와츠앱, 종단간 암호화 메시지에 백도어가 발견되었다는 소식

와츠앱의 종단간 암호화(End to end encryption) 메시지에 백도어가 있는 것으로 보입니다.

페이스북은 와츠앱을 이용할 경우 직원들조차 어떤 메시지를 주고받는지 확인할 수 없다고 주장했으나, 최근 연구결과에 따르면 와츠앱에 고의로 구현된 백도어가 있는 것으로 발견되었습니다.

와츠앱의 종단감 암호화는 OpenWhisper System에서 개발한 Signal 프로토콜을 사용하는데, 와츠앱에서는 오프라인 유저의 암호화 키를 강제로 변경할 수 있는 것으로 확인되었습니다. 그리고 암호화 키를 변경한 뒤에도, 앱에서 받는 이나 보내는 이에게 아무런 경고를 보내지 않고 새 암호화 키를 이용해서 그대로 메시지를 전송했습니다. 기본 설정상태에서는 이를 보낸이가 확인할 수 없으며, 설정을 변경해줘도 전송이 완료된 뒤에야 암호화 경고를 확인할 수 있습니다. 이는 와츠앱 측에서 사용자의 메시지를 몰래 탈취하고 읽을 수 있음을 의미합니다.

이 보안 백도어를 발견한 캘리포니아 대학의 Tobias Boelter는 "만약 와츠앱이 정부로부터 특정인의 메시지 기록을 요청받을 경우, 키를 변경하므로써 효과적으로 그렇게 할 수 있다"고 말했습니다.

이 백도어는 암호화 프로토콜 자체의 결함은 아닌 것으로 보입니다. 에드워드 스노든이 추천하기도 한 OpenWhisper System의 자체 메신저인 Signal에서는 오프라인일 때 암호화 키를 변경하면 메시지 전송이 실패하고 경고가 뜨게 됩니다. 와츠앱은 암호화 키가 변경되더라도 이를 사용자에게 알리지 않고 자동으로 새 암호화 키로 재전송 하며, 이를 끌 수 있는 옵션도 제공하지 않고 있습니다.

https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages