NO.1: 2023 kbo 골든글러브 시상식 날짜
하지만 정작 이러한 치명적 보안 약점을 해결할 수 있도록 신고한 해외 보안연구원은 한국인이 아니라는 이유로 보상을 받지 못했다.
'D.Schmidt'라는 엑스(X·옛 트위터) 계정을 쓰는 한 보안연구원은 최근 자신의 X를 통해 "한국 최대 모바일 채팅 앱에서 원클릭 익스플로잇을 발견했다.이를 통해 모든 사용자의 채팅 메시지를 탈취할 수 있었다"고 밝혔다.
독일인으로 알려진 이 연구원은 자신의 깃허브 블로그를 통해 자세한 내용을 공유했다.카카오톡 이용 중에 공격자가 보낸 링크를 클릭만 해도 계정을 탈취 당해,공격자가 비밀번호를 바꾸거나 과거 메시지도 들여다볼 수 있는 것을 영상으로 보여줬다.
블로그 설명에 따르면,2023 kbo 골든글러브 시상식 날짜카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행,2023 kbo 골든글러브 시상식 날짜HTTP 요청 헤더의 액세스 토큰을 유출할 수 있는 문제였다.이 토큰을 공격자의 기기에 등록함으로써 다른 사용자 계정을 탈취하고 채팅 메시지를 읽는 데 사용할 수 있다.이 취약점은 CVE-2023-51219로 지정됐다.
연구원은 블로그에서 "카카오톡에는 기본적으로 종단간 암호화(E2EE) 메시징이 활성화돼있지 않다"며 "'보안 채팅'이라는 옵트인 E2EE 기능이 있지만 그룹메시징이나 음성통화 등에는 지원하지 않는다"고 부연했다.
이 연구원은 카카오가 지난해 12월 개최한 버그바운티에서 해당 취약점을 발견해 신고했고,2023 kbo 골든글러브 시상식 날짜카카오는 그 즉시 조치를 취해 다음 버전에서 해당 취약점을 해결했다.
버그바운티는 소프트웨어(SW)나 웹사이트 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도로 국내외 주요 SW기업들이 활발하게 진행하고 있다.
하지만 이 독일인 연구원은 "한국인만 받을 수 있기 때문에 포상금은 받지 못했다"고 깃허브 블로그를 통해 밝혔다.카카오가 버그바운티 프로그램에서 참가 자격을 국내외 거주하는 한국인으로 했기 때문이다.
이 연구원은 "사용자 메시지를 훔치기 위해 매우 복잡한 익스플로잇 체인이 필요하지 않은 인기 채팅 앱이 여전히 존재한다"며 "앱 개발자가 몇 가지 간단한 실수를 저지른다면 안드로이드의 강력한 보안 모델과 메시지 암호화는 아무런 도움이 되지 않는다"고 지적했다.
그는 또 "아시아의 채팅 앱에 대해선 보안 연구 커뮤니티에 여전히 잘 알려지지 않았다.동료 연구원들이 이번 건을 통해 이런 앱에 대해 더 자세히 알아볼 수 있길 바란다"고 덧붙였다.