1P by GN⁺ | ★ favorite | 댓글 1개
  • 이란 국영 TV는 화요일 오후 국민에게 스마트폰에서 WhatsApp 삭제를 촉구하며, 앱이 사용자 정보를 모아 이스라엘에 보낸다고 주장했지만 구체적 증거는 내놓지 않음
  • WhatsApp은 이를 허위 보도로 반박하고, 사람들이 가장 필요로 하는 시기에 서비스 차단의 명분으로 쓰일 수 있다고 우려함
  • 서비스는 종단 간 암호화를 사용해 중간 제공자가 메시지를 읽을 수 없으며, WhatsApp은 정확한 위치 추적·대화 상대 로그 보관·개인 메시지 추적·정부 대상 대량 정보 제공을 하지 않는다고 밝힘
  • Cornell University의 사이버보안 전문가 Gregory Falco는 암호화되지 않는 메타데이터만으로도 앱 사용 방식에 관한 정보를 파악할 수 있음이 입증됐다고 봄
  • 이란은 여러 소셜 미디어 플랫폼을 차단해 왔지만 많은 사용자가 프록시와 VPN으로 우회 접속했고, WhatsApp과 Google Play는 2022년 금지됐다가 지난해 말 해제됨

국영 TV의 삭제 촉구와 근거 부족

  • 이란 국영 TV는 화요일 오후 국민에게 스마트폰에서 WhatsApp을 제거하라고 촉구함
  • 이유로 WhatsApp이 사용자 정보를 수집해 이스라엘에 보낸다는 주장을 내놨지만, 이를 뒷받침할 구체적 증거는 제시하지 않음

WhatsApp의 반박과 암호화 구조

  • WhatsApp은 해당 보도를 허위 보도로 규정하고, 사람들이 가장 필요로 하는 시기에 서비스 차단의 구실이 될 수 있다고 우려함
  • 서비스는 종단 간 암호화를 사용함
    • 중간에 있는 서비스 제공자는 메시지를 읽을 수 없음
    • 메시지는 발신자와 수신자만 볼 수 있도록 뒤섞이며, 제3자가 가로채도 키 없이는 풀 수 없는 내용만 보임
  • WhatsApp은 자사 데이터 처리 방식에 대해 다음과 같이 밝힘
    • 사용자의 정확한 위치를 추적하지 않음
    • 누가 누구에게 메시지를 보내는지에 대한 로그를 보관하지 않음
    • 사람들이 서로 보내는 개인 메시지를 추적하지 않음
    • 어떤 정부에도 대량 정보를 제공하지 않음

암호화 밖에 남는 메타데이터

  • Cornell University의 공학 조교수이자 사이버보안 전문가인 Gregory Falco는 WhatsApp에서 암호화되지 않는 메타데이터를 이해할 수 있음이 입증됐다고 말함
  • 이런 메타데이터를 통해 사람들이 앱을 어떻게 사용하는지에 관한 정보를 파악할 수 있으며, 이 때문에 일부 사용자는 WhatsApp 사용을 꺼려 왔다고 봄

데이터 주권과 인프라 위치

  • Falco는 또 다른 쟁점으로 데이터 주권을 짚음
  • 특정 국가의 WhatsApp 데이터를 호스팅하는 데이터센터가 반드시 그 국가 안에 있는 것은 아님
    • 예를 들어 이란의 WhatsApp 데이터가 이란 안에서 호스팅되지 않을 가능성이 충분하다고 말함
  • 그는 국가가 자국 데이터를 자국 내에 보관하고, 자체 알고리듬으로 자국 내에서 처리해야 한다고 봄
  • 전 세계 데이터 인프라 네트워크를 신뢰하기가 점점 어려워지고 있다는 점도 덧붙임

Meta 소유 서비스와 이란의 차단 이력

  • WhatsApp은 Facebook과 Instagram의 모회사인 Meta Platforms가 소유함
  • 이란은 수년 동안 여러 소셜 미디어 플랫폼 접근을 차단해 왔지만, 많은 이용자는 프록시와 VPN으로 접속해 왔음
  • 2022년에는 도덕 경찰에 구금됐던 여성의 사망을 둘러싼 반정부 대규모 시위 기간에 WhatsApp과 Google Play를 금지함
  • 해당 금지는 지난해 말 해제
  • WhatsApp은 Instagram, Telegram과 함께 이란에서 가장 인기 있는 메시징 앱 중 하나였음

