WhatsApp은 사용하기에 안전할까요?

새로운 소송(새 창)으로 인해 WhatsApp의 보안이 다시 주목받고 있습니다. 이 앱의 전직 보안 책임자인 Attaullah Baig는 Meta가 수백 명의 직원이 민감한 사용자 데이터에 접근할 수 있도록 허용하는 치명적인 결함을 무시했고 대규모 계정 해킹을 막지 못했다고 주장합니다. Meta는 이러한 주장을 거부하지만, 30억 명의 WhatsApp 사용자(새 창)에게는 질문이 동일합니다: WhatsApp은 정말 안전할까요?

• WhatsApp은 개인 채팅에 안전한가요?
• Meta가 WhatsApp 개인정보 우려로 소송을 당한 이유는 무엇인가요?
• WhatsApp의 보안 및 개인정보 위험은 무엇인가요?
  • 멀웨어 및 스파이웨어
  • 제로 클릭 익스플로잇
  • SIM 스와핑 및 인증 코드 사기
  • 노출된 메타데이터
  • 35억 개의 WhatsApp 전화번호 대량 노출
  • 모든 Meta 플랫폼에서의 타겟 광고
  • Meta AI 학습
• WhatsApp에서 안전을 유지하는 방법
• 더 개인적인 인스턴트 메시징 앱 선택

WhatsApp은 개인 채팅에 안전한가요?

소송의 주장에도 불구하고, WhatsApp의 종단 간 암호화(E2EE)는 건재합니다. WhatsApp의 암호화 프로토콜이 깨졌거나 Meta가 대화 내용을 읽음할 수 있다는 징후는 없습니다. 즉, 텍스트, 사진 및 음성 통화는 Meta 자체를 포함한 외부 접근으로부터 여전히 보호됩니다.

하지만 WhatsApp은 귀하의 메타데이터(누구와 대화하는지, 언제 하는지 등)를 읽음할 수 있으며, 거주 국가에 따라 해당 데이터를 Meta와 공유합니다. 따라서 보안은 귀하가 얼마나 많은 정보를 개인적으로 유지하고 싶은지에 달려 있습니다.

Meta가 WhatsApp 개인정보 우려로 소송을 당한 이유는 무엇인가요?

2021년부터 2025년까지 WhatsApp의 보안 팀을 이끌었던 Attaullah Baig는 이 앱이 Meta가 주장하는 것만큼 개인적이지 않다고 말합니다. 소송에서 그는 약 1,500명의 직원이 국가, 프로필 사진, 그룹 멤버십 및 연락처 목록을 포함한 민감한 사용자 정보에 접근할 수 있다고 주장합니다.

이러한 주장이 사실이라면, 종단 간 암호화에 대한 WhatsApp의 입장(새 창)이 명확해질 것입니다. 메시지는 개인적이지만, 국가, 프로필 사진, 그룹 멤버십 및 연락처 목록은 공정한 게임이라는 것입니다. 그러한 무제한 접근은 내부자 위협과 데이터 유출의 문을 열어주며, 민감한 정보가 도난당해 다크 웹에서 판매될 수 있습니다.

전직 보안 책임자는 이러한 수준의 접근이 Cambridge Analytica 스캔들 이후 Meta(당시 Facebook)가 2020년에 기록적인 50억 달러의 벌금(새 창)을 지불하도록 강제한 구속력 있는 미국 정부 명령을 위반할 수도 있다고 주장합니다.

그는 또한 회사가 매일 100,000건 이상의 계정 탈취를 무시하고 그가 제안한 수정 사항을 거절했다고 주장합니다. 소송에 따르면, Baig가 Mark Zuckerberg를 포함한 고위 경영진에게 이러한 우려를 제기했을 때 Meta는 그를 해고했습니다.

Meta는 Baig의 주장을 거부했으며 그의 해고를 저조한 성과 탓으로 돌렸습니다. 이러한 혐의는 또한 정치적인 관심을 끌었으며, 상원의원들은 Zuckerberg에게(새 창) WhatsApp의 보안 관행에 대한 답변을 압박하고 있습니다.

