2025.11.17 WhatsApp 정보유출 요약

1. 개요

• 2025년 11월 17일 오스트리아 빈 대학교(University of Vienna)와 SBA Research 보안연구원들이 발견한 WhatsApp 연락처 발견(Contact Discovery) 메커니즘의 심각한 보안 결함이 공개되었습니다. 
• 이 취약점은 연구원들이 오랫동안 단순한 브루트포스 공격을 이용해 수십억 개의 전화번호를 WhatsApp 시스템에 입력함으로써 대규모 사용자 열거를 가능하게 했습니다. 
• 특히 충격적인 점은 이 동일한 취약점이 2017년에 네덜란드 보안 연구원 Loran Kloeze에 의해 Meta에 보고되었음에도 불구하고 8년간 방치되었다는 것입니다.​

 

2. 피해범위

• 이 보안 결함으로 인해 전 세계 245개국에 걸쳐 3.5억 개의 WhatsApp 계정이 열거 및 매핑되었습니다. 
• 연구원들은 한 시간에 1억 개 이상의 전화번호를 조회할 수 있었으며, 겨우 30분 만에 미국의 3,000만 개 전화번호를 수집했습니다.
• 연구원들의 분석에 따르면 이러한 공격이 악의적 행위자에게 악용되었을 경우 역사상 최대 규모의 데이터 유출이 될 수 있었습니다.
• 연구는 중국, 이란, 미얀마, 북한 등 WhatsApp이 공식적으로 금지된 국가에서도 수백만 개의 활성 계정이 확인되었음을 보여주었습니다.​

 

3. 유출항목

 - 연구원들이 수집할 수 있었던 데이터는 다음과 같습니다.

• 전화번호: 3.5억 개의 WhatsApp 사용자 전화번호
• 공개 암호화 키: 모든 계정의 공개 키(end-to-end 암호화에 사용됨)
• 계정 타임스탬프: 각 계정의 생성 및 활동 시간 정보
• 프로필 사진: 전 세계 계정의 56.7%가 공개 프로필 사진 보유​
• 프로필 "About" 텍스트: 약 29.3%의 계정이 공개 상태 텍스트 보유​
• 추론된 메타데이터: 운영 체제 정보(Android 81% vs iOS 19% 분포), 계정 나이, 연결된 companion devices 개수​

 

 - 메시지 콘텐츠는 end-to-end 암호화로 보호되어 접근 불가능했습니다.

 - 그러나 데이터 분석 결과 일부 계정에서 서로 다른 기기나 전화번호 간에 동일한 암호화 키가 재사용되는 이상 현상이 발견되었으며, 이는 비공식 WhatsApp 클라이언트나 사기성 사용을 시사합니다.​

 

4. 원인

• 이 취약점의 근본 원인은 WhatsApp의 연락처 발견 기능에 대한 요청 제한(rate limiting)의 부재였습니다. 
• WhatsApp의 연락처 발견 메커니즘은 사용자가 주소록의 전화번호를 서버에 입력하면 해당 번호가 WhatsApp에 등록되어 있는지 확인해주는 기능입니다.
• 이는 새로운 연락처를 찾는 데 편리하지만, 시스템이 단일 소스에서 무제한으로 들어오는 대량의 요청에 응답하도록 설계되어 있어 악용의 여지가 있었습니다.​
• 연구원 Gabriel Gegenhuber는 "일반적으로 시스템은 단일 소스에서 그렇게 많은 요청에 그렇게 짧은 시간에 응답해서는 안 된다"고 설명했습니다.
• 2017년 Loran Kloeze의 초기 경고에도 불구하고 Meta는 노출되는 정보가 이미 공개 정보라고 주장하며 적절한 조치를 취하지 않았습니다.​

 