댓글과 토론

Hacker News 의견들
  • Meta 발표문의 단어 선택이 제일 흥미로움
    “우리는 사용자의 정확한 위치를 추적하지 않고, 모든 사람이 누구와 메시지를 주고받는지 로그를 보관하지 않으며, 사람들이 서로 보내는 개인 메시지를 추적하지 않는다”라고 했고, “어떤 정부에도 대량 정보를 제공하지 않는다”고 덧붙임

    • 문장 사이를 읽어보면, 대략적 위치는 추적하고, 단체 메시지는 기록하며, 정부 요청이 있으면 특정 정보는 제공한다는 뜻처럼 들림
    • 이건 그냥 거짓말임. Meta에서 일했던 사람을 개인적으로 아는데, 정부가 질의한 조건에 따라 데이터를 대량 내보내기 할 수 있는 도구를 만드는 전담 팀들이 있었다고 함
      어느 정부가 어떤 접근 권한을 가졌는지, 영장 기반이었는지, 어떤 국가였는지, 실제 테러리스트와 언론인 탄압 사이의 선이 어디였는지는 정확히 모름
      하지만 대량 내보내기는 분명히 있었고, 그걸 두고 거짓말한다는 점 때문에 최악을 가정하게 됨
    • “모든 사람이 누구와 메시지를 주고받는지 로그를 보관하지 않는다”는 부분에 대해, https://faq.whatsapp.com/444002211197967/?locale=en_US에는 이렇게 나옴
      일반적인 서비스 제공 과정에서 WhatsApp은 전달된 메시지나 전달된 메시지의 거래 로그를 저장하지 않으며, 미전달 메시지는 30일 뒤 서버에서 삭제된다고 함
      하지만 사용자 안전, 불법 활동 탐지·조사·방지, 법적 절차나 정부 요청 대응, 약관·정책 집행을 위해 필요하다고 선의로 판단하면 사용자 정보를 수집·사용·보존·공유할 수 있고, 여기에는 일부 사용자가 서비스에서 다른 사용자와 어떻게 상호작용하는지에 관한 정보가 포함될 수 있다고 되어 있음
      이 문구는 사람들이 서로 누구와 메시지를 주고받는지 로그를 보관하지 않는다는 주장과 충돌함
    • 이 회사는 Android에 비밀 localhost 리스너를 만들어서 비공개 모드에서도 웹사이트 간 사용자를 추적하려 했던 회사임. 이 말을 1초도 믿으면 안 됨
      오히려 모든 것을 고정밀로 추적하고 메시지도 중간자 공격(MITM)하고 있다고 보는 쪽이 더 그럴듯함. 특히 이제 광고까지 넣고 있으니 더 그렇다
    • 같은 문장을 말하되 매번 다른 단어를 강조하는 게임 같음
      우리는 모든 사람이 누구와 메시지를 주고받는지 로그를 보관하지 않는다…”
      “우리는 모든 사람이 누구와 메시지를 주고받는지 로그를 보관하지 않는다…”
      “우리는 모든 사람이 누구와 메시지를 주고받는지 로그를 보관하지 않는다…” 같은 식임
  • WhatsApp이 종단 간 암호화된 채팅을 중간자 공격한다는 식의 근거 약한 추측이 많지만, 정부가 접근할 가능성이 가장 큰 경로는 이미 공개된 곳에 있음
    WhatsApp은 사용자가 채팅을 iCloud나 Google Drive에 백업하도록 강하게 유도함. 이 백업은 기본적으로 암호화되지 않았거나, 적어도 Meta가 아는 키로 암호화되어 있고, 대부분의 사용자는 기본값을 그대로 씀
    iMessage도 똑같음. “iCloud Backup”과 “iMessage in the cloud”가 켜져 있으면, “Advanced Data Protection”도 켜지 않는 한 받은 메시지가 Apple이 접근 가능한 키로 Apple에 업로드됨. 그리고 이 역시 기본값이 아님
    사용자가 기본값을 벗어날 수는 있지만, 대화가 실제로 비공개가 되려면 양쪽 모두 그래야 함. 그 정도로 동기가 있다면 이미 Signal을 쓰면 됨

