최근 카카오톡에서 다른 이용자 계정을 탈취하여 그간 주고받은 메시지를 확인할 수 있는 보안 취약점이 발견돼 패치가 이뤄졌다.
그런데, 그 취약점을 발견한 사람이 한국인이 아니라는 이유로 보상을 받지 못했다고 한다.
D. Schmidt라는 보안연구원은 원클릭 익스플로잇을 발견했고, 이는 카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행, HTTP 요청 헤더의 엑세스 토큰을 유출할 수 있는 문제였다. 이 토큰을 공격자의 기기에 등록함으로써 다른 계정을 탈취하여 채팅을 확인할 수 있던 것이었다. 이 취약점은 CVE-2023-51219로 지정됐다.
D. Schmidt는 2023년 12월에 개최한 버그바운티에서 해당 취약점을 발견해 신고했고, 카카오톡은 즉시 조치를 취해 다음 버전에서 취약점을 해결한 것이다.
채팅앱에서 채팅이 유출된다는 것은 주가가 30% 깎여도 할 말 없는 중대한 사건이다. 그러나 카카오톡은 이런 문제를 해결해줬음에도 불구하고 외국인이기에 보상을 해주지 않았다는 것이 충격이다.
버그바운티는 취약점 보상 프로그램으로, 기업의 서비스, 소프트웨어나 IT 인프라를 해킹하고 보안 취약점을 발견하여, 최초로 신고한 보안 연구원에게 포상금이나 기타 다른 보상을 지급하는 크라우드소싱 기반의 침투 테스트 프로그램이다.
물론 카카오톡이 뒤늦게 뒷통수를 친 것은 아니다. 카카오는 분명하게 한국인을 대상으로만 참가 자격을 두었기 때문이다. 그런데 그렇다 하더라도, 이번 경우에서는 규정을 번복하는 한이 있더라도 취약점을 찾아낸 연구원에게 보상을 주어야 했다고 생각한다.
애당초 한국인만 참가하게 하는 것이 사실 이해가 되질 않는다. 카카오는 버그바운티를 한국인 연구원에게 기회를 주기 위해 만든 것인가? 아니면 기업의 보안을 위해 만든 것인가? 전자여야만 해당 규정이 이해가 가는 것이다. 그리고 그런 의미라면, 카카오는 결코 보안에서 앞으로도 좋은 평가를 받을 수 없을 것이다. 한국이 해킹, 취약점 점검에 있어 타의 추종을 불허하는 세계 1위인가? 그렇다 하더라도 보안을 생각한다면 저런 규정은 사라져야 마땅한데, 실상은 많은 나라에 뒤지고 있지 않은가.
카카오는 지금이라도 해당 연구원에게 보상을 하고 규정을 바꾸는 것이 좋을 것이다. 현행을 계속 유지한다면, '보안'과 '카카오'는 어울리기 힘든 한 쌍이 되지 않을까 심히 우려된다.
출처: https://m.dt.co.kr/contents.html?article_no=2024062802109931081012
'IT 보안 소식 및 동향' 카테고리의 다른 글
| 랜섬웨어로 가장하는 APT 공격 (0) | 2024.07.02 |
|---|---|
| 보안 담당자가 알아야 할 4가지 (0) | 2024.06.19 |
| CISSP 시험, 한국에서 철수 확정 (0) | 2024.06.05 |
| 해킹 공격을 실시한 이를 어떻게 잡아야 할까? (0) | 2024.05.30 |
| 정부, SW 공급망 보안 가이드라인 1.0 발표 (0) | 2024.05.13 |