5. 대응

 - 연구원들의 책임 있는 조치

• 연구원들은 윤리적 공개 원칙에 따라 행동했습니다.
• 수집한 3.5억 개의 전화번호 데이터베이스를 안전하게 삭제했으며, Meta의 버그 바운티 프로그램을 통해 즉시 취약점을 보고했습니다.
• 연구는 2026년 Network and Distributed System Security (NDSS) Symposium에서 발표될 예정이며, 연구 자료는 GitHub에 공개되었습니다.​

 

 - Meta의 대응

• Meta는 2025년 4월에 연구원들로부터 보고를 받은 후, 2025년 10월부터 요청 속도 제한(rate limiting) 및 프로필 정보 가시성 강화 등의 대책을 구현하기 시작했습니다.
• WhatsApp 엔지니어링 담당 부사장 Nitin Gupta는 성명에서 "이 연구는 우리의 새로운 업계 최고 수준의 안티 스크래핑 시스템을 스트레스 테스트하고 그 즉각적인 효과를 확인하는 데 도움이 되었다"고 밝혔습니다.
• Meta는 악의적 행위자가 이 취약점을 악용한 증거를 찾지 못했다고 주장했습니다.​

 

 - 보상

• Meta는 2025년 11월 18일 University of Vienna 연구원들에게 $4 million의 버그 바운티를 지급했습니다.​

 

6. 문제점

 - 오랜 방치 기간

• 가장 심각한 문제는 2017년에 보안 연구원에 의해 동일한 취약점이 처음 보고되었음에도 불구하고 8년 동안 아무런 조치가 없었다는 것입니다.
• Meta는 Kloeze의 초기 보고에 대해 "시스템이 의도대로 작동하고 있으며 노출되는 정보는 공개 정보"라고 답변하며 문제를 무시했습니다.​

 

 - 설계의 근본적 결함

• 연구원들은 전화번호 자체가 WhatsApp만한 규모의 서비스의 고유 식별자로 사용되는 것이 근본적인 문제라고 지적했습니다.
• 전화번호의 예측 가능한 연속성은 이러한 브루트포스 열거 공격을 매우 용이하게 만듭니다.
• Aljosha Judmayer 연구원은 "전 세계 인구의 3분의 1 이상이 사용하는 대규모 서비스가 이런 발견 메커니즘을 사용한다면, 그것 자체가 문제"라고 설명했습니다.

 

 - 메타데이터 수집의 위험성

• 메시지 콘텐츠가 end-to-end 암호화로 보호되어 있어도, 대규모로 수집된 메타데이터(전화번호, 프로필 사진, 계정 정보, 암호화 키 등)는 다양한 목적으로 악용될 수 있습니다.
• 개인 식별, 소재 파악, 안면 인식 기술과의 결합 등이 가능합니다.​

 

 - 취약한 국가의 사용자에 대한 위험

• 중국, 이란, 미얀마 등 WhatsApp이 공식적으로 금지된 국가의 사용자들이 쉽게 식별되었다. 이는 국가 감시나 박해의 위험을 증가시킵니다.​

 

 - 과거 데이터 유출과의 연계

• 2021년 Facebook 데이터 유출(5억 개 전화번호)의 거의 절반이 여전히 활성 WhatsApp 계정과 연결되어 있었습니다.
• 이는 유출된 전화번호가 지속적인 피해(스팸 전화, 피싱, 사기) 위험에 노출되어 있음을 시사합니다.​

 

 - 암호화 키 이상 현상

• 일부 계정에서 서로 다른 기기나 전화번호 간에 동일한 공개 암호화 키가 재사용되는 현상이 발견되었습니다.
• 이는 비공식 WhatsApp 클라이언트 사용이나 체계적인 사기 시도를 나타낼 수 있습니다.​

 

 - 규제 부재의 한계

• WhatsApp이 자발적으로 보안 조치를 취하지 않았다는 점은 개별 기업의 자율 규제만으로는 대규모 개인정보 보호 문제를 해결할 수 없음을 보여줍니다.
• 정부 차원의 규제와 강제 조치의 필요성을 강조합니다.​