 않아 공격을 원천 차단할 수 있음. 다만, 이 접근은 과할 수도 있고 현재 기술로는 확장성에 한계가 있을 수 있음
  - RFC가 보안은 다루지만 **프라이버시**는 언급하지 않음. 결국 서버나 인스턴스를 신뢰해야 하는 구조임. 실제 번호 대신 해시를 쓰면 좋겠지만, 그러면 번호 검증이 불가능해져서 스푸핑 방지가 어려워짐. EFF나 Let’s Encrypt 같은 **신뢰할 수 있는 제3자**가 번호를 검증하고 앱이 해시만 가져오는 방식도 가능할 듯함
  - 좋은 시점에 이 얘기를 꺼내줘서 반가움. 내 앱도 곧 연락처 동기화를 추가할 예정이라 **보안성과 프라이버시**를 고민 중임. 혹시 이 RFC를 오픈소스로 공개할 계획이 있는지 궁금함
- 기사에서 인용된 부분이 흥미로움. 2021년 Facebook 데이터 유출 당시 노출된 5억 개의 전화번호 중 절반이 여전히 **WhatsApp에서 활성 상태**였다고 함. 이는 유출된 번호가 수년간 **스팸 전화나 사기**에 노출될 수 있음을 보여줌. 전화번호의 ‘** 반감기**’가 약 4~5년이라는 뜻 같음
  - 미국인들이 어릴 때 받은 번호를 성인이 되어서도 그대로 쓰는 걸 보면 놀라움. 나는 예전에 매년 번호를 바꾸곤 했음
- 이번 취약점은 특정 전화번호가 **WhatsApp 계정과 연결되어 있는지** 확인할 수 있는 엔드포인트 때문이었음. 거의 모든 번호에 대해 질의가 가능했지만, 큰 취약점으로 보이진 않음
  - 하지만 왜 전화번호로 계정 존재 여부를 확인할 수 있게 하는지 의문임. 이메일 주소로는 이런 확인이 **프라이버시 침해**로 간주되는데, 전화번호는 왜 예외인지 이해가 안 됨
  - 최근 “WatApp”, “whtas app” 같은 이름으로 오는 **피싱 SMS**를 많이 받음. 이런 유출로 인해 공격 효율이 높아진 듯함. 번호 없이 발신하는 문자라 차단도 어려움
  - 사실 나 같은 사람에게는 이게 **편리한 기능**임. 인터넷에서 찾은 배관공 번호를 WhatsApp에 입력해 프로필이 있으면 바로 메시지를 보내고, 없으면 전화나 SMS로 연락함
- 이건 큰 유출이라기보단, 사용자가 **공개 프로필**을 만들어둔 상태에서 번호로 검색이 가능했던 것뿐임. 연구자들이 무작위 번호를 조회해 공개된 정보를 수집했을 뿐, 비공개 데이터는 아님. Facebook이 **rate limit**을 걸지 않아 대규모로 수집이 가능했지만, 어차피 공개된 정보였음. 민감한 정보를 공개 프로필에 올린 건 사용자 선택의 문제임
- 가장 안타까운 일 중 하나임. 인류는 **가장 인기 있는 개인 메신저**를 가질 기회가 있었지만, 2014년 190억 달러라는 금액이 Brian Acton의 눈을 멀게 했음. 지금 Signal에서 하는 일로는 **수십억 사용자 신뢰를 판 대가**를 되돌릴 수 없음
  - EU가 이 거래를 막았어야 했음. 수익 모델도 없는 회사가 190억 달러의 가치를 가진다는 건 말이 안 됐고, Facebook이 노린 건 **사용자 데이터**였음. 대신 USB-C 강제 같은 걸로 만족했으니 허탈함
- 이건 단순히 **전화번호 열거(enumeration)** 문제임. 코드 결함이 아니라 명시된 기능이라 ‘보안 취약점’이라 부르긴 애매함
  - 하지만 **rate limiting이 전혀 없는** 민감한 엔드포인트는 결함으로 볼 수 있음
  - 단일 번호라도 계정 존재 여부를 확인할 수 있다면 **프라이버시 침해**임. 만약 그 서비스가 부적절하거나 민감한 사이트라면, 번호만으로 가입 여부를 알아내는 건 심각한 문제임. 이런 정보를 자동화해 **프로파일링**까지 가능하다는 점이 위험함
  - 초당 1억 건 수준의 요청이 가능했다니, 그건 정말 **말도 안 되는 수준**임
- 오늘 아침 갑자기 **WhatsApp에서 로그아웃**된 걸 발견했음. 재로그인하려 했지만 인증 SMS가 오지 않았고, 다행히 “전화로 받기”로 복구 코드를 받았음. 하지만 **2FA PIN**을 설정하지 않아 복구가 막혔고, 이메일 복구도 설정 안 되어 있었음. 지금은 7일 대기 중임. 번호는 여전히 내 소유인데 계정을 복구할 수 없다는 게 이상함. 모든 사용자에게 **2FA와 복구 이메일 설정**을 강력히 권장함
  - 단순히 전화번호만으로 계정을 복구할 수 있다면 오히려 **보안상 위험**임. 번호가 재할당되면 새 사용자가 이전 사용자의 대화와 연락처를 물려받게 되기 때문임
- 이건 2020년에 발표된 **WhatsApp, Telegram, Signal의 연락처 검색 논문**과 유사함 ([링크](https://encrypto.de/news/contact-discovery)). 결국 전체 전화번호 집합을 열거하지 못하게 막는 건 **서버 측 rate limit**뿐임. 각 메신저의 제한이 충분한지 궁금함
- 예전에 이런 연구에 참여한 적 있음. [국가별 휴대전화 접두사 목록](https://en.wikipedia.org/wiki/List_of_mobile_telephone_prefixes_by_country)이 매우 유용했음. 다만 참고된 **libphonegen** 링크는 찾지 못했음
- 핵심은 **메시징 서비스의 중앙화 위험**임. 사실 중앙화는 어떤 분야에서도 문제지만, 사용자들은 여전히 **편리함과 통합성**을 원함. 이를 분산 시스템에서 구현하는 건 정말 어려운 일임
  - 초기에 이메일처럼 개방형으로 출발했더라면 어땠을까 생각함. 90년대에 “이메일 주소가 뭐야?” 대신 “**공개키가 뭐야?** ”라고 물었다면 지금쯤 **디지털 유토피아**에 살고 있었을지도 모름
  - [SimpleX Chat](https://simplex.chat/)은 **보안성과 탈중앙화**를 꽤 잘 결합한 사례로 보임
  - 솔직히 기술적 역량 면에서는 정부보다 **Meta에 더 신뢰**가 감. 정부의 디지털 프로젝트는 실패율이 높고, FAANG을 비판하더라도 그들보다 나은 결과를 내기 어려움
  - 방금 HN 메인에 올라온 **Matrix 스레드**를 읽었는데, 같은 맥락의 논의였음