2달 동안 연거푸 비밀번호 설정 관련 오류 발견한 인도의 보안 전문가
페이스북, 최근부터 계정 탈취 방지에 투자 더 하기로 해...온라인 서비스의 운명
[보안뉴스 문가용 기자] 페이스북이 인스타그램에서 발견된 심각한 보안 오류를 재빨리 처리했다. 공격자들이 비밀번호를 바꿈으로써 아무 인스타그램 계정이나 차지할 수 있도록 해주는 위험한 취약점이었다고 한다.
[이미지 = iclickart]
이런 식의 비밀번호 변경 기능과 관련해서 인스타그램에서 문제가 발견된 건 최근 2개월 동안 벌써 두 번이다. 두 가지 버그 모두 인도의 버그 헌터인 락스만 무티야(Laxman Muthiyah)가 발견해 페이스북 측에 알렸다. 그에 따른 상금도 타갔다.
최근 페이스북은 계정 탈취와 관련된 오류나, 그와 비슷한 치명적 취약점들을 페이스북이나 인스타그램에서 발견할 경우의 버그바운티 상금을 올리겠다고 발표한 바 있다. 무티야는 이런 혜택에 가장 처음으로 수혜를 입은 인물로 평가되고 있다.
대부분의 온라인 서비스들이 그렇지만 인스타그램도 비밀번호를 잊어버린 사용자들에게 비밀번호 재설정 과정을 제공한다. 사용자가 모바일 장비로부터 비밀번호 변경 요청서를 제출할 경우, 사용자는 인스타그램으로부터 6자리 코드를 부여받는다. 이 코드가 입력되어야만 비밀번호 변경이 허락된다. 코드는 10분 안에 입력해야 한다.
무티야가 찾아낸 첫 번째 취약점은, 공격자들이 이러한 비밀번호 변경 요청 과정을 신청하고, 6자리 숫자 100만개를 대입할 수 있게 해주는 것이었다. 하지만 문제가 있었다. 공격 제한 시간은 10분이었고, 사용자가 200번 정도 엉뚱한 비밀번호를 입력하면 계정이 차단됐다.
물론 이 두 가지 문제가 원천적인 방어책은 아니었다. 무티야는 수많은 IP 주소들로부터 비밀번호 입력을 실시할 경우 이 두 가지 방어 장치가 발동하지 않는다는 것을 알아냈다. “실제 공격 시나리오의 경우 공격자가 약 5000개의 IP 주소를 동원해 각각으로부터 200개의 요청을 보내면 계정을 탈취할 수 있게 됩니다. 아마존이나 구글과 같은 클라우드 서비스의 기능을 사용한다면 쉽게 처리할 수 있습니다. 공격의 비용은 약 150달러 정도에 불과합니다.”
무티야는 이 사실을 페이스북에 알렸고, 페이스북은 해당 문제를 처리함과 동시에 무티야에게 3만 달러의 상금을 지급했다.
그런데 문제는 여기서 끝나지 않았다. 비밀번호 변경 프로세스에서 또 다른 문제가 발견된 것이다. 무티야는 자신의 블로그를 통해 “무작위로 생성된 장비 ID를 비밀번호 변경 요청과 함께 전송하고, 같은 장비 ID를 사용해 인스타그램이 발송한 6자리 비밀번호를 확인하는 작업을 하면 계정을 탈취할 수 있게 됩니다.”
무티야가 실험한 바에 의하면 “서로 다른 사용자가 비밀번호 변경 신청을 했을 때, 같은 장비 ID를 사용해도 된다”고 한다. “한 장비 ID로 여러 사용자의 비밀번호를 변경하려고 했을 때 계정 해킹 확률이 올라가는 것을 알아냈습니다.”
