WhatsApp & Signal을 통한 almost 모든 전화번호 추적 – 오픈 소스 PoC
개념: 메시징 앱의 보안 취약점
WhatsApp과 Signal은 가장 인기 있는 메시징 앱 중 두 가지로, 암호화된 통신을 제공하여 사용자의 프라이버시를 보호한다고 알려져 있습니다. 그러나 최근 연구 결과, 이러한 앱을 이용해 거의 모든 전화번호를 추적할 수 있는 방법이 발견되었습니다. 이는 메시징 앱의 보안 체계에 심각한 위협을 제기하며, 사용자들의 개인 정보 보호에 큰 영향을 미칩니다.
배경: 메시징 앱의 보안 체계
WhatsApp과 Signal은 엔드투엔드 암호화를 통해 메시지 내용을 보호합니다. 이는 메시지가 발신자와 수신자 사이에서만 해독될 수 있도록 설계된 것입니다. 그러나 이러한 암호화는 메시지 내용만 보호할 뿐, 메타데이터(예: 발신자와 수신자의 전화번호, 메시지 전송 시간 등)는 보호하지 않습니다. 메타데이터는 메시지 전송 과정에서 필수적으로 필요한 정보이므로, 이를 통해 사용자의 활동 패턴을 추적할 수 있습니다.
현재 이슈: 메타데이터를 이용한 추적
최근 연구진들은 WhatsApp과 Signal의 메타데이터를 이용해 사용자의 전화번호를 추적할 수 있는 방법을 발표했습니다. 이 방법은 오픈 소스 프로젝트로 공개되어 있으며, 다음과 같은 단계로 이루어져 있습니다:
- 전화번호 목록 수집: 특정 국가의 모든 전화번호를 수집합니다.
- API 호출: 수집된 전화번호를 이용해 WhatsApp이나 Signal의 API를 호출합니다. 이 API는 해당 전화번호가 앱에 등록되어 있는지 확인합니다.
- 결과 분석: API 호출 결과를 분석하여 등록된 전화번호 목록을 생성합니다.
이 방법을 통해 연구진들은 특정 국가의 거의 모든 전화번호를 추적할 수 있었습니다. 이는 사용자의 개인 정보 보호에 심각한 위협을 초래하며, 특히 정부나 기업 등이 이를 악용할 가능성이 있습니다.
사례: 실제 추적 사례
실제로, 이러한 방법을 이용해 특정 국가의 전화번호를 대량으로 추적한 사례가 보고되었습니다. 예를 들어, 2022년에 한 연구팀은 인도의 모든 전화번호를 대상으로 이 방법을 적용하여, 약 1억 개의 전화번호를 추적하는데 성공했습니다. 이는 인도 정부와 기업들이 사용자의 개인 정보를 수집하기 위한 수단으로 악용될 가능성이 큽니다.
대응 방안: 사용자와 기업의 역할
이러한 문제에 대응하기 위해서는 사용자와 기업 모두가 적극적으로 참여해야 합니다.
- 사용자: 사용자는 메시징 앱의 보안 설정을 철저히 관리해야 합니다. 예를 들어, 전화번호 공유를 최소화하고, 의심스러운 요청에는 주의를 기울여야 합니다.
- 기업: 메시징 앱 개발사는 메타데이터 보호를 강화해야 합니다. 예를 들어, API 호출 횟수 제한, IP 주소 차단 등의 방법을 통해 대량 추적을 방지할 수 있습니다.
마무리: 지금 무엇을 준비해야 할까
WhatsApp과 Signal의 메타데이터를 이용한 전화번호 추적은 사용자의 개인 정보 보호에 심각한 위협을 초래합니다. 사용자들은 메시징 앱의 보안 설정을 철저히 관리하고, 의심스러운 요청에는 주의를 기울여야 합니다. 또한, 기업들은 메타데이터 보호를 강화하여 대량 추적을 방지하는 방안을 마련해야 합니다. 이러한 노력이 모여야만 사용자의 개인 정보가 안전하게 보호될 수 있을 것입니다.
