카톡 훔쳐보는 보안구멍 찾아줬는데…"외국인이라 보상 없어"

stulle123 깃허브 블로그에 공개된 카카오톡 보안 취약점 관련 영상 캡처.

카카오톡에서 다른 이용자 계정을 탈취해 주고받은 메시지를 훔쳐볼 수 있는 보안 취약점이 발견돼 패치가 이뤄졌다.

하지만 정작 이러한 치명적 보안 약점을 해결할 수 있도록 신고한 해외 보안연구원은 한국인이 아니라는 이유로 보상을 받지 못했다.

'D. Schmidt'라는 엑스(X·옛 트위터) 계정을 쓰는 한 보안연구원은 최근 자신의 X를 통해 "한국 최대 모바일 채팅 앱에서 원클릭 익스플로잇을 발견했다. 이를 통해 모든 사용자의 채팅 메시지를 탈취할 수 있었다"고 밝혔다.

독일인으로 알려진 이 연구원은 자신의 깃허브 블로그를 통해 자세한 내용을 공유했다. 카카오톡 이용 중에 공격자가 보낸 링크를 클릭만 해도 계정을 탈취 당해, 공격자가 비밀번호를 바꾸거나 과거 메시지도 들여다볼 수 있는 것을 영상으로 보여줬다.

블로그 설명에 따르면, 카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행, HTTP 요청 헤더의 액세스 토큰을 유출할 수 있는 문제였다. 이 토큰을 공격자의 기기에 등록함으로써 다른 사용자 계정을 탈취하고 채팅 메시지를 읽는 데 사용할 수 있다. 이 취약점은 CVE-2023-51219로 지정됐다.

연구원은 블로그에서 "카카오톡에는 기본적으로 종단간 암호화(E2EE) 메시징이 활성화돼있지 않다"며 "'보안 채팅'이라는 옵트인 E2EE 기능이 있지만 그룹메시징이나 음성통화 등에는 지원하지 않는다"고 부연했다.

이 연구원은 카카오가 지난해 12월 개최한 버그바운티에서 해당 취약점을 발견해 신고했고, 카카오는 그 즉시 조치를 취해 다음 버전에서 해당 취약점을 해결했다.

버그바운티는 소프트웨어(SW)나 웹사이트 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도로 국내외 주요 SW기업들이 활발하게 진행하고 있다.

하지만 이 독일인 연구원은 "한국인만 받을 수 있기 때문에 포상금은 받지 못했다"고 깃허브 블로그를 통해 밝혔다. 카카오가 버그바운티 프로그램에서 참가 자격을 국내외 거주하는 한국인으로 했기 때문이다.

이 연구원은 "사용자 메시지를 훔치기 위해 매우 복잡한 익스플로잇 체인이 필요하지 않은 인기 채팅 앱이 여전히 존재한다"며 "앱 개발자가 몇 가지 간단한 실수를 저지른다면 안드로이드의 강력한 보안 모델과 메시지 암호화는 아무런 도움이 되지 않는다"고 지적했다.

그는 또 "아시아의 채팅 앱에 대해선 보안 연구 커뮤니티에 여전히 잘 알려지지 않았다. 동료 연구원들이 이번 건을 통해 이런 앱에 대해 더 자세히 알아볼 수 있길 바란다"고 덧붙였다.팽동현기자 dhp@dt.co.kr