무슨 말일까? “6자리로 된 숫자를 하나하나 대입하려면, 최대 100만 번의 시도가 있어야 합니다. 100만분의 1의 확률로 성공하죠. 같은 장비 ID를 사용하는 사용자 10만 명의 비밀번호를 변경한다고 할 때, 10만 개의 변경용 코드가 같은 장비 ID로 전송되므로 성공 확률이 10%로 올라갑니다. 만약 같은 장비 ID를 가진 100만 명의 사용자가 가진 비밀번호를 요청한다면 어떻게 될까요? 이론상 확률은 매우 높아지죠.”
페이스북은 이런 발견을 또 다시 해낸 무티야에게 1만 달러의 상금을 지급했다.
보안 업체 포지록(ForgeRock)의 부회장인 이브 메일러(Eve Maler)는 “해커와 본질적으로는 똑같은 일을 하되, 그 결과를 윤리적으로 환산하려는 보안 전문가들이 늘어나고 있다”고 말했다. “무티야가 저런 오류를 발견하고, 혼자서 나쁜 짓에 사용한다거나, 다크웹에 팔았다면 어떻게 됐을까요? 페이스북은 더 큰 손해를 봤을 겁니다. 돈으로 계산하기 힘든 피해를 입었을 가능성도 높지요.”
그러면서 메일러는 “앞으로 온라인 활동이 늘어남에 따라 계정 탈취는 모든 온라인 서비스들의 가장 심각한 사안으로 남아있을 것”이라고 예견하기도 했다. “온라인 보호가 곧 고객 보호이며, 따라서 브랜드 신뢰도이기도 합니다. 그러므로 여기에 앞으로 상당히 많은 투자가 있을 것으로 예상됩니다.”
3줄 요약
1. 페이스북의 인스타그램에서 계정 탈취와 관련된 버그가 최근에만 두 개 발견됨.
2. 페이스북은 이 두 가지 버그를 발견한 인도 보안 전문가에게 총 4만 달러를 지급.
3. 온라인 계정 보호는 앞으로 수많은 온랑니 서비스 제공 업체들의 우선 보호 대상이 될 것.
[국제부 문가용 기자(globoan@boannews.com)]
페이스북, 최근부터 계정 탈취 방지에 투자 더 하기로 해...온라인 서비스의 운명
[보안뉴스 문가용 기자] 페이스북이 인스타그램에서 발견된 심각한 보안 오류를 재빨리 처리했다. 공격자들이 비밀번호를 바꿈으로써 아무 인스타그램 계정이나 차지할 수 있도록 해주는 위험한 취약점이었다고 한다.
[이미지 = iclickart]
이런 식의 비밀번호 변경 기능과 관련해서 인스타그램에서 문제가 발견된 건 최근 2개월 동안 벌써 두 번이다. 두 가지 버그 모두 인도의 버그 헌터인 락스만 무티야(Laxman Muthiyah)가 발견해 페이스북 측에 알렸다. 그에 따른 상금도 타갔다.
최근 페이스북은 계정 탈취와 관련된 오류나, 그와 비슷한 치명적 취약점들을 페이스북이나 인스타그램에서 발견할 경우의 버그바운티 상금을 올리겠다고 발표한 바 있다. 무티야는 이런 혜택에 가장 처음으로 수혜를 입은 인물로 평가되고 있다.
대부분의 온라인 서비스들이 그렇지만 인스타그램도 비밀번호를 잊어버린 사용자들에게 비밀번호 재설정 과정을 제공한다. 사용자가 모바일 장비로부터 비밀번호 변경 요청서를 제출할 경우, 사용자는 인스타그램으로부터 6자리 코드를 부여받는다. 이 코드가 입력되어야만 비밀번호 변경이 허락된다. 코드는 10분 안에 입력해야 한다.
무티야가 찾아낸 첫 번째 취약점은, 공격자들이 이러한 비밀번호 변경 요청 과정을 신청하고, 6자리 숫자 100만개를 대입할 수 있게 해주는 것이었다. 하지만 문제가 있었다. 공격 제한 시간은 10분이었고, 사용자가 200번 정도 엉뚱한 비밀번호를 입력하면 계정이 차단됐다.
