Breaking
사이버 보안(Cybersecurity)
왓츠앱, 쉽게 해킹당할 수 있는 취약점 수정해...
2019-06-26 18:29:55
김지연
▲페가수스 스파이웨어는 앱을 통해 간단한 방법으로 장치를 감염시킬 수 있다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 최근 페이스북의 자회사이자 메시징 애플리케이션인 왓츠앱(WhatsApp)이 보안 결함에 관한 내용을 발표했다. 이 취약점 때문에 공격자가 페가수스 스파이웨어를 피해자의 장치에 설치할 수 있었다.

지난 5월 13일, 페이스북 측은 '왓츠앱 VOIP 스택의 버퍼 오버플로 취약점'이라는 제목의 보고서를 발표했다. 해당 보고서에서 특별히 만들어진 일련의 SRTCP 패킷을 통해 원격 코드가 실행됐으며 이 취약점의 코드명은 CVE-2019-3568이라고 밝혔다.

이스라엘에 기반을 둔 NSO 그룹은 장치의 카메라와 마이크를 켜고 이메일과 메시지를 스캔하고 사용자의 현재 위치까지 알 수 있는 스파이웨어를 개발했다. 페가수스 스파이웨어는 아주 간단한 방법으로 앱을 통해 악성 코드를 호출한다. 바로 앱으로 상대방에게 전화를 거는 방식이다. 피해자가 이 전화에 응답하지 않더라도 장치가 감염될 수 있다.

▲v2.19.134 이전의 안드로이드용 왓츠앱 ▲v2.19.51 이전의 iOS 용 왓츠앱 ▲v2.18.348 이전 버전의 윈도우폰 용 왓츠앱 ▲v2 이전의 타이젠용 왓츠앱 등이 취약점의 영향을 받은 것으로 밝혀졌다. 또 iOS를 위한 왓츠앱 비즈니스 v2.19.51 이전 버전, 안드로이드를 위한 왓츠앱 비즈니스 v2.19.44 버전 등에 취약점이 존재했다.

왓츠앱 개발자들은 이 취약점을 완화하는 업데이트를 서둘러 실시했다. 어쨌든 사용자의 개인 정보가 페가수스 스파이웨어에 아주 간단한 방식으로 노출될 수 있는 것은 사실이다.

매우 심각한 보안 결함

영국 기반 화상 회의 시스템 및 소프트웨어 회사인 스타리프(Starleaf)의 CTO 윌리엄 맥도날드는 "이번 보안 결함은 극도로 심각하다. 왓츠앱 같은 소비자용 응용 프로그램은 대부분 개인적인 사용을 위해 다운로드된다"라고 말했다.

맥도날드는 이어서 "인스턴트 메시징은 현대인의 커뮤니케이션 문화의 일부가 됐다. 그런데도 이런 소셜미디어 플랫폼이 비즈니스에 부적절하게 사용되는 경우가 많다. 또 상업적 이득을 노리거나 결함을 찾아내 공격하려는 조직이 늘어났다"고 덧붙였다.

SaaS 회사 완데라(Wandera)의 엔지니어링 담당 부사장인 마이크 캠핀은 "이번 공격은 이전에 발견된 페가수스 스파이웨어를 악용한 것이지만 단순한 왓츠앱 전화 기능으로 전달될 수 있다는 사실에 많은 사람이 충격을 받았다. 가장 신뢰할 수 있는 모바일 앱과 플랫폼조차도 보안이 취약할 수 있다는 점을 보여줬다"고 말했다.

▲왓츠앱은 사용자들에게 최신 업데이트 상태로 유지하라고 촉구했다(사진=ⓒ123RF)

양날의 검

NSO가 만든 페가수스 스파이웨어는 어떤 악의적인 의도도 없는 것으로 보인다. 정부 및 정보 기관은 페가수스 스파이웨어를 테러 진압 도구로 홍보하기 때문이다.

그러나 이것이 악용된다면 개인 정보나 기업의 정보가 빠져나갈 수 있는 것 또한 사실이다. 양날의 검인 셈이다. 물론 평범한 시민이 스파이웨어의 타깃이 되는 것은 아니지만 개인적인 대화의 프라이버시가 침해될 수 있다. 소프트웨어에는 늘 결함이 존재한다. 그리고 이런 취약점은 점점 더 중요해진다.

NSO는 페가수스를 서구와 중동 지역에 주로 판매하고 있다.

 

다양한 문제점

보안 문제가 발견된 이후 왓츠앱 측은 사용자들에게 앱을 최신 업데이트 상태로 유지하라고 촉구했다.

이들은 성명서에서 "모바일 디바이스에 저장된 정보를 손상시키려는 잠재적인 악용 사례로부터 기기와 개인 정보를 보호하기 위해 앱을 최신 버전으로 업데이트하고 모바일 운영 체제 또한 최신 상태로 유지할 것을 권장한다. 이번 공격은 스파이웨어로 인한 것이며 이 스파이웨어의 배후는 각국 정부와 협력하고 있는 개인 회사다"라고 밝혔다.

왓츠앱은 이어서 "가능한 많은 정보를 시민 사회에 공유하고 알리기 위해 인권 단체와 협력해 왔다"고 덧붙였다.

 

그러나 JASK의 수석 위협 분석가인 케빈 스티어는 "아직 발견되지 않은 문제, 아직 발생하지 않은 문제가 더 많을 것이다"라고 말했다.

스티어는 "최근 중국에서는 검열 문제, CVE-2019-3568와 같은 대규모 공격 문제 등이 발생했고 이에 따라 애플리케이션의 보안과 특히 개인 정보 보호에 대한 실질적인 효능에 대해 의문이 제기됐다. 왓츠앱을 비롯해 다른 암호화 메시징 앱의 개발은 거의 모든 국가가 고급 사이버 기능을 위해 큰 관심을 기울이고 있던 것이다. 아직 대중들에게 밝혀지지 않은 APT 문제가 훨씬 많을 것이다"라고 분석했다.

[라이헨바흐=김지연 기자]