페이스북의 한 엔드포인트에서 계정 탈취로 이어지는 취약점 발견
사용자가 해야 할 건 클릭 한 번...이마저 없었다면 상금은 4만 달러

[보안뉴스 문가용 기자] 한 보안 전문가가 페이스북으로부터 2만 5천 달러라는 거액의 상금을 받았다. 표적으로 삼은 페이스북 사용자가 클릭 한 번만 하게 유도하면 계정을 탈취할 수 있게 해주는 치명적인 CSRF 취약점을 발견해 보고했기 때문이다.


이 전문가는 온라인 상에서 삼모우다(Samm0uda)라는 이름을 사용하고 있는 인물로, 페이스북 엔드포인트인 facebook.com/comet/dialog_DONOTUSE/에서 CSRF 보호 장치를 우회할 수 있게 해주는 취약점을 발견해냈다고 밝혔다.

“이 취약점을 익스플로잇 할 경우 공격자는 사용자의 프로파일 사진을 지울 수 있고, 심지어 계정 전체를 삭제하는 것도 가능합니다.” 물론 계정 삭제 공격에 성공하려면 표적이 된 사용자가 악성 링크를 클릭하는 것 말고도 비밀번호를 입력해야만 한다.

삼모우다는 “이 공격 기법을 응용하면 사용자의 계정을 완전히 탈취하는 것도 가능하다”고 설명했다. “공격자는 사용자의 계정에 등록된 이메일 주소와 전화번호도 바꿀 수 있습니다. 공격자가 사용자의 이메일을 자신의 것으로 바꿀 경우, 비밀번호 변경 기능을 사용해 새로운 비밀번호를 설정할 수 있게 됩니다. 원래 사용자는 로그인할 수 없게 되죠.”

이 취약점을 통해 계정을 탈취하는 건 조금은 어려울 수 있다. “두 개의 URL을 사용해야 합니다. 하나는 새로운 이메일이나 전화번호를 추가하기 위한 것이고, 다른 하나는 이 변경 행위를 ‘확인’하기 위한 것입니다.”

삼모우다는 연구 끝에 이를 한 번에 해결하는 방법을 발견했다. “피해자 대신 악성 앱에 권한을 부여하고, 이를 통해 접근 토큰을 얻어냄으로써 두 개의 URL을 사용해야 한다는 문제를 해결할 수 있었습니다. 알아내기까지 절차가 쉽지는 않았지만, 한 번 알아내고 나니 수초 만에 공격이 가능하더군요.”

삼모우다가 이를 페이스북에 알린 건 1월 26일의 일이다. 페이스북은 1월 31일에 패치를 발표했다. 그리고 그에게 2만 5천 달러라는 상금을 수여했다.

페이스북은 지난 9월 버그바운티 프로그램을 확대한다고 발표한 바 있다. 특히 접근 토큰과 관련된 문제에 있어서 상금을 올린다는 계획이었다. 계정 탈취와 관련된 취약점 발견 시 최대 4만 달러의 상금을 주기로 했는데, 삼모우다의 경우 사용자의 특정 행위를 필요로 한 것이었기 때문에 최대 금액을 받지는 못했다고 한다.

페이스북은 지난 12월 2018년 한 해 동안 총 110만 달러의 버그바운티 상금을 지출했다고 발표했다. 2011년부터 버그바운티를 시작한 페이스북이 그 동안 보안 전문가들에게 수여한 상금은 총 750만 달러였다.

삼모우다가 운영하는 블로그에는 페이스북과 인스타그램에서 발견된 취약점들에 대한 설명들이 잘 나와 있다. 전부 자신이 직접 발견하고 보고한 것이라고 한다.

3줄 요약
1. 페북에서 CSRF 취약점 발견한 한 보안 전문가, 페북으로부터 25000달러 받음.
2. 사용자의 클릭 한 번으로 계정을 완전히 탈취할 수 있게 해주는 취약점이었음.
3. 사용자 클릭 없이 공격 가능했으면 4만 달러 받았을 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>