왓츠앱에서 발견된 보안 취약점

 (univie.ac.at)
1P by GN⁺ 13일전 | ★ favorite | 댓글 1개
  • 오스트리아 빈 대학교와 SBA Research 연구진이 왓츠앱의 연락처 검색 메커니즘에서 35억 개 계정을 열거할 수 있는 대규모 개인정보 취약점을 발견
  • 연구진은 시간당 1억 개 이상의 전화번호를 조회할 수 있음을 입증했으며, 메타는 연구진과 협력해 문제를 수정
  • 수집 가능한 데이터는 전화번호, 공개 키, 타임스탬프, 공개 설정된 프로필 정보 등으로, 이를 통해 운영체제·계정 연령·연결 기기 수를 추론 가능
  • 분석 결과, 왓츠앱이 금지된 국가(중국·이란·미얀마 등) 에서도 수백만 개의 활성 계정이 존재하며, 안드로이드 81%·iOS 19% 의 글로벌 분포가 확인됨
  • 이번 연구는 메타데이터 분석만으로도 개인정보 노출 위험이 존재함을 보여주며, 지속적이고 독립적인 보안 연구의 중요성을 강조

왓츠앱 연락처 검색 취약점 발견

  • 연구진은 왓츠앱의 연락처 검색(contact discovery) 기능이 사용자의 주소록을 기반으로 다른 사용자를 찾는 구조임을 이용해, 시간당 1억 개 이상의 전화번호를 질의할 수 있음을 확인
    • 이를 통해 245개국에서 35억 개 이상의 활성 계정을 식별
    • 단일 소스에서 이처럼 많은 요청을 처리한 것은 시스템 설계상의 결함을 드러낸 것으로 평가됨
  • 접근 가능한 데이터는 전화번호, 공개 키, 타임스탬프, 공개된 프로필 사진 및 소개글 등이며, 이를 통해 운영체제 종류, 계정 생성 시기, 연결된 기기 수를 추론 가능

주요 연구 결과

  • 왓츠앱이 공식적으로 금지된 국가(중국, 이란, 미얀마) 에서도 수백만 개의 활성 계정이 존재
  • 글로벌 단말 비율은 안드로이드 81%, iOS 19%로 나타났으며, 지역별 개인정보 공개 행태(예: 프로필 사진 공개 여부, 소개글 사용 등)에 차이 존재
  • 일부 사례에서 암호 키 재사용이 발견되어, 비공식 클라이언트나 사기성 사용 가능성을 시사
  • 2021년 페이스북 데이터 유출에 포함된 5억 개 전화번호 중 약 절반이 여전히 왓츠앱에서 활성 상태로 확인
    • 이는 유출된 번호가 사기 전화 등 2차 피해에 노출될 위험을 유지함을 의미

데이터 처리 및 보안 영향

  • 연구 과정에서 메시지 내용에는 접근하지 않았으며, 모든 수집 데이터는 공개 전 삭제
  • 왓츠앱의 종단간 암호화(end-to-end encryption) 는 메시지 내용을 보호하지만, 메타데이터는 보호 대상이 아님
  • 연구진은 메타데이터의 대규모 수집·분석만으로도 개인정보 침해 위험이 발생할 수 있음을 확인

메타와의 협력 및 대응 조치

  • 연구는 책임 있는 공개(responsible disclosure) 원칙에 따라 수행되었으며, 결과는 즉시 메타에 보고
  • 메타는 이후 요청 제한(rate-limiting) , 프로필 정보 접근 강화 등 대응책을 도입
  • 메타는 연구진의 협력에 감사를 표하며, 새로운 열거(enumeration) 기법이 기존 방어 한계를 초과했음을 인정
    • 연구 결과는 자사 안티 스크래핑 시스템의 효과 검증에도 기여
    • 악의적 남용 사례는 발견되지 않았으며, 사용자 메시지는 안전하게 보호됨