물론 이 두 가지 문제가 원천적인 방어책은 아니었다. 무티야는 수많은 IP 주소들로부터 비밀번호 입력을 실시할 경우 이 두 가지 방어 장치가 발동하지 않는다는 것을 알아냈다. “실제 공격 시나리오의 경우 공격자가 약 5000개의 IP 주소를 동원해 각각으로부터 200개의 요청을 보내면 계정을 탈취할 수 있게 됩니다. 아마존이나 구글과 같은 클라우드 서비스의 기능을 사용한다면 쉽게 처리할 수 있습니다. 공격의 비용은 약 150달러 정도에 불과합니다.”
무티야는 이 사실을 페이스북에 알렸고, 페이스북은 해당 문제를 처리함과 동시에 무티야에게 3만 달러의 상금을 지급했다.
그런데 문제는 여기서 끝나지 않았다. 비밀번호 변경 프로세스에서 또 다른 문제가 발견된 것이다. 무티야는 자신의 블로그를 통해 “무작위로 생성된 장비 ID를 비밀번호 변경 요청과 함께 전송하고, 같은 장비 ID를 사용해 인스타그램이 발송한 6자리 비밀번호를 확인하는 작업을 하면 계정을 탈취할 수 있게 됩니다.”
무티야가 실험한 바에 의하면 “서로 다른 사용자가 비밀번호 변경 신청을 했을 때, 같은 장비 ID를 사용해도 된다”고 한다. “한 장비 ID로 여러 사용자의 비밀번호를 변경하려고 했을 때 계정 해킹 확률이 올라가는 것을 알아냈습니다.”
무슨 말일까? “6자리로 된 숫자를 하나하나 대입하려면, 최대 100만 번의 시도가 있어야 합니다. 100만분의 1의 확률로 성공하죠. 같은 장비 ID를 사용하는 사용자 10만 명의 비밀번호를 변경한다고 할 때, 10만 개의 변경용 코드가 같은 장비 ID로 전송되므로 성공 확률이 10%로 올라갑니다. 만약 같은 장비 ID를 가진 100만 명의 사용자가 가진 비밀번호를 요청한다면 어떻게 될까요? 이론상 확률은 매우 높아지죠.”
페이스북은 이런 발견을 또 다시 해낸 무티야에게 1만 달러의 상금을 지급했다.
보안 업체 포지록(ForgeRock)의 부회장인 이브 메일러(Eve Maler)는 “해커와 본질적으로는 똑같은 일을 하되, 그 결과를 윤리적으로 환산하려는 보안 전문가들이 늘어나고 있다”고 말했다. “무티야가 저런 오류를 발견하고, 혼자서 나쁜 짓에 사용한다거나, 다크웹에 팔았다면 어떻게 됐을까요? 페이스북은 더 큰 손해를 봤을 겁니다. 돈으로 계산하기 힘든 피해를 입었을 가능성도 높지요.”
그러면서 메일러는 “앞으로 온라인 활동이 늘어남에 따라 계정 탈취는 모든 온라인 서비스들의 가장 심각한 사안으로 남아있을 것”이라고 예견하기도 했다. “온라인 보호가 곧 고객 보호이며, 따라서 브랜드 신뢰도이기도 합니다. 그러므로 여기에 앞으로 상당히 많은 투자가 있을 것으로 예상됩니다.”
3줄 요약
1. 페이스북의 인스타그램에서 계정 탈취와 관련된 버그가 최근에만 두 개 발견됨.
2. 페이스북은 이 두 가지 버그를 발견한 인도 보안 전문가에게 총 4만 달러를 지급.
3. 온라인 계정 보호는 앞으로 수많은 온랑니 서비스 제공 업체들의 우선 보호 대상이 될 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
