[지디넷코리아]
페이스북이 소유한 왓츠앱 메신저의 인터넷전화 기능에서 통화 신호만 받아도 스마트폰 보안이 무력화되는 취약점이 그 실제 악용사례와 함께 발견됐다.
이 취약점을 통해 공격자는 상대가 전화를 받지 않아도 그 기기에 스파이웨어를 깔 수 있었다. 스파이웨어가 설치된 기기의 문자메시지, 이메일, 연락처 정보, 통화 기록, 위치, 카메라 등에 원격 접근이 가능했다.
왓츠앱은 데이터를 입력하는 단계와 수신하는 단계를 모두 암호화하는 종단 간 암호화(E2E) 등 보안 기술을 적용하고 있지만, 그 효과는 취약점으로 무력화됐다.
왓츠앱은 월간 이용자 수 15억명을 보유한 대규모 서비스다.
영국 일간지 파이낸셜 타임스는 해당 취약점을 악용한 스파이웨어가 이스라엘 보안 회사 NSO에 의해 개발됐다고 지난 13일 보도했다.
NSO는 과거 저널리스트, 시민 활동가를 주 대상으로 모바일 데이터를 가로채는 데 사용된 악성코드 '페가수스'를 개발한 것으로 알려진 회사다.
페이스북은 해당 취약점을 CVE-2019-3568로 명명했다. 이는 왓츠앱의 데이터 통화(VoIP) 기능에 생긴 버퍼 오버플로다. 버퍼 오버플로는 메모리 상에서 오류가 발생, 오작동이 발생하는 취약점이다.
공격자는 목표 대상에게 VoIP를 걸면, 특수하게 조작된 실시간 전송 프로토콜(SRTCP) 패킷을 기기로 전송한다. 이 과정에서 해당 취약점을 악용해 기기에 원격으로 스파이웨어를 실행할 수 있게 된다.
공격에 수반되는 통화 수신 기록은 대부분 사라졌다. 해당 취약점은 아이폰과 안드로이드폰 모두에서 작동했다.
왓츠앱은 이달 초 해당 취약점을 발견하고 이 문제를 미국 법무부에 통보했다. 아울러 해당 취약점에 대해 보완하는 업데이트를 지난 10일 실시했다.