왓츠앱에서 발견된 보안 취약점

2 weeks ago 9

오스트리아 빈 대학교와 SBA Research 연구진이 왓츠앱의 연락처 검색 메커니즘에서 35억 개 계정을 열거할 수 있는 대규모 개인정보 취약점을 발견
연구진은 시간당 1억 개 이상의 전화번호를 조회할 수 있음을 입증했으며, 메타는 연구진과 협력해 문제를 수정
수집 가능한 데이터는 전화번호, 공개 키, 타임스탬프, 공개 설정된 프로필 정보 등으로, 이를 통해 운영체제·계정 연령·연결 기기 수를 추론 가능
분석 결과, 왓츠앱이 금지된 국가(중국·이란·미얀마 등) 에서도 수백만 개의 활성 계정이 존재하며, 안드로이드 81%·iOS 19% 의 글로벌 분포가 확인됨
이번 연구는 메타데이터 분석만으로도 개인정보 노출 위험이 존재함을 보여주며, 지속적이고 독립적인 보안 연구의 중요성을 강조

왓츠앱 연락처 검색 취약점 발견

연구진은 왓츠앱의 연락처 검색(contact discovery) 기능이 사용자의 주소록을 기반으로 다른 사용자를 찾는 구조임을 이용해, 시간당 1억 개 이상의 전화번호를 질의할 수 있음을 확인
- 이를 통해 245개국에서 35억 개 이상의 활성 계정을 식별
- 단일 소스에서 이처럼 많은 요청을 처리한 것은 시스템 설계상의 결함을 드러낸 것으로 평가됨
접근 가능한 데이터는 전화번호, 공개 키, 타임스탬프, 공개된 프로필 사진 및 소개글 등이며, 이를 통해 운영체제 종류, 계정 생성 시기, 연결된 기기 수를 추론 가능

왓츠앱이 공식적으로 금지된 국가(중국, 이란, 미얀마) 에서도 수백만 개의 활성 계정이 존재
글로벌 단말 비율은 안드로이드 81%, iOS 19%로 나타났으며, 지역별 개인정보 공개 행태(예: 프로필 사진 공개 여부, 소개글 사용 등)에 차이 존재
일부 사례에서 암호 키 재사용이 발견되어, 비공식 클라이언트나 사기성 사용 가능성을 시사
2021년 페이스북 데이터 유출에 포함된 5억 개 전화번호 중 약 절반이 여전히 왓츠앱에서 활성 상태로 확인
- 이는 유출된 번호가 사기 전화 등 2차 피해에 노출될 위험을 유지함을 의미

연구는 책임 있는 공개(responsible disclosure) 원칙에 따라 수행되었으며, 결과는 즉시 메타에 보고
메타는 이후 요청 제한(rate-limiting) , 프로필 정보 접근 강화 등 대응책을 도입
메타는 연구진의 협력에 감사를 표하며, 새로운 열거(enumeration) 기법이 기존 방어 한계를 초과했음을 인정
- 연구 결과는 자사 안티 스크래핑 시스템의 효과 검증에도 기여
- 악의적 남용 사례는 발견되지 않았으며, 사용자 메시지는 안전하게 보호됨

이번 논문은 빈 대학교와 SBA Research가 수행한 세 번째 메신저 보안 연구로, 왓츠앱과 시그널의 설계·구현상의 개인정보 노출 가능성을 분석
이전 연구:
- “Careless Whisper” (RAID 2025) : 왓츠앱의 조용한 전달 영수증(silent delivery receipts) 을 이용해 사용자 활동 패턴을 추론 가능함을 입증
- “Prekey Pogo” (USENIX WOOT 2025) : 왓츠앱의 프리키(prekey) 분배 메커니즘에서 구현상의 약점을 분석
이번 연구 “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” 는 이 연구 흐름을 확장해, 전 세계 규모의 사용자 열거 가능성을 실증
- 연구 결과는 NDSS 2026 학회에서 발표 예정