Baig의 소송은 6명의 전현직 Meta 직원(새 창) 그룹이 회사가 가상 현실 플랫폼에서 아동들이 그루밍, 괴롭힘 및 폭력에 노출되었다는 증거를 은폐했다고 주장한 지 불과 며칠 만에 제기되었습니다. Meta는 이러한 주장도 거부했습니다.

WhatsApp의 보안 및 개인정보 위험은 무엇인가요?

WhatsApp의 사용자 데이터 처리가 주목받고 있는 가운데, 이 앱을 사용할 때 직면할 수 있는 보안 및 개인정보 위험은 다음과 같습니다.

멀웨어 및 스파이웨어

악성 앱이나 링크는 휴대전화에 스파이웨어를 설치하여 공격자가 메시지나 코드를 가로챌 수 있게 합니다. 그 예로 브라질에서 처음 발견된 Android 멀웨어인 PixPirate(새 창)가 있는데, 이는 해당 국가의 즉시 결제 시스템인 Pix를 표적으로 삼았습니다. 그 이후 인도, 멕시코, 이탈리아에서도 관찰되었습니다. 이 멀웨어의 목표는 은행 자격 증명을 훔치고, 2단계 인증(2FA) 코드를 가로채고, 피해자의 계정에서 무단 Pix 이체를 시작하고, 제거 시도나 Google Play Protect 비활성화 시도를 차단하는 것입니다.

공격자들은 PixPirate를 퍼뜨리기 위해 WhatsApp을 사용했습니다. 멀웨어가 기기에서 WhatsApp을 감지하지 못하면(새 창), 연락처에 더 많은 악성 링크를 보내기 위해 WhatsApp을 다운로드합니다.

제로 클릭 익스플로잇

2025년, 연구원들은 해커들이 사용자가 아무것도 클릭하지 않고도 WhatsApp을 통해 iPhone과 Mac에 침입(새 창)할 수 있는 제로 클릭 공격을 발견했습니다. 이 익스플로잇은 두 가지 결함을 결합했습니다. 하나는 macOS와 iOS가 이미지를 처리하는 방식에 있었고, 다른 하나는 WhatsApp의 기기 연결 기능에 있었습니다.

사이버 범죄자들은 WhatsApp 메시지를 통해 Apple 사용자에게 스파이웨어를 전달하고 메시지를 포함하여 기기에서 데이터를 훔칠 수 있었습니다. Meta는 200명 미만의 사용자가 영향을 받았다고 말했으며, Apple과 WhatsApp 모두 이후 취약점을 패치했습니다.

같은 해에 별도의 제로 클릭 취약점이 Samsung 기기에 영향을 미쳤습니다(CVE-2025-21042(새 창)). 공격자는 악성 이미지 파일을 보내기 함으로써 Galaxy 휴대전화를 유출시킬 수 있었으며 상호 작용이 필요하지 않았습니다. 이 익스플로잇은 Samsung이 2025년 4월 보안 업데이트에서 문제를 패치할 때까지 표적형 스파이웨어 캠페인에 사용되었습니다.

SIM 스와핑 및 인증 코드 사기

공격자는 이동통신사를 속여 전화번호를 자신이 제어하는 새 SIM 카드로 이전할 수 있습니다. 그런 다음 새 기기를 설정할 때 WhatsApp이 SMS로 보내기 하는 6자리 코드를 공유하도록 속일 수 있습니다. 코드를 넘겨주면, 악의적인 행위자가 계정을 탈취하고, 귀하를 차단하고, 신원을 도용하고, 프로필을 사용하여 연락처에 사기를 칠 수 있습니다. 런던 서더크 경찰은 2021년에 이러한 공격이 급증했다고 보고(새 창)하며 사람들에게 WhatsApp 코드를 절대 공유하지 말라고 경고했습니다.

노출된 메타데이터

채팅은 종단 간 암호화될 수 있지만, WhatsApp(및 상위 회사 Meta)은 누구와 대화하는지, 얼마나 자주 하는지, 기기 세부사항 및 국가와 같은 메타데이터를 여전히 수집합니다. 메타데이터는 귀하를 직접 식별하는 데 사용할 수 없지만, 다른 정보와 교차 참조하여 귀하를 재식별(새 창)할 수 있습니다. 그리고 Meta는 미국에 기반을 두고 있기 때문에, 귀하에 대해 알고 있는 모든 것을 통지 없이 미국 정부와 공유할 수 있습니다.

