posted by 알짜 정보 岳岩 2019.07.18 07:20

보안이 중요한 사람들이 자주 사용하는 앱, 왓츠앱과 텔레그램이지만
안드로이드 환경에서는 ‘외부 저장소’가 위험한 유출 근원 될 수 있어

[보안뉴스 문가용 기자] 왓츠앱(WhatsApp)과 텔레그램(Telegram)이라는 메신저 앱을 사용하는 사람은 17억 명이 넘는다고 한다. 주로 정치인, 정치적 목적을 가진 활동가, 의료 건강 서비스 제공자, 기밀 누설이 치명적인 산업 종사자들 사이에서 인기가 높다. 이 둘은 ‘강력한 종단간 암호화’를 기본으로 하고 있는 메신저들이기 때문이다. 그러나 최근 연구 결과 데이터 탈취를 가능하게 하는 취약점들이 발견됐다.

[이미지 = iclickart]


보안 업체 시만텍(Symantec)의 연구원인 야이르 아밋(Yair Amit)과 알론 갓(Alon Gat)은 블로그 게시글을 통해 왓츠앱과 텔레그램의 안드로이드 버전 앱에서 발견된 미디어 파일 관련 오류를 설명했다. 이 오류는 앱의 소스코드 내에 있는 것이 아니라, 앱의 ‘논리 구조’에 존재한다고 한다. 특히 파일을 저장할 위치를 찾는 부분에서 발견된 것이라고 둘은 강조했다.
“안드로이드 환경에서 왓츠앱과 텔레그램 앱이 사진이나 오디오 메시지 등의 첨부파일을 저장하는 방식에서 취약점을 찾아냈습니다. 왓츠앱의 경우 디폴트 방식에서, 텔레그램의 경우 일부 특별한 설정 환경 내에서 이 취약점이 발동되었습니다.”
안드로이드 환경에서 파일이 주로 저장되는 곳은 크게 두 가지로 나눌 수 있다. 내부 저장소와 외부 저장소다. 내부 저장소에 저장된 데이터는, 그 데이터를 저장했던 앱을 통해서만 접근할 수 있다. 외부 저장소에 저장된 데이터는 설정에 따라 읽기 전용이 되거나, 쓰기도 가능한 파일이 된다. 즉 누구나, 아무 앱을 통해서 변경할 수 있게 된다는 것이다.
이런 맥락에서 두 앱을 살피면 다음과 같다. “왓츠앱의 경우 미디어 파일들을 외부 저장소에 저장하는 게 디폴트 설정입니다. 텔레그램에는 ‘갤러리에 저장(Save to Gallery)’라는 기능이 있는데, 사용자가 이를 사용하면 미디어 파일을 외부 저장소에 저장합니다. 두 경우 모두에서 모든 파일들이 ‘전체 공개’ 상태가 됩니다.”
이렇게 됐을 때 어떤 일이 일어날 수 있을까? “공격자가 안드로이드 장비에 침투하는 데 성공하고, 파일을 중간에서 가로채고 조작할 수 있게 되는 상황이라면, 왓츠앱과 텔레그램을 통해 저장된 파일을 열람할 수 있게 됩니다. 그리고 이는 신원을 감춰야만 했던 사용자들에게 있어 생명을 위협하는 결점이 될 수 있습니다.” 시만텍의 설명이다. 
아밋과 갓의 블로그 게시글에서도 다양한 공격 시나리오가 제시됐다. “추적자가 공격 대상이나 그 지인의 이미지를 빼돌리는 데 성공했다면, 각종 이미지 조작 기술을 통해 허위 사실을 유포하거나 가짜뉴스를 만들 수 있습니다. 음성 녹음 파일을 입수했다면, 이를 가지고 딥페이크 영상을 만들어 여러 가지 효과를 낼 수도 있겠죠. 청구서 파일에 접근했다면, 이를 조작해 금전적인 손해를 일으킬 수도 있겠고요.”
그러면서 아밋과 갓은 “텔레그램과 왓츠앱을 직접 공격하지 않아도 이런 다양한 공격 효과를 낼 수 있다는 것 때문에 상당히 위험한 결과가 초래될 수 있다”고 강조했다. “공격 대상의 장비에만 접근할 수 있으면 됩니다. 그 안에 설치된 앱을 공격하는 것보다 엔드포인트 장비 자체에 접근하는 게 훨씬 쉬운 일이죠.”
게다가 텔레그램이나 왓츠앱 둘 중에 하나는 세상 거의 모든 모바일 기기에 설치되어 있다고 봐도 될 정도로 보편적이다. 그렇기 때문에 시만텍의 연구원들이 발견한 문제는 심각한 수준으로 확장될 수 있다. 보안 업체 세이프가드 사이버(SafeGuard Cyber)의 CTO인 오타비오 프레이어(Otavio Freire)는 “남미만 해도 의사들의 90%가 왓츠앱으로 업무적인 대화를 나눈다”고 말한다.
“게다가 앞으로가 더 문제입니다. 왓츠앱과 텔레그램을 사용하는 기업들이나 사업자는 더 늘어날 것이거든요. 회사 업무 때문에 만들어진 단체 채팅방이 얼마나 되는지 한 번 세어보세요. 그리고 2년 전과 비교해보세요. 메신저 앱들은 어느 새 업무용 툴이 되어버렸습니다. 기업들은 메신저로 마케팅을 하고, 메신저로 영업을 하며, 메신저로 고객과 상담합니다. 지금 소비자들은 다 메신저에 있어요. 그걸 간과할 수 없다는 것이죠.”
그렇기 때문에 왓츠앱과 텔레그램 사용자들은 빠르게 조치를 취해야 한다고 프레이어는 강조한다. “보안과 관련된 위험한 사실이 알려졌다면, 빠르게 조치를 취하는 습관을 기르는 편이 소비자 자신들에게도 좋을 겁니다. 이번 경우 왓츠앱의 파일 설정 위치를 내부 저장소로 바꾸고, 텔레그램의 ‘갤러리에 저장’ 기능을 비활성화시키는 것이 좋은 조치 방법입니다.”
프레이어는 “딥페이크의 시대가 오고 있다는 걸 간과해서는 안 된다”며, “자신의 얼굴이나 음성이 그 누구에게도 함부로 새나가게 해서는 안 된다”고 거듭 강조했다. “연예인 얼굴이 성인물에 합성되어 나가는 일이, 정말 연예인들만의 일일까요? 오바마가 한 번도 하지 않은 말이, 정말 오바마 자신이 한 것처럼 보도되는 게 정치인들만의 일일까요? 자신도 모르게 포르노 배우가 되고, 자신의 의도와 상관없이 특정 사건의 위증인이 된다는 건 끔찍한 피해입니다.” 보안뉴스

3줄 요약
1. 왓츠앱과 텔레그램에서 발견된 ‘논리 취약점’ 때문에 누구나 딥페이크 피해자 될 수 있음.
2. 왓츠앱과 텔레그램 앱 자체가 취약한 건 아님. 안드로이드 장비의 ‘외부 저장소’가 취약점의 근원.
3. 왓츠앱과 텔레그램 사용한다면, 미디어 파일 저장소를 ‘내부’로 바꿔야 함.