현재 사용자 침해 여부 확인 가능한 개발자용 툴 만들고 있어
기록적인 버그바운티 투자액에도 좋지 않은 한 해 보내는 페이스북

[보안뉴스 문가용 기자] 페이스북이 지난 주말 사진 API에서 발견된 버그 때문에 일부 고객들의 비밀스런 사진들에 서드파티 앱을 통한 접근이 가능했었다고 발표했다. 비공개 처리를 해놓은 사진을 외부인이 열람할 수 있었다는 뜻이다.


페이스북에 의하면 이 버그를 발견한 건 페이스북 내부 팀이며, 페이스북 로그인 기능을 사용하면서 동시에 서드파티 앱 개발자들의 사진첩 접근을 허용한 사용자들 사이에서 피해자가 있을 수 있다고 한다.

사진첩 접근이 허용되는 앱들은 보통 사용자들의 타임라인에 공개된 사진들만을 활용한다. 그러나 이번에 발표된 오류를 통해서라면, 페이스북 마켓플레이스(Facebook Marketplace)나 스토리(Facebook Stories), 사진첩에 업로드 되긴 했으나 다른 소셜 미디어 사용자들에게는 공개되지 않은 사진들에까지 개발자들의 접근이 가능했다.

이 취약점이 살아서 사진을 외부로 노출시킨 기간은 9월 13일부터 25일까지, 총 12일이다. 페이스북에 따르면 이 취약점에 영향을 받았을 가능성이 있는 사용자는 680만 명이며, 870명의 개발자들이 개발한 1500개의 애플리케이션들이라고 한다. 페이스북은 “사용자가 접근을 허용한 앱들을 통해서만 이 취약점에 대한 익스플로잇이 가능했다”고 강조했다.

페이스북은 실제 영향을 받은 것으로 보이는 사용자들에게 개별적인 경고를 보내고 있다고 밝혔으며, 이번 주 초까지 어떤 사용자들이 이 문제 때문에 영향을 받았는지 확인할 수 있게 해주는 개발자용 툴을 발표할 계획이라고 말했다. 또한 개발자들에게는 이 버그를 통해 입수한 사진들을 전부 삭제하라고 통보를 보냈다.

페이스북에 로그인이 되어 있는 상태로 이 주소(https://m.facebook.com/help/200632800873098?ref=photonotice)에 접속하면 안내 문구 중간 즈음에 사용자가 저장한 사진에 누군가 접근했는지 여부를 알 수 있다.

페이스북은 또한 2018년 한 해 동안 버그바운티 프로그램에 110만 달러의 상금을 지출했다고 발표했다. 페이스북은 2011년부터 매해 버그바운티 프로그램을 실시해오고 있으며, 여태까지 총 750만 달러 정도의 상금을 보안 전문가들에게 지급한 바 있다.

올해 110만 달러의 상금은 총 100개가 넘는 나라들에서 접수된 보고서를 바탕으로 지출됐으며, 약 700건이 ‘상금받기 충분하다’는 평가를 받았다. 그럼에도 페이스북은 캠브리지 애널리티카(Cambridge Analytica) 스캔들을 시작으로 올 한 해 온갖 안 좋은 소식들을 꾸준히 만들어내고 있다.

3줄 요약
1. 페이스북, API 버그 통해 680만 사용자의 민감 정보 유출한 듯.
2. 공개하지 않은 사진까지도 앱 개발자들이 접근할 수 있게 해주는 버그였음.
3. 피해 여부를 개별적으로 확인하는 것 가능.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>