WhatsApp 보안 개선: 암호화된 백업

WhatsApp페이스북이 소유한 회사인 는 사용자가 다른 왓츠앱 사용자와 문자 메시지, 음성 통화, 문서 공유를 할 수 있는 모바일 애플리케이션입니다. 왜 이 앱이 익숙하게 들리는지 궁금하실 수도 있는데, 아마도 2018년 제프 베조스의 휴대전화가 해킹되어 수 GB에 달하는 개인 정보가 유출된 사건 때문일 것입니다. 이로 인해 베조스와 그의 애인이 함께 찍은 사진이 공개되었고, 그의 이혼은 공개적인 화제가 되었습니다. 크리스 록의 오스카 시상식에서의 로스트, 이는 모두 WhatsApp을 포함한 사이버 공격 때문입니다. WhatsApp은 2018년 베조스 공격 이후 보안 관련 평판을 개선하기 위해 노력해 왔습니다.

2021년 9월 10일, WhatsApp 발표 엔드투엔드 지원을 출시할 예정입니다. 암호화 Android 및 iOS 사용자를 위한 클라우드에서의 채팅 백업은 Apple iCloud 또는 Google Drive에 채팅 메시지 및 사진과 같은 정보를 저장할 수 있는 길을 열어줍니다. 암호로 안전한 방식입니다. 종단 간 암호화를 제대로 구현하면 WhatsApp 직원이 사용자를 염탐하는 것을 방지할 수 있습니다. 일반적으로 이는 문제가 되지 않지만, WhatsApp에 소환장이 발부되면 가능하면 반드시 따라야 합니다. 종단 간 암호화를 통해 WhatsApp 직원조차도 이러한 채팅 메시지 내역을 캡처하여 당국에 제출할 수 없습니다.

이전 보안 기능

위로 2016에서, WhatsApp을 End-to-End로 사용할 수 있습니다. 암호화 발신자와 수신자 간의 개인 메시지, 통화, 화상 채팅 및 미디어를 위한 (E2EE) 솔루션입니다. 이 E2EE 솔루션의 문제점은 클라우드에 저장된 사용자 백업 데이터와 관련이 있습니다. 사용자 기기에서 대화나 데이터를 전송할 때는 동일한 E2EE 보안 보호 기능이 제공되지 않아 WhatsApp 직원, 소환장을 받은 정부 기관, 클라우드 제공업체, 심지어 클라우드 제공업체 네트워크 내부의 해커까지도 백업 데이터를 읽을 수 있었습니다.

새로운 기능

이 선택 기능은 2021년 9월에 출시될 예정이지만, 사용자 계정에 연결된 기본 기기에서만 작동하며, 휴대폰의 WhatsApp 콘텐츠를 그대로 미러링하는 데스크톱이나 노트북과 같은 보조 기기에서는 작동하지 않습니다. WhatsApp은 백서에서 다음과 같이 밝혔습니다.

WhatsApp은 종단 간 암호화 백업을 도입하면서 HSM(하드웨어 보안 모듈) 기반 백업 키 보관소를 만들어 변조 방지 스토리지에 사용자 백업을 위한 사용자별 암호화 키를 안전하게 저장하여 사용자의 메시지 기록에 대한 보안을 강화했습니다.

종단 간 암호화 백업을 활성화하면, 애플리케이션은 클라우드에 백업을 저장하기 전에 사용자 기기에서 생성된 무작위 키를 사용하여 채팅 메시지와 모든 메시징 데이터(문자, 사진, 동영상 등)를 암호화합니다. 백업을 암호화하는 기기 생성 키는 사용자가 제공한 비밀번호로 보호되며, 이 비밀번호는 기기 도난 시 쉽게 복구할 수 있도록 저장소에 저장됩니다.

또는 사용자는 비밀번호 대신 64자리 암호화 키를 제공할 수 있지만, 이 경우 암호화 키는 더 이상 HSM 백업 키 보관소로 전송되지 않으므로 수동으로 저장해야 합니다. 계정 소유자가 백업에 접근해야 하는 경우, 비밀번호 또는 64자리 키를 사용하여 백업 키 보관소에서 암호화 키를 검색하고 백업을 복호화할 수 있습니다.

볼트는 5개의 데이터 센터에 지리적으로 분산되어 있으며 암호 검증을 시행하고 실패한 로그인 시도 횟수가 일정 횟수를 초과하면 키에 접근할 수 없도록 하는 역할을 합니다. 무차별 대입 공격. 

지금 무엇을 해야 합니까?

WhatsApp 사용자라면 이 새로운 기능이 출시될 때까지 WhatsApp 사용을 자제하시기 바랍니다. CyberHoot에서는 이 기능이 출시되면 데이터 개인정보 침해 가능성을 줄이기 위해 이 선택적 기능을 활성화할 것을 권장합니다.

CyberHoot의 중소기업을 위한 중요한 권장 사항

새로운 What's App E2EE 보안 기능이 출시될 때까지 다음 CyberHoot 권장 사항을 구현하는 것이 중요합니다. 

• 채택 암호 관리자 더 나은 개인/업무용 비밀번호 위생을 위해
• 요구 이중 인증 모든에 SaaS 솔루션 및 중요한 계정
• 비밀번호에 14자 이상 필요 거버넌스 정책 및 기술 구성
• 직원 교육 이메일 기반을 발견하고 피하려면 피싱 공격
• 직원들이 테스트하는 것 피싱 이메일을 발견하고 방지할 수 있습니다
• 백업 데이터를 사용하여 3-2-1 방법
• 통합 최소 권한의 원칙
• 을 수행 위험 평가 2~3년마다
• 전문적인 가상 최고 정보 보안 책임자(CISO)를 고용하세요.vCISO) FTE를 고용하는 데 드는 비용의 일부만으로 사이버 보안 프로그램에 대한 조언, 안내 및 구축을 제공합니다.

출처 :

해커 뉴스

민트

추가 자료 : 

제프 베조스와 왓츠앱 보안 결함

페이스북이 2억 명의 WhatsApp 사용자의 개인정보 보호를 어떻게 훼손하는가

CyberHoot가 어떻게 귀하의 비즈니스를 보호할 수 있는지 알아보세요.

데모 예약