페이스북, 5천만 사용자 위협에 노출…어떤 취약점 공격에 당했나

페이스북이 사이버공격을 당해 5000만 사용자 계정이 위협에 노출됐다. 총 9000만 사용자 계정이 이번 침해로 인해 영향을 받은 것으로 보인다.

페이스북은 지난 9월25일(이하 현지시간) 보안 문제를 발견해 공격에 악용된 취약점을 수정하고 긴급조치와 예방조치를 취했다고 28일 공지(페이스북 뉴스룸 보안공지)했다.

이로 인해 직접 위협에 노출된 이용자는 5000만명으로, 지난해 해당 취약점 관련 기능을 검토한 4000만 사용자 계정을 포함해 9000만 계정의 액세스 토큰을 재설정했다. 며칠 전 갑자기 페이스북 계정이 로그아웃돼 다시 로그인해야 하는 경험을 했다면 이 9000만 계정에 포함된 사용자라고 볼 수 있다.

페이스북은 공격자가 ‘내 프로필 미리보기(View As)(다른 사람들이 내 타임라인에서 보는 콘텐츠 검토)’ 기능 관련 취약점을 악용한 것으로 분석했다.

이 취약점을 악용하면 사용자들의 ‘액세스 토큰’을 훔칠 수 있다. 이 액세스 토큰을 획득하면 다른 사용자 계정에 로그인할 수 있고, 이를 기반으로 또 다른 사용자들의 추가 액세스 토큰을 얻을 수 있게 된다. 공격자가 비밀번호를 획득하지 않았더라도 내 계정에 로그인하는 방식으로 침투할 수 있다는 얘기다.

‘액세스 토큰’은 사용자가 페이스북에 접속할 때마다 새롭게 비밀번호 입력해 로그인하지 않아도 계속 로그인돼 있도록 하는 디지털 키와 비슷하다는 게 페이스북의 설명이다.

현재 문제의 이 ‘미리보기(View As)’ 기능은 중지돼 있는 상태다.

페이스북은 자체 조사 결과 공격에 악용된 취약점이 지난 2017년 7월 동영상 업로드 기능을 변경하면서 나타난 것으로 분석했다.

‘미리보기(View As)’ 기능에 있는 세가지 버그가 맞물리면서 취약점이 나타났다고 밝혔다. 이는  만일 내가 올린 게시물이나 프로필을 다른 사람이 보지 못하도록 설정한 경우 실제 페이스북 페이지 타임라인에서 어떻게 보이는지 미리 확인할 수 있는 기능이다.

이 기능은 보기만 가능한 전용 인터페이스만 제공해야 했지만 페이스북은 ‘생일 축하하기’ 기능에 동영상을 게시할 수 있는 인터페이스를 제공하는 허점을 노출했다.

또 2017년 7월 나온 유튜브의 새로운 동영상 업로더(비디오 게시를 허용한 잘못된 인터페이스)가 페이스북 모바일 앱의 권한(permissions)을 가진 액세스 토큰을 잘못 생성했다.

정구홍 그레이해쉬 수석연구원은 자신의 페이스북 계정을 통해 “취약점 자체는 너무 단순하다”라며 “누군가 다른 사람의 미리보기를 보고 생일 축하 버튼을 눌러봤다면 취약점이 발견됐을 것”이라고 분석했다.

개인의 사생활을 기록하고 가족, 친구와 연결되는 페이스북에서 침해사고가 발생한 사실이 알려지면서 이용자들이 불안감에 휩싸이고 있다.

페이스북은 아직까지 공격자나 그 배후는 물론 어떠한 계정이 오용됐고 정보에 액세스 됐는지 파악하고 있지 못한 상태다.

회사측은 취약점을 수정하고 법 집행당국에 신고했다고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

AI 트랜스포메이션을 위한 리테일 테크는 무엇일까

– 리테일 & 로지스 테크 컨퍼런스 2024

리테일 산업은 이제 디지털 산업입니다. 온라인뿐 아니라 오프라인 기업도 디지털 기술을 활용하지 않고서는 생존할 수 없습니다. AI 기술의 발달은 리테일 업계에 새로운 기회와 도전과제를 안겨주었습니다.

생성형 AI, 이커머스 쏠림, D2C 확장, 오프라인 매장의 폐점, 경기 침체, 늘어만 가는 배송 수요 등의 많은 변화 속에서 리테일과 물류, 커머스 업계는 디지털 없이는 변화에 대처할 수 없음을 알고 있습니다.

이에 바이라인네트워크는 리테일&로지스 테크 컨퍼런스 2024를 개최합니다. 리테일과 물류 기업이 어떻게 AI와 디지털 기술을 활용하고 있는지, 디지털 혁신을 위해 필요한 기술과 활용사례는 무엇인지 살펴보는 자리가 될 것입니다.

  • 일시: 2024년 3월 7일(목) 9:00 ~ 18:00
  • 장소: 서울 강남구 테헤란로7길 22 ST Center (과학기술컨벤션센터) 지하 1층 대회의실

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다