  • 말이 됨. 이스라엘은 Gaza의 팔레스타인인을 표적으로 삼는 데 WhatsApp 메타데이터를 사용한 것으로 보임: https://www.972mag.com/lavender-ai-israeli-army-gaza/
    인용된 내용에 따르면 해결책은 인공지능이고, 책에는 Lavender와 비슷한 “표적 기계”를 만드는 짧은 안내가 있으며, 인공지능과 기계학습 알고리즘을 기반으로 함
    개인의 점수를 높일 수 있는 “수백·수천” 개 특징의 예로, 알려진 무장세력과 같은 WhatsApp 그룹에 있는 것, 몇 달마다 휴대전화를 바꾸는 것, 주소를 자주 바꾸는 것 등이 포함됨

  • 이스라엘은 WhatsApp이 설치되어 있을 필요조차 없음
    IDF의 Unit 8200[1]은 Iran의 대부분 휴대전화를 해킹할 수 있을 것이고, 안 되면 NSO Group 같은 민간 스파이웨어 회사[2][3]가 있음
    [1] https://en.wikipedia.org/wiki/Unit_8200
    [2] https://en.wikipedia.org/wiki/NSO_Group
    [3] https://mepc.org/commentaries/israeli-cyber-companies-overvi...

    • Iran 출신 동료가 있었는데, 그쪽 컴퓨터는 전부 Farsi로 번역된 같은 불법 복제 Windows XP를 돌린다고 했음. 악용하기 쉬움
    • “보이지 않는” SMS를 다른 나라 이동통신망에 어떻게 들키지 않고 보내는지 모르겠음. 특히 대규모로는 더더욱 어려움
      OMA DM, FOTA 업데이트/접근, 미국 일부 통신사가 원격 접근용으로 휴대전화나 모뎀에 미리 설치하는 바이너리 등은 리버스 엔지니어링을 해봐서 알고 있음
      그래도 표적 국가의 이동통신망 사업자에게 보이지 않게 만들 수 있다는 점은 납득이 잘 안 됨
    • 이건 Iran 현 정권이 이란인들이 쿠데타를 조율하지 못하게 하려고 쓰는 핑계라고 봄
      “우연히도” 망명 중인 정통 왕세자, 즉 Pahlavi 왕조 쪽 인물이 소셜미디어에서 복귀하며 현 이란 정권은 무너질 것이라고 말하고 있음
      온라인에서는 현 정권이 어떻게 무너지고 있는지 논의가 많고, 샤리아 법으로 통치하는 저 수염 난 남자들이 사라지면 기뻐할 사람도 많음
      그 이슬람 국가의 꼭대기에 있는 종교 광신도들이 가장 원하지 않는 건, 이란인들 스스로 이 기회를 이용해 정권을 뒤집는 것임
      “이스라엘이 당신 위치를 찾는 데 도움을 주지 않으려면 WhatsApp을 지워라”라는 말의 진짜 뜻은 “왕세자가 샤리아 처벌 없는 삶을 주겠다고 발표하는 영상을 공유하지 말라”에 가까움
  • 많은 서구 앱에 백도어가 있다고 믿을 만한 이유가 있고, Iran 같은 나라에는 앱 스토어를 통해 특정 백도어가 제공될 수도 있음
    자동차 기술과 카메라도 마찬가지임. 정보기관에서 일한다면 문자 그대로 꿈 같은 도구임. 원래는 극도로 어려운 거리의 실시간 감시가 가능해지기 때문임
    몇 마일 떨어진 거리나 집의 최근 사진이 필요했던 적이 얼마나 많았는지 모름. 360도 차량 카메라가 있으면 사람을 추적하고, 몇 분 전 변화까지 볼 수 있음
    왜 이런 나라들이 이런 기능을 차단하거나 완전히 꺼지도록 의무화하지 않는지 모르겠음

    • 이 스레드에서 “많은 서구 앱에 백도어가 있다”는 정서가 흔함
      직감과 실무 경험 모두 어느 정도는 사실이라고 말해주지만, 사람들이 음모론과 정당한 추측을 어떻게 구분하는지 궁금함
  • Iranian 정권의 우려가 WhatsApp이 이스라엘과 정보를 공유한다는 데 집중되어 있다는 게 놀라움. WhatsApp이 적극적으로 공유한다기보다, Mossad가 정보를 얻기 위해 WhatsApp의 제로데이 취약점을 쓰고 있을 가능성이 훨씬 큼

