페이스북, 5천만 사용자 위협에 노출…어떤 취약점 공격에 당했나

페이스북이 사이버공격을 당해 5000만 사용자 계정이 위협에 노출됐다. 총 9000만 사용자 계정이 이번 침해로 인해 영향을 받은 것으로 보인다.

페이스북은 지난 9월25일(이하 현지시간) 보안 문제를 발견해 공격에 악용된 취약점을 수정하고 긴급조치와 예방조치를 취했다고 28일 공지(페이스북 뉴스룸 보안공지)했다.

이로 인해 직접 위협에 노출된 이용자는 5000만명으로, 지난해 해당 취약점 관련 기능을 검토한 4000만 사용자 계정을 포함해 9000만 계정의 액세스 토큰을 재설정했다. 며칠 전 갑자기 페이스북 계정이 로그아웃돼 다시 로그인해야 하는 경험을 했다면 이 9000만 계정에 포함된 사용자라고 볼 수 있다.

페이스북은 공격자가 ‘내 프로필 미리보기(View As)(다른 사람들이 내 타임라인에서 보는 콘텐츠 검토)’ 기능 관련 취약점을 악용한 것으로 분석했다.

이 취약점을 악용하면 사용자들의 ‘액세스 토큰’을 훔칠 수 있다. 이 액세스 토큰을 획득하면 다른 사용자 계정에 로그인할 수 있고, 이를 기반으로 또 다른 사용자들의 추가 액세스 토큰을 얻을 수 있게 된다. 공격자가 비밀번호를 획득하지 않았더라도 내 계정에 로그인하는 방식으로 침투할 수 있다는 얘기다.

‘액세스 토큰’은 사용자가 페이스북에 접속할 때마다 새롭게 비밀번호 입력해 로그인하지 않아도 계속 로그인돼 있도록 하는 디지털 키와 비슷하다는 게 페이스북의 설명이다.

현재 문제의 이 ‘미리보기(View As)’ 기능은 중지돼 있는 상태다.

페이스북은 자체 조사 결과 공격에 악용된 취약점이 지난 2017년 7월 동영상 업로드 기능을 변경하면서 나타난 것으로 분석했다.

‘미리보기(View As)’ 기능에 있는 세가지 버그가 맞물리면서 취약점이 나타났다고 밝혔다. 이는  만일 내가 올린 게시물이나 프로필을 다른 사람이 보지 못하도록 설정한 경우 실제 페이스북 페이지 타임라인에서 어떻게 보이는지 미리 확인할 수 있는 기능이다.

이 기능은 보기만 가능한 전용 인터페이스만 제공해야 했지만 페이스북은 ‘생일 축하하기’ 기능에 동영상을 게시할 수 있는 인터페이스를 제공하는 허점을 노출했다.

또 2017년 7월 나온 유튜브의 새로운 동영상 업로더(비디오 게시를 허용한 잘못된 인터페이스)가 페이스북 모바일 앱의 권한(permissions)을 가진 액세스 토큰을 잘못 생성했다.

정구홍 그레이해쉬 수석연구원은 자신의 페이스북 계정을 통해 “취약점 자체는 너무 단순하다”라며 “누군가 다른 사람의 미리보기를 보고 생일 축하 버튼을 눌러봤다면 취약점이 발견됐을 것”이라고 분석했다.

개인의 사생활을 기록하고 가족, 친구와 연결되는 페이스북에서 침해사고가 발생한 사실이 알려지면서 이용자들이 불안감에 휩싸이고 있다.

페이스북은 아직까지 공격자나 그 배후는 물론 어떠한 계정이 오용됐고 정보에 액세스 됐는지 파악하고 있지 못한 상태다.

회사측은 취약점을 수정하고 법 집행당국에 신고했다고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network