35억 개의 WhatsApp 전화번호 대량 노출

2025년, 오스트리아의 독립 연구원 그룹은 쉽게 재현 가능한 전화 열거 방식을 사용하여 프로필 사진, 기기 세부사항, 타임스탬프, “정보” 텍스트 및 비즈니스 정보와 함께 35억 개의 전화번호를 검색할 수 있는 WhatsApp의 개인정보 결함을 발견했습니다(새 창). 동일한 취약점이 2017년에 처음 보고되었지만 Meta는 이를 해결하지 않았습니다. 중요한 점은, 이 특정 방식을 악용한 것으로 확인된 WhatsApp 데이터 유출이 공개적으로 보고된 바는 없다는 것입니다.

전화번호와 메타데이터가 귀하를 직접 식별하지는 않지만, 다른 데이터와 일치시켜 귀하가 누구인지 밝혀낼 수 있습니다. 소셜 플랫폼 전반에서 동일한 프로필 사진을 재사용하거나, 이메일, 사용자 이름 또는 국가가 노출된 과거 데이터 보안 사고에 포함되었을 수 있으며, 이 모든 것은 WhatsApp 메타데이터와 다시 링크될 수 있습니다.

연구원들은 또한 WhatsApp의 종단 간 암호화에 사용되는 공개 키를 획득하여 심각한 문제를 발견했습니다. 여기에는 암호화 키가 여러 계정에서 수백 번 재사용되거나, 세션마다 새로 생성되도록 설계된 일회용 프리키가 반복해서 나타나는 문제가 포함됩니다.

이러한 보안 문제는 암호화가 깨진 비공식 또는 사기성 WhatsApp 클라이언트의 사용을 시사합니다. 이러한 수정된 앱을 사용하는 경우, 메시지가 도청, 복호화 또는 계정 사칭에 취약할 수 있습니다.

Meta는 열거 문제를 해결했다고 말하며 노출된 데이터의 민감성을 축소했고, 공개 키 문제나 거의 10년 전에 이 주요 결함에 대해 경고받았다는 사실은 언급하지 않았습니다.

모든 Meta 플랫폼에서의 타겟 광고

WhatsApp은 광고에 메시지 내용(새 창)을 사용하지 않는다고 말하지만, 계정 정보(국가 코드, 나이), 기기 정보(언어, 국가), 상태 및 채널 활동(조회, 팔로우 또는 클릭한 항목)과 같은 다른 데이터는 사용합니다. WhatsApp은 Meta의 일부이기 때문에 이 데이터는 Facebook 및 Instagram 전반에서 공유될 수 있지만, GDPR 덕분에 유럽에서는 이러한 데이터 공유가 제한됩니다.

WhatsApp이 2021년에 개인정보취급방침을 변경한 이후, 기업과 주고받았을 수 있는 결제 및 거래 데이터를 Meta(당시 Facebook)와 공유해 왔습니다. WhatsApp을 Meta의 계정 센터에 연결하면 광고 설정이 통합되어 WhatsApp에서의 활동이 다른 곳에서 보는 광고에 영향을 줄 수 있습니다. 그리고 Meta AI로 구동되는 새로운 기능으로 인해 플랫폼 간의 데이터 공유는 더 많은 우려를 낳고 있습니다.

Meta AI 학습

Meta AI는 WhatsApp, Facebook 및 Instagram에 첨부되어 있어 데이터 처리 방식, AI 학습에 사용되는 방식 및 이러한 플랫폼 간의 공유 방식에 대한 우려를 불러일으키고 있습니다.

WhatsApp에서 Meta는 Meta AI가 개인적인 종단 간 암호화된 채팅에 접근하지 않는다고 말합니다. 그러나 Meta AI와 공유하는 프롬프트 및 의견은 저장되어 모델을 개선하는 데 사용될 수 있습니다. WhatsApp은 또한 “개인 처리”(새 창)에 의존하는 대화 요약 기능을 제공하는데, Meta는 이것이 회사나 다른 사람이 요약을 읽음하는 것을 방지한다고 주장합니다.

