Home > 전체기사
인스타그램의 치명적 취약점 발견한 보안 전문가, 3만불 획득
  |  입력 : 2019-07-16 09:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인도에서 취약점 사냥꾼으로 활동하고 있는 전문가, 인스타그램 뜯어보다가
브루트포스 공격 방어 장치 있지만...인도의 전문가, 우회하는 법 발견해


[보안뉴스 문가용 기자] 인스타그램 계정 해킹에 사용될 수 있는 치명적인 취약점을 발견한 보안 전문가가 페이스북으로부터 3만 달러를 받았다고 한다. 이 보안 전문가는 인도의 버그바운티 헌터인 랙스맨 무티야(Laxman Muthiyah)로, 모바일 인스타그램의 비밀번호 복구 시스템을 분석하다가 취약점을 발견했다고 한다.

[이미지 = iclickart]


모바일 인스타그램 사용자들이 비밀번호를 변경할 때, 인스타그램은 모바일 장비로 여섯 자리 코드를 전송한다. 사용자들은 이 코드를 10분 안에 입력해야만 비밀번호를 바꿀 수 있다. 인스타그램 개발자들은 여기에 등급 제한 원리를 적용해 공격자들이 여섯 자리 코드를 브루트포스 공격으로 뚫어낼 수 없도록 해놓았다. 무티야가 발견한 건 이 안전장치를 우회하는 방법이라고 볼 수 있다.

무티야에 의하면 “인증 코드가 섞인 요청을 1천 번 보낼 경우, 750개는 차단되지만 250개는 통과된다”고 한다. “여기에 경합 조건(race condition)과 IP 회전(IP rotation)을 함께 사용하면 총 20만 번의 요청을 전송할 수 있게 됩니다. 1천 개의 각기 다른 IP 주소들을 사용할 경우 이게 가능해집니다. 공격자가 5천 개의 IP 주소들을 사용할 수 있다면, 어떤 인스타그램 계정이라도 장악할 수 있게 됩니다.”

IP 주소 5천 개라고 하면 굉장히 많은 것처럼 보이지만 공격자들에게는 아무 것도 아니라는 게 무티야의 설명이다. “제가 해커라면 아마존이나 구글의 클라우드 서비스를 사용했을 겁니다. 한 150달러 정도만 투자하면 인증 코드 1백만 개를 동원한 공격을 실시할 수 있습니다.”

무티야는 이러한 사실을 인스타그램을 소유하고 있는 페이스북에 곧바로 보고했다. 페이스북은 이를 접수하고 자사 버그바운티 정책에 따라 7월 10일 그에게 3만 달러를 지급했다.

무티야가 페이스북으로부터 굵직한 버그바운티 상금을 얻어낸 건 이번이 처음이 아니다. 얼마 전에는 영상 콘텐츠를 삭제하거나, 저작권 관련 규정을 수정하거나 삭제하게 해주고, 비공개 사진에 접근할 수 있게 해주는 심각한 취약점들을 발견하기도 했다.

3줄 요약
1. 인도의 버그바운티 헌터, 인스타그램에서 치명적인 취약점 발견.
2. 브루트포스 방지 장치를 뚫고, 브루트포스 공격 실시해 인스타그램 계정 해킹할 수 있게 해주는 것.
3. 이에 페이스북 측은 버그바운티 정책에 따라 3만 달러를 지급.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)