실제로 가능했던 전 국민 카톡 탈퇴 프로젝트

1. 상대방의 "로그인이 완료된 상태 그 자체"를 탈취한다.

2. 그 "상태"를 이용하여 로그인된 척 친구목록을 불러온다. 그 친구들의 "상태"도 탈취한다

3. 상대방의 카톡 계정을 탈퇴시킨다.

4. 2에서 얻은 그 "상태"들을 사용하여 2 ~ 3 과정을 반복

 

몇 시간 이내로 전 국민들의 카톡 계정을 탈퇴시킬 수 있었다.

 

이 게시글에서 다루는 취약점은 "아무것도 안해도 카카오톡 계정이 탈취당하는 취약점"입니다.

외국인이 발견했다가 입막음당한 "링크를 누르기만 해도 카카오 계정이 탈취당하는 취약점"과는 아예 다릅니다.

---

실제로 가능은 한가?

가능했다. 그러니까 내가 이런 글을 적고 있지.

1. 상대방의 "로그인이 완료된 상태 그 자체"를 탈취한다.

카카오톡에서 사용하는 정상적인 통신 과정 중 상대방의 로그인 토큰이 그대로 왔다갔다하는 기능이 있다.

 - 거기에 중간자 공격을 하면, 상대방의 로그인 토큰을 가지고 올 수 있다.

 - 여기서 로그인 토큰을 대충 알아듣기 쉽게 설명하자면, "로그인이 완료된 상태 그 자체"를 의미한다.

 

아이디, 비밀번호 등을 획득하여 로그인을 하는 것이라면 2차 인증에서 막히겠지만, "이미 로그인이 끝난 상태" 그 자체를 들고 오는 것이라 전부 우회횐다.

탈취해온 "이미 로그인이 끝난 상태"를 해커의 컴퓨터에서 실행 중인 "카카오톡인 척 작동하는 프로그램"에 주입하는 방식.

 

 

공격 대상이 무언가를 하면 정보가 털리는 것이 아니다. 아무것도 안해도 털린다.

그냥 내가 상대방에게 서로 로그인 토근을 교환하는 채팅을 보냈고, 그 채팅을 상태방 카톡이 수신했다면 사이에 끼워넣은 내 서버에 상대방의 로그인 토큰이 짠 하고 나타난다.

카카오는 보안을 다 말아먹은 옛날 방식으로 통신하였기에 아주 잘 털린다.

 

"읽었다면"이 아니라 "수신했다면" 털리는거다.

그냥 내 폰에 카톡이 로그인 되어있으면 일방적으로 로그인이 완료된 상태 그 자체가 털린다는 뜻

 

2. 그 "상태"를 이용하여 로그인된 척 친구목록을 불러온다. 그 친구들의 "상태"도 탈취한다

카카오톡 위조 클라이언트는 이미 구현되어있었다.

원래 카톡 앱에는 없는 기능들을 내맘대로 다 쓸 수 있으니, 로그인 부분 살짝 건들여서 탈취해온 로그인 토큰을 끼워넣으면 된다.

 

이렇게 "상대방 계정이 로그인된 카카오톡"이 해커의 앞에 생겨났다.

이제 모든 친구들을 대상으로 로그인 토큰을 탈취해오면 된다.

해당 위조 클라이언트는 좋게 말하면 "로코 프로토콜 호환 라이브러리"다. 로코는 카톡이 사용하는 통신 프로토콜 중 하나

즉, 반복문 한 번 돌리면 모든 친구 목록을 대상으로 로그인 토른 탈취 가능.

 

3. 상대방의 카톡 계정을 탈퇴시킨다.

위조 클라이언트로는 당연히 카톡 탈퇴도 가능하다.

카톡에서 사용할 수 있는 모든 기능들과, 버튼이 없어서 사용하지 못하는 기능들 전부 사용 가능

 

"버튼이 없어서 사용하지 못하는 기능"들 중 하나를 예시로 들면, "오픈채팅방에서 방장/부방장 권한 없이 상대방 강퇴시키기" 정도가 있다

지금은 막혔다.

 

4. 2에서 얻은 그 "상태"들을 사용하여 2 ~ 3 과정을 반복

이미 1 ~ 3 과정이 가능하다는 것을 설명했으니, 4도 가능하다

---

2 ~ 3 과정이 그렇게 쉽게 끝나는가? 왜 그렇게 심각한가?

학생 한 명을 공격 대상으로 지정했다고 가정해보자. 3번만 반복해도 학교 하나가 전부 터진다.

 

 

교육청 쪽으로 가는 것도 있고, 이거 몇 단계만 더 건너면 국회의원이나 대통령까지 닿는다.

 

저 과정에서 누군가 한 명은 군 복무 중일 것이니, 그 군인을 기준으로 몇 단계만 건너면 해당 군부대도 다 터진다.
보직이 무엇이든 3~4단계 이내로 인사 업무를 담당하는 간부에게 도달할 것이기 때문.

인사 업무를 담당하는 간부들은 근처에 있는 다른 부대의 간부들의 연락처도 당연히 있을 것이니, 결과적으로는 모든 군인들의 카카오톡 계정이 탈퇴당한다는 결과가 나온다.

주변에 대학생이나 대학원생이 있다면, 해당 학생을 기준으로 3~4단계 이내로 그 학교 교직원에 닿는다.
대학 교수의 연락처에는 "다른 대학에 있는 내가 아는 교수"도 있을 것이니 다른 학교들도 다 터지고,

예전에 졸업해서 대기업에 간 학생도 있을 것이니, 이제 해당 대기업 직원을 기준으로 또 몇 단계 거치면 회사 하나도 끝.

그냥 전염병 퍼지듯이 퍼진다.
아주 좋은 고성능 컴퓨터 하나 구해와서 딸깍하면 저런식으로 모든 국민들의 카카오톡 계정이 사라진다.

 

이것을 구현할 실력이 되는 사람들은 방법을 알아도 하지 않고 카카오 측에 취약점을 제보했고,

저런 식을 할 법한 하잖고 미개한 인성 터진 인간들은 실력이 부족해서 못했다.

그렇게 아무 일도 없었던 것처럼 흘러갔다. 벌써 1년이 넘었다.

---

카카오 측의 대응

해당 취약점 최초 발견 시점

역설계를 하는 것은 저작권 침해다. 따라서, 최초 발견자가 SNS에 올린 글을 저작권 침해로 신고하여 내렸다.
이후, 취약점은 해결되지 않고 2년 동안 방치

해당 취약점 2차 발견 시점

이번에는 인맥을 통해 카카오 직원에게 직접 제보가 들어갔다.
제보가 들어간 시점은 연휴의 시작일. 연휴가 끝날 때까지 계속 방치하다가 연휴가 끝난 다음날에 출근해서 대충 고쳤다.

 

취약점 발견자들이 카카오로부터 받은 것

이 취약점을 블랙마켓에 넘겼다면 큰 돈을 벌었겠지만, 그러지 않았다.
그들이 카카오로부터 얻은 보상?은 다음과 같다.

 

최초 발견자 : DMCA를 통한 게시글 블라인드 처리

2차 발견자 : 취약점 발견에 사용된 카카오톡 계정 영구정지

2차 발견자의 주변 인물 : 취약점 관련 내용을 정리한 게시글 내리라는 연락

---

 

아 잠만 티스토리 카카오에서 운영하지.

이제 이 글 잘리는거 아닌가. 나중에 쫄리면 글 공개 설정 바꿔야지