왓츠앱 35억 계정 정보 무방비 노출...역사상 최대 규모 데이터 유출

오스트리아 연구진, 전화번호·프로필 사진 등 전체 회원 디렉토리 다운로드...메타, 1년간 경고 무시

왓츠앱의 전체 회원 디렉토리가 보호 장치 없이 온라인에 노출돼 있었던 것으로 드러났다.

[한국정보기술신문] 오스트리아 비엔나 대학교 연구진이 메타 플랫폼스가 운영하는 메신저 서비스 왓츠앱의 전체 회원 디렉토리를 다운로드하는 데 성공했다. 연구진은 아무런 장애물 없이 35억 개 이상의 계정에 대한 전화번호와 공개 키를 포함한 프로필 데이터를 수집했으며, 이는 영향을 받은 사람 수를 기준으로 역사상 최대 규모의 데이터 유출 사건으로 평가된다.

비엔나 대학교와 오스트리아 SBA 연구소 소속 연구진은 2024년 9월부터 반복적으로 왓츠앱 측에 이 문제를 경고했으나, 메타는 수신 확인만 보낸 채 1년 가까이 방치했다. 연구진이 논문 초안을 두 차례 제출하고 공개가 임박하자 그제서야 메타가 대응에 나섰다.

이번 데이터 유출로 드러난 정보는 메타 플랫폼스에게는 경쟁적 측면과 규제적 측면에서 민감한 사항들을 포함하고 있다. 국가별 왓츠앱 사용자 수, 안드로이드와 iOS 간 분포, 비즈니스 계정 수, 이탈률, 대규모 사기 센터의 위치 등이 여기에 해당한다.

금지국에서도 수백만 계정 발견

2024년 12월 기준으로 왓츠앱은 중국, 이란, 미얀마, 북한에서 사용이 금지되어 있었다. 그러나 연구진은 중국에서 230만 개, 이란에서 6000만 개, 미얀마에서 160만 개, 북한에서 5개의 활성 왓츠앱 계정을 발견했다. 중국과 미얀마 거주자들에게 불법 왓츠앱 사용이 당국에 알려질 경우 매우 위험한 상황이 발생할 수 있으며, 전체 번호 범위를 빠르게 조회할 수 있을 때 이런 일은 쉽게 발생한다.

이란의 경우 6000만 개의 왓츠앱 계정은 통계적으로 인구의 3분의 2에 해당하며, 금지 조치가 사실상 효과가 없었음을 보여준다. 2024년 크리스마스 이브에 금지가 해제된 후 3개월 만에 이란 계정은 6700만 개로 증가했다.

프로필 정보에서 민감한 개인정보 대거 노출

전체 사용자의 약 30퍼센트가 프로필의 정보 필드에 내용을 입력했으며, 일부는 상당히 많은 정보를 공개했다. 정치적 견해, 성적 지향, 종교적 성향, 마약 남용 고백 등이 발견됐고, 심지어 마약 딜러들이 이 필드에서 자신의 제품 범위를 광고하는 경우도 있었다.

이 외에도 연구진은 사용자의 직장 정보, 소셜 네트워크 프로필 링크, 틴더나 온리팬스 링크까지 발견했다. 이메일 주소도 포함되어 있었는데, 여기에는 독일 연방정부 도메인인 bund.de, 미국 국무부의 state.gov, 그리고 미군 관련 mil 도메인의 이메일 주소들도 포함되어 있었다.

77억 장의 프로필 사진 다운로드 가능

전 세계 왓츠앱 사용자의 57퍼센트가 프로필 사진을 업로드하고 모든 사람에게 보이도록 설정했다. 연구진은 북미 지역 코드인 +1 번호에 대해 모든 사람에게 공개된 7700만 장의 프로필 사진을 다운로드했으며, 총 용량은 3.8테라바이트에 달했다.

이 중 50만 장을 무작위로 추출한 샘플에서 얼굴 인식 루틴을 실행한 결과, 3분의 2의 경우에서 사람 얼굴이 발견됐다. 이는 얼굴 인식을 통해 전화번호로 이어지는 데이터베이스를 쉽게 구축할 수 있음을 의미한다. 얼굴이 없는 프로필 사진도 정보를 제공할 수 있는데, 때때로 자동차 번호판, 거리 표지판, 랜드마크 등이 포함되어 있었다.

왓츠앱은 또한 프로필 사진뿐만 아니라 정보 필드의 가장 최근 변경 시간도 공개했다. 계정당 최대 5개까지 등록할 수 있는 기기 수 정보를 통해서는 추가 사용 기기가 자주 변경되는지 안정적으로 유지되는지를 추론할 수 있다.

이번 연구를 수행한 그룹은 이전에도 왓츠앱을 여러 차례 다루었으며, 암호화에도 불구하고 왓츠앱이 무엇을 노출하는지, 그리고 공격자가 왓츠앱 암호화를 어떻게 다운그레이드할 수 있는지를 밝혀낸 바 있다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org