연구 배경 및 연속 연구

  • 이번 논문은 빈 대학교와 SBA Research가 수행한 세 번째 메신저 보안 연구로, 왓츠앱과 시그널의 설계·구현상의 개인정보 노출 가능성을 분석
  • 이전 연구:
    • “Careless Whisper” (RAID 2025) : 왓츠앱의 조용한 전달 영수증(silent delivery receipts) 을 이용해 사용자 활동 패턴을 추론 가능함을 입증
    • “Prekey Pogo” (USENIX WOOT 2025) : 왓츠앱의 프리키(prekey) 분배 메커니즘에서 구현상의 약점을 분석
  • 이번 연구 “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” 는 이 연구 흐름을 확장해, 전 세계 규모의 사용자 열거 가능성을 실증
    • 연구 결과는 NDSS 2026 학회에서 발표 예정

연구의 의의

  • 연구진은 성숙한 시스템도 설계 결함을 가질 수 있음을 지적하며, 보안·프라이버시는 지속적 재평가가 필요함을 강조
  • 학계와 산업계의 투명한 협력이 사용자 보호와 남용 방지에 핵심적임을 제시
  • 이번 연구는 메시징 시스템의 진화와 새로운 위험 지점을 장기적으로 이해하는 기반 제공
GN⁺ 13일전  [-]
Hacker News 의견
  • 마침 타이밍이 절묘함. 우리는 최근 연락처 매칭 방식에 대한 RFC를 공개했음. 이 방식은 열거 공격(enumeration attack)에 강하지만, 그만큼 발견 가능성(discovery)이 줄어드는 구조임. 지금 피드백을 받고 있으니 참고 바람 — Contact Import RFC
    • 나도 비슷한 문제를 다루면서 Private Set Intersection을 살펴봤음 (위키 링크). 이는 Zero Knowledge Proofs와 관련이 있고, 전화번호를 평문으로 공유하지 않아 공격을 원천 차단할 수 있음. 다만, 이 접근은 과할 수도 있고 현재 기술로는 확장성에 한계가 있을 수 있음
    • RFC가 보안은 다루지만 프라이버시는 언급하지 않음. 결국 서버나 인스턴스를 신뢰해야 하는 구조임. 실제 번호 대신 해시를 쓰면 좋겠지만, 그러면 번호 검증이 불가능해져서 스푸핑 방지가 어려워짐. EFF나 Let’s Encrypt 같은 신뢰할 수 있는 제3자가 번호를 검증하고 앱이 해시만 가져오는 방식도 가능할 듯함
    • 좋은 시점에 이 얘기를 꺼내줘서 반가움. 내 앱도 곧 연락처 동기화를 추가할 예정이라 보안성과 프라이버시를 고민 중임. 혹시 이 RFC를 오픈소스로 공개할 계획이 있는지 궁금함
  • 기사에서 인용된 부분이 흥미로움. 2021년 Facebook 데이터 유출 당시 노출된 5억 개의 전화번호 중 절반이 여전히 WhatsApp에서 활성 상태였다고 함. 이는 유출된 번호가 수년간 스팸 전화나 사기에 노출될 수 있음을 보여줌. 전화번호의 ‘** 반감기**’가 약 4~5년이라는 뜻 같음
    • 미국인들이 어릴 때 받은 번호를 성인이 되어서도 그대로 쓰는 걸 보면 놀라움. 나는 예전에 매년 번호를 바꾸곤 했음
  • 이번 취약점은 특정 전화번호가 WhatsApp 계정과 연결되어 있는지 확인할 수 있는 엔드포인트 때문이었음. 거의 모든 번호에 대해 질의가 가능했지만, 큰 취약점으로 보이진 않음
    • 하지만 왜 전화번호로 계정 존재 여부를 확인할 수 있게 하는지 의문임. 이메일 주소로는 이런 확인이 프라이버시 침해로 간주되는데, 전화번호는 왜 예외인지 이해가 안 됨
    • 최근 “WatApp”, “whtas app” 같은 이름으로 오는 피싱 SMS를 많이 받음. 이런 유출로 인해 공격 효율이 높아진 듯함. 번호 없이 발신하는 문자라 차단도 어려움
