Home > 전체기사
인스타그램에서 오류 발견한 보안 전문가, 4만 달러 받아
  |  입력 : 2019-08-30 12:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2달 동안 연거푸 비밀번호 설정 관련 오류 발견한 인도의 보안 전문가
페이스북, 최근부터 계정 탈취 방지에 투자 더 하기로 해...온라인 서비스의 운명


[보안뉴스 문가용 기자] 페이스북이 인스타그램에서 발견된 심각한 보안 오류를 재빨리 처리했다. 공격자들이 비밀번호를 바꿈으로써 아무 인스타그램 계정이나 차지할 수 있도록 해주는 위험한 취약점이었다고 한다.

[이미지 = iclickart]


이런 식의 비밀번호 변경 기능과 관련해서 인스타그램에서 문제가 발견된 건 최근 2개월 동안 벌써 두 번이다. 두 가지 버그 모두 인도의 버그 헌터인 락스만 무티야(Laxman Muthiyah)가 발견해 페이스북 측에 알렸다. 그에 따른 상금도 타갔다.

최근 페이스북은 계정 탈취와 관련된 오류나, 그와 비슷한 치명적 취약점들을 페이스북이나 인스타그램에서 발견할 경우의 버그바운티 상금을 올리겠다고 발표한 바 있다. 무티야는 이런 혜택에 가장 처음으로 수혜를 입은 인물로 평가되고 있다.

대부분의 온라인 서비스들이 그렇지만 인스타그램도 비밀번호를 잊어버린 사용자들에게 비밀번호 재설정 과정을 제공한다. 사용자가 모바일 장비로부터 비밀번호 변경 요청서를 제출할 경우, 사용자는 인스타그램으로부터 6자리 코드를 부여받는다. 이 코드가 입력되어야만 비밀번호 변경이 허락된다. 코드는 10분 안에 입력해야 한다.

무티야가 찾아낸 첫 번째 취약점은, 공격자들이 이러한 비밀번호 변경 요청 과정을 신청하고, 6자리 숫자 100만개를 대입할 수 있게 해주는 것이었다. 하지만 문제가 있었다. 공격 제한 시간은 10분이었고, 사용자가 200번 정도 엉뚱한 비밀번호를 입력하면 계정이 차단됐다.

물론 이 두 가지 문제가 원천적인 방어책은 아니었다. 무티야는 수많은 IP 주소들로부터 비밀번호 입력을 실시할 경우 이 두 가지 방어 장치가 발동하지 않는다는 것을 알아냈다. “실제 공격 시나리오의 경우 공격자가 약 5000개의 IP 주소를 동원해 각각으로부터 200개의 요청을 보내면 계정을 탈취할 수 있게 됩니다. 아마존이나 구글과 같은 클라우드 서비스의 기능을 사용한다면 쉽게 처리할 수 있습니다. 공격의 비용은 약 150달러 정도에 불과합니다.”

무티야는 이 사실을 페이스북에 알렸고, 페이스북은 해당 문제를 처리함과 동시에 무티야에게 3만 달러의 상금을 지급했다.

그런데 문제는 여기서 끝나지 않았다. 비밀번호 변경 프로세스에서 또 다른 문제가 발견된 것이다. 무티야는 자신의 블로그를 통해 “무작위로 생성된 장비 ID를 비밀번호 변경 요청과 함께 전송하고, 같은 장비 ID를 사용해 인스타그램이 발송한 6자리 비밀번호를 확인하는 작업을 하면 계정을 탈취할 수 있게 됩니다.”

무티야가 실험한 바에 의하면 “서로 다른 사용자가 비밀번호 변경 신청을 했을 때, 같은 장비 ID를 사용해도 된다”고 한다. “한 장비 ID로 여러 사용자의 비밀번호를 변경하려고 했을 때 계정 해킹 확률이 올라가는 것을 알아냈습니다.”

무슨 말일까? “6자리로 된 숫자를 하나하나 대입하려면, 최대 100만 번의 시도가 있어야 합니다. 100만분의 1의 확률로 성공하죠. 같은 장비 ID를 사용하는 사용자 10만 명의 비밀번호를 변경한다고 할 때, 10만 개의 변경용 코드가 같은 장비 ID로 전송되므로 성공 확률이 10%로 올라갑니다. 만약 같은 장비 ID를 가진 100만 명의 사용자가 가진 비밀번호를 요청한다면 어떻게 될까요? 이론상 확률은 매우 높아지죠.”

페이스북은 이런 발견을 또 다시 해낸 무티야에게 1만 달러의 상금을 지급했다.

보안 업체 포지록(ForgeRock)의 부회장인 이브 메일러(Eve Maler)는 “해커와 본질적으로는 똑같은 일을 하되, 그 결과를 윤리적으로 환산하려는 보안 전문가들이 늘어나고 있다”고 말했다. “무티야가 저런 오류를 발견하고, 혼자서 나쁜 짓에 사용한다거나, 다크웹에 팔았다면 어떻게 됐을까요? 페이스북은 더 큰 손해를 봤을 겁니다. 돈으로 계산하기 힘든 피해를 입었을 가능성도 높지요.”

그러면서 메일러는 “앞으로 온라인 활동이 늘어남에 따라 계정 탈취는 모든 온라인 서비스들의 가장 심각한 사안으로 남아있을 것”이라고 예견하기도 했다. “온라인 보호가 곧 고객 보호이며, 따라서 브랜드 신뢰도이기도 합니다. 그러므로 여기에 앞으로 상당히 많은 투자가 있을 것으로 예상됩니다.”

3줄 요약
1. 페이스북의 인스타그램에서 계정 탈취와 관련된 버그가 최근에만 두 개 발견됨.
2. 페이스북은 이 두 가지 버그를 발견한 인도 보안 전문가에게 총 4만 달러를 지급.
3. 온라인 계정 보호는 앞으로 수많은 온랑니 서비스 제공 업체들의 우선 보호 대상이 될 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제