왓츠앱, 전세계 수 십 억명 ‘위험’에 빠뜨릴 수도

[애플경제 이윤순 기자] 메타의 왓츠앱(WhatsApp)의 연락처가 대거 노출되면서 자칫 이를 악용하면 전 세계 35억 개의 전화번호를 매핑하고, 타데이터를 통해 계정 디렉터리를 구축할 수 있을 것이란 분석이 나와 큰 우려를 자아내고 있다. 이런 우려가 현실화될 경우 이는 지구촌 사이버범죄 역사상 최대 규모가 될 것이란 전망이다.

19일 오스트리아 연구진은 왓츠앱을 대상으로 주요 취약점, 즉 해당 앱의 기본적 기능인 ‘연락처 조회’를 악용할 경우 전세계 사용자 디렉터리를 구축할 수 있다고 밝혔다. 즉 “연락처 검색 도구를 일반적인 용도를 훨씬 뛰어넘는 수준으로 확장함으로써, 왓추앱 계정에 연결된 35억 개의 활성 전화번호를 확인할 수 있다”는 것이다.

왓츠앱의 취약점이 어느 정도인지를 조사해온 이들 연구진은 “만약 이러한 노출이 본 연구진이 아닌, 범죄자들의 소행으로 이뤄질 경우, 역사상 최대 규모의 데이터 유출이 되었을 것”이라고 지적했다.

연구진에 의하면 이렇게 노출된 계정의 데이터에는 전화번호, 타임스탬프, 텍스트, 프로필 사진, E2EE 암호화를 위한 공개 키 등이 망라되어 있다. 이런 데이터들이 노출될 경우엔 해당 사용자들에게 큰 피해를 안길 수 있다는 우려다.

연구진, 245개국에서 가능한 전화번호 생성

연구진은 왓츠앱의 취약점을 분석하기 위해 표준 앱을 사용하는 대신, ‘whatsmeow’라는 리버스 엔지니어링 클라이언트를 통해 왓츠앱의 기본 XMPP 인터페이스를 활용했다. 그 결과 5개의 동시 세션과 단일 서버만으로 ‘왓츠앱의 기본 XMPP 인터페이스를 실행할 수 있었다.

연구진은 먼저 245개국에서 가능한 전화번호를 생성한 다음, 각 전화번호가 왓츠앱에서 활성화되어 있는지 확인했다. 그 과정에서 메타 ‘왓츠앱’측이 이를 차단하거나, 속도를 제한, 경고하는 등의 조치를 예상했다. 그러나 실제론 아무런 조치도 취해지지 않았다고 지적했다.

연구진은 “뚜렷한 속도 제한은 발생하지 않았다”면서 앱측의 차단이나 속도 저하 없이 데이터 분석을 완료했다고 전했다. 이 데이터에서 도출된 결과는 사실상 왓츠앱 전체 사용자들의 것을 스냅샷한 것이다.

이 조사는 왓츠앱이 가장 인기 있는 지역, 혹은 안드로이드와 iOS 중 어느 국가에 더 많이 의존하는지, 그리고 얼마나 많은 사람들이 ‘소개’ 줄이나 프로필 사진을 통해 개인 정보를 공개적으로 노출하는지를 보여주는 것이다. 왓츠앱은 세계 각지에서 사용자의 절반 이상이 프로필 사진을 공개적으로 표시하는 것을 허용하고 있다. “이를 통해 대량으로 손쉽게 이미지를 다운로드할 수 있음을 확인했다”는 연구진의 지적이다.

특히 눈길을 끄는 것은 왓츠앱이 금지된 국가조차도 사정은 비슷했다는 점이다. 실제로 중국에서 230만 개, 미얀마에서 160만 개, 그리고 북한에서도 5개의 활성 계정을 확인한 것으로 전해졌다. 많은 사람들이 제한에도 불구하고 플랫폼을 계속 사용하고 있음을 보여주는 것이다. 심지어 2024년 말까지 왓츠앱이 금지되었던 이란에서는 무려 5,900만 개 이상의 활성 계정을 발견했다.

메타, ‘궁색한 변명’ 끝 황급히 일부 기능 보완

이같은 취약점이 확인된데 대해 메타는 뒤늦게 ‘와이어드’ 등 언론 보도자료를 통해 “취약점이 있음을 인정한다.”면서도 “그러나 회사가 이미 스크래핑 방지 방어 체계를 강화하고 있다”고 밝혔다. 메타는 다만 이번에 노출된 정보들은 “기본적으로 공개적으로 이용 가능한 정보”라고 해명하며, “프로필 정보를 비공개로 설정한 사용자는 여전히 보호를 받고 있다”고 주장했다.

나아가선 “그렇다고 악의적인 공격자가 이 공격 벡터를 악용했다는 증거는 발견되지 않았다”고 강조하며, “다시 한번 말씀드리지만, 왓츠앱의 기본 ‘종단 간 암호화’ 덕분에 사용자 메시지는 비공개로 안전하게 유지되었고, 그 때문에 이번 조사에 임한 연구진은 비공개 데이터에 접근할 수 없었다”고 주장했다.

메타는 또한 “회사 차원에서 새로운 스크래핑 방지 보호 체계를 개발하고 있다”며 “다만 이번 오스트리아 연구진의 연구가 해당 시스템의 (취약점 보완을 강화하는) ‘스트레스 테스트’에 도움이 되었다”고 덧붙였다.

메타는 이같은 조사·분석이 나온 후 ‘왓츠앱’ 웹 인터페이스에 더욱 엄격한 속도 제한을 적용했다. 사실상 연구진이 사용한 정확한 기술에 대한 접근을 사실상 차단하려는 의도가 담긴 것이다.

그럼에도 개인정보 보호 전문가들은 “전화번호 기반 서비스는 대규모 스크래핑의 유혹적인 표적이 될 수 있다”고 경고하고 있다. 특히 특유의 ‘간편함’으로 인해 전 세계적으로 큰 인기를 얻고 있는 왓츠앱의 특성상 더욱 그렇다. 다만 왓츠앱은 현재 베타 버전에서 사용자 이름 기능을 테스트하고 있어 향후 이런 위험을 줄일 수 있을 것으로 전망된다.

결국 이번 조사 결과는 “왓츠앱의 데이터 노출로 인해 메타가 전 세계 수십억 명의 사용자를 위험에 빠뜨리는 결함을 무시해 왔다”는 비판을 사기에 충분한 근거로 제시된 셈이다.