    • 사실 나 같은 사람에게는 이게 편리한 기능임. 인터넷에서 찾은 배관공 번호를 WhatsApp에 입력해 프로필이 있으면 바로 메시지를 보내고, 없으면 전화나 SMS로 연락함
  • 이건 큰 유출이라기보단, 사용자가 공개 프로필을 만들어둔 상태에서 번호로 검색이 가능했던 것뿐임. 연구자들이 무작위 번호를 조회해 공개된 정보를 수집했을 뿐, 비공개 데이터는 아님. Facebook이 rate limit을 걸지 않아 대규모로 수집이 가능했지만, 어차피 공개된 정보였음. 민감한 정보를 공개 프로필에 올린 건 사용자 선택의 문제임
  • 가장 안타까운 일 중 하나임. 인류는 가장 인기 있는 개인 메신저를 가질 기회가 있었지만, 2014년 190억 달러라는 금액이 Brian Acton의 눈을 멀게 했음. 지금 Signal에서 하는 일로는 수십억 사용자 신뢰를 판 대가를 되돌릴 수 없음
    • EU가 이 거래를 막았어야 했음. 수익 모델도 없는 회사가 190억 달러의 가치를 가진다는 건 말이 안 됐고, Facebook이 노린 건 사용자 데이터였음. 대신 USB-C 강제 같은 걸로 만족했으니 허탈함
  • 이건 단순히 전화번호 열거(enumeration) 문제임. 코드 결함이 아니라 명시된 기능이라 ‘보안 취약점’이라 부르긴 애매함
    • 하지만 rate limiting이 전혀 없는 민감한 엔드포인트는 결함으로 볼 수 있음
    • 단일 번호라도 계정 존재 여부를 확인할 수 있다면 프라이버시 침해임. 만약 그 서비스가 부적절하거나 민감한 사이트라면, 번호만으로 가입 여부를 알아내는 건 심각한 문제임. 이런 정보를 자동화해 프로파일링까지 가능하다는 점이 위험함
    • 초당 1억 건 수준의 요청이 가능했다니, 그건 정말 말도 안 되는 수준
  • 오늘 아침 갑자기 WhatsApp에서 로그아웃된 걸 발견했음. 재로그인하려 했지만 인증 SMS가 오지 않았고, 다행히 “전화로 받기”로 복구 코드를 받았음. 하지만 2FA PIN을 설정하지 않아 복구가 막혔고, 이메일 복구도 설정 안 되어 있었음. 지금은 7일 대기 중임. 번호는 여전히 내 소유인데 계정을 복구할 수 없다는 게 이상함. 모든 사용자에게 2FA와 복구 이메일 설정을 강력히 권장함
    • 단순히 전화번호만으로 계정을 복구할 수 있다면 오히려 보안상 위험임. 번호가 재할당되면 새 사용자가 이전 사용자의 대화와 연락처를 물려받게 되기 때문임
  • 이건 2020년에 발표된 WhatsApp, Telegram, Signal의 연락처 검색 논문과 유사함 (링크). 결국 전체 전화번호 집합을 열거하지 못하게 막는 건 서버 측 rate limit뿐임. 각 메신저의 제한이 충분한지 궁금함
  • 예전에 이런 연구에 참여한 적 있음. 국가별 휴대전화 접두사 목록이 매우 유용했음. 다만 참고된 libphonegen 링크는 찾지 못했음
  • 핵심은 메시징 서비스의 중앙화 위험임. 사실 중앙화는 어떤 분야에서도 문제지만, 사용자들은 여전히 편리함과 통합성을 원함. 이를 분산 시스템에서 구현하는 건 정말 어려운 일임
    • 초기에 이메일처럼 개방형으로 출발했더라면 어땠을까 생각함. 90년대에 “이메일 주소가 뭐야?” 대신 “공개키가 뭐야? ”라고 물었다면 지금쯤 디지털 유토피아에 살고 있었을지도 모름
    • SimpleX Chat보안성과 탈중앙화를 꽤 잘 결합한 사례로 보임
    • 솔직히 기술적 역량 면에서는 정부보다 Meta에 더 신뢰가 감. 정부의 디지털 프로젝트는 실패율이 높고, FAANG을 비판하더라도 그들보다 나은 결과를 내기 어려움
    • 방금 HN 메인에 올라온 Matrix 스레드를 읽었는데, 같은 맥락의 논의였음
답변달기