요즘 디파이(DeFi) 지갑이나 NFT 마켓플레이스 같은 온체인 서비스 이용할 때, ‘시드 구문’이나 ‘개인 키’ 관리가 얼마나 중요한지 매번 실감하잖아요. 그런데 오프라인에서도 마찬가지죠. 최근 ‘프리덤 챗(Freedom Chat)’이라는 메신저 앱에서 터진 보안 사고를 보면, ‘보안’을 표방하는 서비스라도 기본에 충실하지 않으면 얼마나 위험한지 알 수 있더라고요.
이 앱은 사용자 전화번호를 비공개로 유지한다고 홍보했지만, 보안 연구원 에릭 데이글에 따르면 두 가지 치명적인 결함이 발견됐거든요. 첫째는 서버에 수백만 개의 전화번호를 무차별적으로 입력해 가입된 번호를 확인할 수 있는 ‘열거 공격’이 가능했다는 점이에요. 이는 지난달 빈 대학 연구팀이 왓츠앱에서 35억 개 계정 정보를 수집한 기법과 동일하죠. 결국 약 2,000명 가까운 사용자의 전화번호가 노출될 위험에 처했네요.
더 충격적인 건 두 번째 결함이에요. 네트워크 트래픽을 분석해보니, 같은 공개 채널에 있는 다른 모든 사용자의 PIN 코드가 응답 데이터에 그대로 포함되어 전송되고 있었다고 해요. 기본 채널에 가입된 모든 사용자의 PIN이 서로에게 ‘브로드캐스트’된 셈이죠. 이 PIN은 앱 잠금 해제에 사용되는데, 휴대폰을 분실했을 경우 제3자가 앱을 열어볼 수 있는 가능성을 의미하니 정말 심각한 문제죠.
개인적으로 이 부분에서 블록체인의 투명성과 오프체인 서비스의 ‘가짜 보안’이 대비된다는 생각이 들었어요. 블록체인은 모든 거래가 투명하게 공개되지만, 그건 의도된 설계죠. 반면 프리덤 챗 같은 중앙화된 서비스는 ‘보안’과 ‘프라이버시’를 팔지만, 실제로는 취약한 백엔드 관리로 인해 사용자 정보를 의도치 않게 노출시킬 수 있어요. 진정한 보안은 광고 문구가 아니라, 코드와 인프라에 대한 꾸준한 감사와 강화에서 나오는 거죠.
흥미로운(혹은 우려되는) 점은 프리덤 챗의 창업자 태너 하스가 이전에도 ‘컨버소(Converso)’라는 메신저를 운영했는데, 사용자 비공개 메시지가 노출되는 보안 결함이 발견된 후 앱 스토어에서 삭제된 전력이 있다는 거예요. 같은 창업자가 비슷한 유형의 서비스에서 반복적으로 보안 사고를 일으킨다는 건, 근본적인 보안 문화나 개발 관행에 문제가 있을 수 있다는 신호로 보여요.
결국 앱 측은 사용자 PIN을 모두 초기화하고 새 버전을 배포했으며, 전화번호가 노출될 수 있는 경우를 제거하고 서버의 요청 제한을 강화했다고 밝혔어요. 하지만 이미 노출된 정보에 대해서는 어쩔 수 없죠.
솔직히 말하면, 암호화폐 지갑을 고를 때도 그렇고, 메신저 앱을 고를 때도 원칙은 같아요. 오픈소스로 코드를 공개하고, 외부 보안 감사를 정기적으로 받으며, 취약점 보고 프로그램(Bug Bounty)을 운영하는 프로젝트나 서비스가 훨씬 신뢰가 가죠. ‘트러스트리스(Trustless)’나 ‘자기 주권(Self-Sovereignty)’이 웹3의 핵심 가치인 만큼, 우리의 데이터와 프라이버시를 타인에게 맡길 때는 한 번 더 따져보는 습관이 정말 중요하네요. 이번 사건은 그 사실을 다시 일깨워주는 사례인 것 같아요.
—
원문: [TechCrunch](https://techcrunch.com/2025/12/11/security-flaws-in-freedom-chat-app-exposed-users-phone-numbers-and-pins/)