페이스북의 View As 기능 통해 접근한 해커들, 토큰 훔쳐내
영향을 입은 5천만 명만이 아니라 View As 기능 사용한 4천만 명에도 조치

[보안뉴스 문가용 기자] 페이스북이 현지 시각으로 9월 28일, 대단위 해킹 사고가 발생했다고 발표했다. 이 때문에 약 5천만 명이 피해를 본 것으로 밝혀졌다.


[이미지 = iclickart]

해커들이 공격한 오류는 페이스북의 View As 기능에 있었다. View As 기능은, 페이스북 사용자들이 자신의 페이스북 프로파일이 타인의 눈에 어떻게 보이는지 확인할 수 있게 해주는 것이다. 하지만 여기서 버그를 발견한 해커들은 페이스북의 접근 토큰을 훔쳐내는 데 성공했다. 이 토큰이 있으면 계정을 장악하는 게 가능하다. 접근 토큰은 사용자들의 로그인 상태를 유지하는 데 있어 ‘디지털 열쇠’의 역할을 한다. 이게 있기 때문에 사용자들은 페이스북을 켤 때마다 로그인을 하지 않아도 된다.

페이스북은 이 취약점을 수정하고, 유관기관에 해킹 사실을 보고했다. 문제를 더 파악하는 동안 View As 기능을 잠시 중단시키기도 했다.

수사는 아직까지도 진행 중이다. 페이스북은 “여태까지 분석된 바에 의하면 작년 7월에 변경된 영상 업로딩 기능에서부터 공격이 시작된 것으로 보인다”고 설명했다. 이 변경 때문에 View As 기능에도 영향이 있었다고 한다. “공격자들은 먼저 이 버그를 발견하고, 이 버그를 통해 접근 토큰 하나를 훔친 후, 해당 계정을 중심으로 추가적인 공격을 펼쳐 다른 계정의 토큰들도 훔쳐낸 것으로 보입니다.”

페이스북의 제품 관리 부문 부회장인 가이 로젠(Guy Rosen)은 블로그를 통해 “이것 때문에 사용자들이 비밀번호를 변경할 필요는 없다”고 말했다. 페이스북이 이번 사건을 통해 영향을 받은 5천만 명의 페이스북 계정의 보안 토큰을 리셋시켰기 때문이다. 뿐만 아니라 View As 기능을 통해 프로파일을 열람한 경험이 있는 사용자 4천만 명의 계정에도 같은 조치를 취했다.

그러므로 20억에 달하는 페이스북 사용자들 중 약 9천만 명이 계정 로그인을 새롭게 해야 한다. 페이스북 계정을 가지고 로그인을 하는 모든 웹 서비스와 앱들도 마찬가지다. 새로 로그인을 하면 이번 해킹 사고와 관련된 공지 사항이 나타나는 걸 볼 수 있을 것이다.

로젠은 “앞으로의 조사 과정에서 페이스북이 더 많은 피해 계정을 발견할 경우, 접근 토큰을 곧바로 리셋시킬 것”이라고 약속했다. 혹시나 하는 마음에 로그아웃을 하고자 한다면, 페이스북의 Security and Login 옵션을 통해 로그인 되어 있는 모든 웹 서비스와 장비들을 확인할 수 있다.

아직 이 사건에 대한 수사는 초기 과정에 있다. 그러므로 페이스북은 “아직 이 공격을 실시한 자가 누구인지 파악하지 못하고 있다”고 한다. 하지만 페이스북의 사용자 5천만 명이 해킹을 당했다는 소식은 다른 산업의 전문가들을 놀라게 하고 있는 듯하다. 특히 View As 기능에서의 버그를 진작 발견하지 못한 것을 이해할 수 없다는 반응이다.

보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “페이스북처럼 인기가 높은 서비스도 없는데, 페이스북 내부 보안 전문가들은 물론이고 외부의 수많은 화이트 해커들이 이 문제를 한 번도 발견한 적 없다는 게 놀라울 뿐”이라고 말했다. 그러면서 “이 문제가 얼마나 오래된 것인지, 해커들은 어느 시점에 이 버그를 발견한 것인지가 궁금하다”고 덧붙였다.

3줄 요약
1. 페이스북 해킹 당해 5천만 명 사용자가 피해 입다.
2. 해커들은 View As 기능에서 오류 발견해 계정 접근 토큰을 훔쳐냈다.
3. 아직 수사는 초기 단계. 공격 배후에 대해서는 아직 알려지지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>