디지털타임스

 


카톡 훔쳐보는 보안구멍 찾아줬는데…"외국인이라 보상 없어"

프린트 페이스북 트위터 카카오스토리
카톡 훔쳐보는 보안구멍 찾아줬는데…"외국인이라 보상 없어"
stulle123 깃허브 블로그에 공개된 카카오톡 보안 취약점 관련 영상 캡처.

카카오톡에서 다른 이용자 계정을 탈취해 주고받은 메시지를 훔쳐볼 수 있는 보안 취약점이 발견돼 패치가 이뤄졌다.

하지만 정작 이러한 치명적 보안 약점을 해결할 수 있도록 신고한 해외 보안연구원은 한국인이 아니라는 이유로 보상을 받지 못했다.

'D. Schmidt'라는 엑스(X·옛 트위터) 계정을 쓰는 한 보안연구원은 최근 자신의 X를 통해 "한국 최대 모바일 채팅 앱에서 원클릭 익스플로잇을 발견했다. 이를 통해 모든 사용자의 채팅 메시지를 탈취할 수 있었다"고 밝혔다.

독일인으로 알려진 이 연구원은 자신의 깃허브 블로그를 통해 자세한 내용을 공유했다. 카카오톡 이용 중에 공격자가 보낸 링크를 클릭만 해도 계정을 탈취 당해, 공격자가 비밀번호를 바꾸거나 과거 메시지도 들여다볼 수 있는 것을 영상으로 보여줬다.

블로그 설명에 따르면, 카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행, HTTP 요청 헤더의 액세스 토큰을 유출할 수 있는 문제였다. 이 토큰을 공격자의 기기에 등록함으로써 다른 사용자 계정을 탈취하고 채팅 메시지를 읽는 데 사용할 수 있다. 이 취약점은 CVE-2023-51219로 지정됐다.

연구원은 블로그에서 "카카오톡에는 기본적으로 종단간 암호화(E2EE) 메시징이 활성화돼있지 않다"며 "'보안 채팅'이라는 옵트인 E2EE 기능이 있지만 그룹메시징이나 음성통화 등에는 지원하지 않는다"고 부연했다.


이 연구원은 카카오가 지난해 12월 개최한 버그바운티에서 해당 취약점을 발견해 신고했고, 카카오는 그 즉시 조치를 취해 다음 버전에서 해당 취약점을 해결했다.
버그바운티는 소프트웨어(SW)나 웹사이트 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도로 국내외 주요 SW기업들이 활발하게 진행하고 있다.

하지만 이 독일인 연구원은 "한국인만 받을 수 있기 때문에 포상금은 받지 못했다"고 깃허브 블로그를 통해 밝혔다. 카카오가 버그바운티 프로그램에서 참가 자격을 국내외 거주하는 한국인으로 했기 때문이다.

이 연구원은 "사용자 메시지를 훔치기 위해 매우 복잡한 익스플로잇 체인이 필요하지 않은 인기 채팅 앱이 여전히 존재한다"며 "앱 개발자가 몇 가지 간단한 실수를 저지른다면 안드로이드의 강력한 보안 모델과 메시지 암호화는 아무런 도움이 되지 않는다"고 지적했다.

그는 또 "아시아의 채팅 앱에 대해선 보안 연구 커뮤니티에 여전히 잘 알려지지 않았다. 동료 연구원들이 이번 건을 통해 이런 앱에 대해 더 자세히 알아볼 수 있길 바란다"고 덧붙였다.팽동현기자 dhp@dt.co.kr


[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]