보안과 프라이버시를 내세운 앱이 정작 가장 기본적인 보안을 제대로 지키지 못했다면, 이건 정말 큰 문제죠. 최근 ‘프리덤 챗(Freedom Chat)’이라는 메신저 앱에서 사용자 전화번호와 앱 잠금 PIN이 노출될 수 있는 치명적인 결함이 발견됐어요. 솔직히 말하면, 웹3나 디파이에서 ‘트러스트리스(신뢰 불필요)’와 ‘자기 주권’을 강조하는 것처럼, 중앙화된 메신저도 최소한의 보안 약속은 지켜야 한다고 생각합니다.
문제를 발견한 에릭 데이글 보안 연구원에 따르면, 두 가지 주요 결함이 있었죠. 첫째는 서버가 수백만 개의 전화번호를 무차별적으로 추측하는 공격을 막지 못해, 가입된 사용자의 전화번호를 확인할 수 있었다는 점입니다. 이건 마치 누구나 비공개 주소지 목록 앞에서 무작위로 주소를 외쳐보고 “여기 사시나요?”라고 확인받는 것과 비슷한 상황이에요. 연구원은 이를 통해 약 2,000명의 사용자 전화번호를 확인할 수 있었다고 합니다.
더 충격적인 것은 두 번째 결함인데요, 앱의 네트워크 트래픽을 분석하면 같은 공개 채널에 있는 *다른 모든 사용자의 PIN 코드*가 응답에 포함되어 노출되고 있었다는 거죠. 기본 채널에 가입된 모든 사용자의 PIN이 서로에게 브로드캐스트되고 있었던 셈이에요. PIN을 알면 분실된 기기에서 앱을 열 수 있기 때문에, 이는 실질적인 계정 침해 위험으로 이어질 수 있었습니다.
개인적으로 이 소식을 보면서, 개발자 태너 하스의 이력이 눈에 띄었어요. 그는 이전에 ‘컨버소(Converso)’라는 메신저 앱을 만들었는데, 사용자의 비공개 메시지와 콘텐츠가 노출되는 보안 결함이 발견된 후 앱 스토어에서 삭제된 전력이 있거든요. 같은 개발자가 비슷한 프라이버시 강조 메시지를 내세운 새 앱을 출시했는데, 또다시 근본적인 보안 실수가 반복된 건 매우 실망스러운 부분이에요.
현재 프리덤 챗 측은 모든 사용자 PIN을 재설정하고 새 버전을 배포했다고 밝혔습니다. 또한 전화번호가 가끔 보일 수 있었던 경우를 제거하고, 서버의 요청 제한을 강화해 대량 추측 시도를 막겠다고 했죠. 하지만 이미 터진 보안 신뢰도를 다시 회복하는 건 쉽지 않은 일입니다. 특히 ‘보안’을 주요 판매 포인트로 삼는 서비스라면 더 그렇죠.
블록체인 생태계에서 우리는 종종 ‘Don’t trust, verify(신뢰하지 말고, 검증하라)’는 말을 합니다. 이 사건은 중앙화된 서비스에 사용자 데이터를 맡길 때도 같은 원칙이 적용되어야 한다는 걸 보여주는 사례인 것 같아요. 개발자의 말만 믿기보다, 실제 보안 실적과 오픈소스 검증 가능성 등을 꼼꼼히 살펴보는 태도가 필요하겠죠. 결국, 진정한 ‘자유(Freedom)’와 ‘프라이버시’는 단순한 마케팅 문구가 아닌, 견고한 기술과 검증된 실천에서 나오는 것 아닐까요?
—
원문: [TechCrunch](https://techcrunch.com/2025/12/11/security-flaws-in-freedom-chat-app-exposed-users-phone-numbers-and-pins/)