    • “Iran은 2022년 대규모 반정부 시위 때 WhatsApp과 Google Play를 금지했다”는 점을 보면, 이스라엘보다 경찰이 감청할 수 없는 암호화 통신 채널을 가진 대중을 더 두려워하는 것임. 많은 게 설명됨
    • 이스라엘이 공개적으로 조장하려는 혁명 중에 사람들이 소통할 때 선택할 플랫폼이 될까 봐 걱정하는 것일 가능성이 큼
    • SMO에 참여한 러시아 병사들이 WhatsApp으로 가족과 문자와 사진을 주고받으면, 다음 날 그 정보가 사진까지 포함해 우크라이나 군 본부에 들어간다고 여러 번 보고했음. 이후 병사 가족을 괴롭히는 데 쓰이기도 했다고 함
      다른 메커니즘일 수도 있음. 예를 들면 Google Drive나 다른 종류의 악성코드일 수 있음
      2011년 Snowden 폭로 이후 NSA와 CIA가 하드웨어와 펌웨어부터 곳곳에 버그를 심는 세상에서는 확신하기 어려움
  • Iran의 주장이 사실인지는 모르겠지만, 솔직히 이런 앱들이 실제로 무엇을 기록하는지는 늘 불안했음. 종단 간 암호화는 훌륭하지만 메타데이터는 보호하지 못함
    진짜 문제는 우리가 아직도 추측 중이라는 점임. 이 문제에 대해 정말 자신 있게 말할 수 있는 사람이 있나

    • 아님. Meta가 엮여 있으면 가능한 모든 방식으로 이득을 챙기고 있을 것임
      WhatsApp에 “종단 간 암호화”가 있다는 홍보는 사실일 수 있지만, 그건 개인정보 보호와 소비자 친화성을 위해 할 수 있는 다른 좋은 일들을 하지 않는다는 뜻이기도 함
  • Iran 안에 있는 사람이 이에 대해 말해줄 수 있나? 현지 시민들은 WhatsApp을 어떻게 보고 있나

    • Iran 사람임. 대부분의 이란인은 Telegram이나 WhatsApp을 쓰고, 둘 다 지금은 차단되어 VPN으로만 사용할 수 있음
      몇 년째 차단되어 있었고, WhatsApp은 몇 달 전 풀렸지만 이스라엘 공격 이후 다시 차단됨
      많은 이란인이 정권이 하는 말을 믿거나 신경 쓴다고 보지는 않음. 다만 정권 지지자 소수는 믿을 수 있는데, 애초에 그들은 WhatsApp을 쓰지 않았을 가능성이 큼
      그래도 정권 자체는 이걸 정말 믿는 것 같음. 예를 들어 고위 관리들이 이제 휴대전화처럼 인터넷에 연결되는 전자기기를 쓰지 못하게 됐다는 소식도 있었음
    • 잘은 모르지만 현지 대안은 있음. 이란에는 여러 서비스를 연합하는 브리지 프로토콜이 있음: https://en.wikipedia.org/wiki/Message_Exchange_Bus
  • 주요 소셜미디어와 메시징 플랫폼은 모두 침해되어 있고 감시 도구로 쓰이므로, 이란 정부가 틀린 말만 하는 건 아님

    • 틀리진 않지만, 특히 Meta는 국가 행위자의 요구에 유난히 잘 협조하는 편임
    • Iran의 무장세력, 민병대, 정부를 무너뜨리는 데 필요한 수준에 비하면 Iraq와 Gaza는 완전히 농담 같은 규모였음
      지형의 상당 부분은 Afghanistan과 비슷함. 부족 기반 이슬람 동맹은 중앙정부 상실에도 잘 버팀. 특정 이슬람 무장세력을 눈감아줄 가능성이 있는 2개 이상 국가와 맞닿은 거대한 다공성 산악 국경도 있음
      모두가 완전한 제공권과 지도부 전복 캠페인을 삼키고 싶어 하고, WhatsApp이 정권을 52명의 처녀와 갈라놓을 수도 있다고 믿고 싶어 한다는 건 알겠음. 하지만 이건 선전 캠페인
      초기 선전은 시민들이 피에 발을 담가 되돌릴 수 없게 될 만큼 오래 동의를 제조하는 역할만 함. 우리는 속아 넘어가는 과정에 있음