• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

5천만 명 사용자 해킹 당한 페이스북, 추가 사실 공개해 2018.10.02

수사 중인 페이스북, 취약점에 대한 세부 내용 발표
해커 수준 꽤나 높은 것으로 보여...정체는 아직 미발표

[보안뉴스 문가용 기자] 해킹 사고로 5천만 명의 피해자를 낳은 페이스북이 해당 사건에 대한 추가 내용을 발표했다. 이 사건은 View As 기능에 있는 취약점을 통해 해커가 5천만 명의 계정 접근 토큰을 탈취해간 것으로, 주말 동안 전 세계 페이스북 사용자들을 놀라게 했다.

[이미지 = iclickart]


View As 기능은 사용자가 자신의 프로파일이 다른 사람에게 어떻게 보이는지를 볼 수 있게 해주는 것으로, 사용자가 원하는 정보만을 노출시킴으로써 프라이버시를 보호할 수 있도록 하기 위해 만들어진 것이다. 하지만 이 기능에는 세 가지 버그가 있었는데, 공격자들은 이 버그들을 조합함으로써 접근 토큰을 가져갈 수 있었다고 한다.

View As 기능이 시작될 때, 인터페이스는 읽기 전용 모드로 나타나는 것이 정상이다. 하지만 다른 사용자들이 생일 축하 메시지를 남길 수 있도록 마련된 텍스트 상자에 텍스트만이 아니라 동영상까지도 업로드가 가능하다는 오류가 존재했다. 이것이 첫 번째 버그다.

그래서 이 텍스트 상자에 동영상을 업로드 하려고 하면, 동영상 업로더가 페이스북 모바일 앱에 대한 권한을 가지고 있는 접근 토큰을 생성한다. 동영상 업로더가 이 시점에서 접근 토큰을 생성한다는 건 큰 오류다. 그러므로 이것이 두 번째 버그가 된다.

이렇게 ‘잘못’ 생성된 접근 토큰은, 그 자체로도 문제를 포함하고 있었다. View As 기능을 활성화시킨 당사자의 토큰이 아니라, 그 사용자가 프로파일을 열람해본 또 다른 사용자의 토큰이 생성되는 것이었다. 이것이 세 번째 버그였다.

해커들은 페이지의 HTML 코드를 통해 토큰을 가져갈 수 있었고, 이를 통해 목표로 삼았던 계정에 접근할 수 있었다. 공격자는 해당 사용자의 친구 계정을 먼저 공격하고, 거기서부터 다른 계정을 장악할 수 있었다. 링크를 누른다든지, 파일을 연다든지 하는 사용자 편에서의 행동이 특별히 필요하지도 않았다. 페이스북의 엔지니어링 부사장인 페드로 카나후아티(Pedro Canahuati)는 “공격자가 이러한 행위를 반복함으로써 많은 토큰을 탈취할 수 있었다”고 설명했다.

페이스북은 이 문제들을 전부 패치했다고 발표했다. 또한 공격자들이 페이스북의 API들을 요청해 프로파일 정보에 접근하려는 시도를 한 흔적을 발견했다고 덧붙이기도 했다. 사용자의 이름, 성별, 사는 곳 등의 민감한 정보를 노린 것인데, 페이스북은 해커들이 그러한 정보에 접근 성공한 것으로 보이는 증거가 아직 나오지 않았다고 밝혔다. 또한 아직까지 사용자들의 비밀 대화 내용이나 신용카드 정보에도 접근했음을 시사하는 흔적이 발견되지 않았다고 설명했다.

한편 피해자는 전 세계에 걸쳐 있는 것으로 보인다. 특별히 한 나라나 지역만을 집중적으로 공격한 것으로 보이지는 않는다고 페이스북은 발표했다. 페이스북의 CEO인 마크 저커버그와 COO인 셰릴 샌드버그도 이번 공격에 당했다.

또 중요한 사실은 이번에 해커가 가져간 접근 토큰을 가지고, 페이스북 로그인 정보로 로그인이 가능한 서드파티 앱들에도 접근할 수 있다는 것이다. 하지만 현재 페이스북이 해당 계정들을 전부 리셋한 상태라 이러한 위험은 더 이상 존재하지 않는다고 한다. 물론 페이스북과 연동된 서비스를 사용하는 경우, 연결을 끊고 다시 접속해 로그인 하는 과정이 필요하다.

페이스북은 아직 공격자와 관련된 정보를 공유하거나 발표하지 않았다. 다만 “이번과 같은 공격을 성공시키려면 상당한 실력이 필요하다”며 공격자의 수준을 언급하긴 했다.

한편 이미 미국 내에서는 이번 사건으로 인한 집단 소송이 준비되고 있다고 한다. 페이스북의 주가는 해킹 사고 소식이 알려지고 나서 3% 떨어졌다.

3줄 요약
1. 5천만 명 해킹 사고 당한 페이스북, 추가 사실 발표.
2. 취약점은 총 세 가지 버그를 조합한 것이었음. 읽기 전용 인터페이스에 동영상을 업로드할 수 있게 해준 것, 동영상을 업로드하면 접근 토큰이 생성되는 것, 이 접근 토큰이 심지어 View As를 사용하는 사람의 것이 아니라, View As를 사용해 열람한 프로파일 주인의 것이라는 것.
3. 문제는 패치됐으나 페이스북은 집단 소송 앞두고 있고, 주가도 3% 떨어짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>