美전문가 "암호화메신저 왓츠앱도 뚫린다…암호키 재생성 가능"

美전문가 "암호화메신저 왓츠앱도 뚫린다…암호키 재생성 가능"

(서울=연합뉴스) 김보경 기자 = 암호화로 뛰어난 보안 기능을 갖췄다고 알려진 페이스북 산하 메신저 왓츠앱에도 보안상 취약점이 발견됐다고 영국 일간 가디언이 미국 전문가의 말을 인용해 13일(현지시간) 보도했다.


지난 2014년 왓츠앱을 인수한 페이스북은 왓츠앱이 메시지의 완전한 암호화에 성공해 회사와 직원들도 대화내용을 확인할 수 없다고 선전하면서 사생활 보호를 원하는 10억 명 이상의 사용자를 끌어왔다.

하지만 미국 캘리포니아대학의 토비아스 볼터 암호학 연구원은 페이스북이나 왓츠앱이 사용자 몰래 새로운 암호키를 생성할 수 있는 기술적 취약점이 발견됐다고 주장했다.

왓츠앱은 암호화된 내용을 풀 수 있는 암호키를 서버가 아닌 개인 단말기에만 저장해 송신자와 수신자만 메시지를 확인할 수 있는 종단 간(end-to-end) 암호화 방식을 적용해왔다.

볼터 연구원은 그러나 메신저가 오프라인일 때 왓츠앱 서버에 접근한 사람이 송·수신자가 전혀 모르게 새로운 암호키를 생성해 향후 대화 내용을 확인할 수 있는 허점이 발견됐다고 설명했다.

그는 물론 암호키 재설정을 위해서는 서버 접근이 필요하므로 일반 해커가 이 취약점을 공략하기는 쉽지 않다고 전했다.

하지만 페이스북이나 왓츠앱 측에서 사용자 모르게 암호키를 재설정할 수 있으므로 국가 법원 명령 등으로 내용 공개를 요구할 때 이를 피할 수 없다는 것이 볼턴 연구원의 지적이다.

볼터 연구원은 가디언에 "만약 정부기관이 왓츠앱에게 대화 기록을 공개하라고 요구하면 회사 측은 새로운 암호키를 만들어 효과적으로 접근권을 부여할 수 있다"고 설명했다.

이러한 의혹에 대해 왓츠앱 측은 성명을 통해 "간단하고, 빠르고, 믿을 수 있고, 안전한" 서비스를 제공했다며 암호키가 바뀌면 사용자들에게 알려주는 기능이 있다고 반박했다.

하지만 가디언은 수신자는 암호키가 변경됐다는 사실을 아예 알 수 없고, 송신자도 보안 알림 설정을 켰을 때만 관련 경고를 볼 수 있다고 지적했다.

앞서 지난해 3월 미국에서는 수사당국과 애플이 테러범의 아이폰 잠금장치를 해제하는 문제를 두고 갈등하면서 암호화를 둘러싸고 정부와 IT 업체가 처한 딜레마가 사회적 이슈가 됐다.

vivid@yna.co.kr

(끝)





<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>