이러한 보장에도 불구하고, 사람들이 데이터에 대해 실제로 얼마나 많은 통제권을 가지고 있는지에 대한 우려는 여전합니다. 예를 들어, Facebook 사용자는 Meta AI가 동의 없이 카메라 롤에서 게시되지 않은 사진을 스캔하도록 허용하는 설정을 활성화했다고 보고했습니다.

WhatsApp에서 안전을 유지하는 방법

WhatsApp을 사용할 때 개인정보 및 보안을 개선하기 위해 할 수 있는 일은 다음과 같습니다.

• 항상 App Store 또는 Google Play에서 공식 WhatsApp 앱을 사용하여 종단 간 암호화가 올바르게 작동하도록 하세요.
• 휴대전화에서 보안 알림을 켜서 연락처가 WhatsApp을 재설치하거나, 휴대전화를 변경하거나, 링크된 기기를 추가 또는 삭제할 때 알림을 받으세요.
• 패스키를 생성하여 얼굴, 지문 또는 화면 잠금으로 WhatsApp에 로그인할 수 있게 하세요. 이렇게 하면 다른 사람이 SMS 코드를 얻더라도 로그인하는 것을 방지할 수 있습니다.
• 계정이 잠길 경우를 대비하여 확인하거나 복구할 이메일 주소를 추가하세요. 이메일 자체가 강력한 비밀번호와 2단계 인증으로 보안되는지 확인하세요.
• iCloud 또는 Google Drive에서 채팅을 보호하기 위해 종단 간 암호화된 백업을 활성화하여 Apple, Google 또는 Meta조차도 읽음할 수 없게 하세요. WhatsApp은 클라우드 저장공간 제공업체를 선택할 수 있게 해주지 않습니다. 그렇지 않다면 채팅 백업을 완전히 꺼야 합니다.
• 6자리 인증 코드를 누구와도 공유하지 마세요. WhatsApp과 Meta는 절대 그것을 요청하지 않습니다.
• 번호를 다른 SIM 카드로 이동하기 전에 이동통신사에 PIN이나 패스프레이즈를 추가하도록 요청하세요. 이렇게 하면 SIM 스와핑이 훨씬 어려워집니다.
• Google Play 또는 App Store에서만 WhatsApp을 다운로드하고, 모바일 및 데스크톱 운영 체제와 함께 최신 버전으로 업데이트된 상태를 유지하세요.
• 알 수 없거나 의심스러운 WhatsApp 연락처의 링크를 클릭하거나 앱을 설치하지 마세요. 연락처가 확실하지 않은 경우 다른 방법을 통해 연락하여 신원을 확인하세요.
• 자신을 그룹에 추가할 수 있는 사람과 프로필 사진, 마지막 접속 및 온라인 상태, 정보 섹션, 프로필의 링크를 볼 수 있는 사람을 제한하여 (새 창)WhatsApp 개인정보 보호 설정(새 창)을 강화하세요.
• WhatsApp에서 Meta AI를 완전히 끌 수는 없지만, 활동에서 너무 많은 것을 학습하지 못하게 하고 메시지가 AI 학습 데이터에 포함되지 않도록 보호하는 조치를 취할 수 있습니다.

더 개인적인 인스턴트 메시징 앱 선택

보안을 개선하고 다른 WhatsApp 사용자가 볼 수 있는 내용을 제한하는 조치를 취할 수 있지만, Meta가 수익을 위해 메타데이터와 같은 사용자 정보 수집에 여전히 의존한다는 사실은 변하지 않습니다. 최근 내부 고발자의 주장이 정확하다면, 그 접근은 회사가 인정하는 것보다 훨씬 더 광범위할 수 있습니다. Meta의 개인정보 침해 이력을 고려할 때, 어느 정도의 회의론은 정당합니다.

이러한 수준의 통제가 우려된다면, 훨씬 적은 데이터를 수집하고 동의 또는 지불 광고 모델로 인해 규제 기관으로부터 벌금을 부과받은 거대 기술 기업과 연관되지 않은, 더 개인적인 WhatsApp 대안을 고려해 보세요.