카톡 훔쳐보는 보안구멍 찾아줬는데…"외국인이라 보상 없어"
카카오톡에서 다른 이용자 계정을 탈취해 주고받은 메시지를 훔쳐볼 수 있는 보안 취약점이 발견돼 패치가 이뤄졌다.
하지만 정작 이러한 치명적 보안 약점을 해결할 수 있도록 신고한 해외 보안연구원은 한국인이 아니라는 이유로 보상을 받지 못했다.
'D. Schmidt'라는 엑스(X·옛 트위터) 계정을 쓰는 한 보안연구원은 최근 자신의 X를 통해 "한국 최대 모바일 채팅 앱에서 원클릭 익스플로잇을 발견했다. 이를 통해 모든 사용자의 채팅 메시지를 탈취할 수 있었다"고 밝혔다.
독일인으로 알려진 이 연구원은 자신의 깃허브 블로그를 통해 자세한 내용을 공유했다. 카카오톡 이용 중에 공격자가 보낸 링크를 클릭만 해도 계정을 탈취 당해, 공격자가 비밀번호를 바꾸거나 과거 메시지도 들여다볼 수 있는 것을 영상으로 보여줬다.블로그 설명에 따르면, 카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행, HTTP 요청 헤더의 액세스 토큰을 유출할 수 있는 문제였다. 이 토큰을 공격자의 기기에 등록함으로써 다른 사용자 계정을 탈취하고 채팅 메시지를 읽는 데 사용할 수 있다. 이 취약점은 CVE-2023-51219로 지정됐다.
연구원은 블로그에서 "카카오톡에는 기본적으로 종단간 암호화(E2EE) 메시징이 활성화돼있지 않다"며 "'보안 채팅'이라는 옵트인 E2EE 기능이 있지만 그룹메시징이나 음성통화 등에는 지원하지 않는다"고 부연했다.
이 연구원은 카카오가 지난해 12월 개최한 버그바운티에서 해당 취약점을 발견해 신고했고, 카카오는 그 즉시 조치를 취해 다음 버전에서 해당 취약점을 해결했다.
버그바운티는 소프트웨어(SW)나 웹사이트 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도로 국내외 주요 SW기업들이 활발하게 진행하고 있다.
하지만 이 독일인 연구원은 "한국인만 받을 수 있기 때문에 포상금은 받지 못했다"고 깃허브 블로그를 통해 밝혔다. 카카오가 버그바운티 프로그램에서 참가 자격을 국내외 거주하는 한국인으로 했기 때문이다.
양심 시파 진짜 기술만 쏙 빼먹었네