美전문가 "암호화 메신저 왓츠앱도 뚫린다…암호키 재생성 가능"

암호화로 뛰어난 보안 기능을 갖췄다고 알려진 페이스북 산하 메신저 왓츠앱에도 보안상 취약점이 발견됐다고 영국 일간 가디언이 미국 전문가의 말을 인용해 보도했습니다.

지난 2014년 왓츠앱을 인수한 페이스북은 왓츠앱이 메시지의 완전한 암호화에 성공해 회사와 직원들도 대화내용을 확인할 수 없다고 선전해 왔습니다.

이런 주장을 통해 사생활 보호를 원하는 10억 명 이상의 사용자를 끌어모았습니다.

하지만 미국 캘리포니아대학의 토비아스 볼터 암호학 연구원은 페이스북이나 왓츠앱이 사용자 몰래 새로운 암호키를 생성할 수 있는 기술적 취약점이 발견됐다고 주장했습니다.

왓츠앱은 암호화된 내용을 풀 수 있는 암호키를 서버가 아닌 개인 단말기에만 저장해 송신자와 수신자만 메시지를 확인할 수 있는 종단 간 암호화 방식을 적용해왔습니다.

볼터 연구원은 그러나 메신저가 오프라인일 때 왓츠앱 서버에 접근한 사람이 송·수신자가 전혀 모르게 새로운 암호키를 생성해 향후 대화 내용을 확인할 수 있는 허점이 발견됐다고 설명했습니다.

그는 물론 암호키 재설정을 위해서는 서버 접근이 필요하기 때문에 일반 해커가 이 취약점을 공략하기는 쉽지 않다고 전했습니다.

하지만 페이스북이나 왓츠앱 측이 사용자 모르게 암호키를 재설정할 수 있기 때문에 국가나 법원의 명령 등으로 내용 공개를 요구할 때 이를 피할 수 없다고 지적했습니다.

만약 정부기관이 왓츠앱에 대화 기록을 공개하라고 요구하면 회사 측은 새로운 암호키를 만들어 효과적으로 접근권을 부여할 수 있다는 것입니다.

이런 의혹에 대해 왓츠앱 측은 성명을 통해 "간단하고, 빠르고, 믿을 수 있고, 안전한" 서비스를 제공했다며 암호키가 바뀌면 사용자들에게 알려주는 기능이 있다고 반박했습니다.

하지만 가디언은 수신자는 암호키가 변경됐다는 사실을 아예 알 수 없고, 송신자도 보안 알림 설정을 켰을 때만 관련 경고를 볼 수 있다고 지적했습니다.

앞서 지난해 3월 미국에서는 테러범의 아이폰 잠금장치를 해제하는 문제를 두고 수사당국과 애플 사이에 갈등이 빚어졌습니다.

이 때문에 암호화를 둘러싼 정부와 IT 업체의 딜레마가 사회적 이슈가 됐습니다.