메뉴 건너뛰기

오에스매니아

R 파일


페이스북의 View As 기능 통해 접근한 해커들, 토큰 훔쳐내
영향을 입은 5천만 명만이 아니라 View As 기능 사용한 4천만 명에도 조치

[보안뉴스 문가용 기자] 페이스북이 현지 시각으로 9월 28일, 대단위 해킹 사고가 발생했다고 발표했다. 이 때문에 약 5천만 명이 피해를 본 것으로 밝혀졌다.


829555954_2269.jpg

[이미지 = iclickart]


해커들이 공격한 오류는 페이스북의 View As 기능에 있었다. View As 기능은, 페이스북 사용자들이 자신의 페이스북 프로파일이 타인의 눈에 어떻게 보이는지 확인할 수 있게 해주는 것이다. 하지만 여기서 버그를 발견한 해커들은 페이스북의 접근 토큰을 훔쳐내는 데 성공했다. 이 토큰이 있으면 계정을 장악하는 게 가능하다. 접근 토큰은 사용자들의 로그인 상태를 유지하는 데 있어 ‘디지털 열쇠’의 역할을 한다. 이게 있기 때문에 사용자들은 페이스북을 켤 때마다 로그인을 하지 않아도 된다.


페이스북은 이 취약점을 수정하고, 유관기관에 해킹 사실을 보고했다. 문제를 더 파악하는 동안 View As 기능을 잠시 중단시키기도 했다.


수사는 아직까지도 진행 중이다. 페이스북은 “여태까지 분석된 바에 의하면 작년 7월에 변경된 영상 업로딩 기능에서부터 공격이 시작된 것으로 보인다”고 설명했다. 이 변경 때문에 View As 기능에도 영향이 있었다고 한다. “공격자들은 먼저 이 버그를 발견하고, 이 버그를 통해 접근 토큰 하나를 훔친 후, 해당 계정을 중심으로 추가적인 공격을 펼쳐 다른 계정의 토큰들도 훔쳐낸 것으로 보입니다.”


페이스북의 제품 관리 부문 부회장인 가이 로젠(Guy Rosen)은 블로그를 통해 “이것 때문에 사용자들이 비밀번호를 변경할 필요는 없다”고 말했다. 페이스북이 이번 사건을 통해 영향을 받은 5천만 명의 페이스북 계정의 보안 토큰을 리셋시켰기 때문이다. 뿐만 아니라 View As 기능을 통해 프로파일을 열람한 경험이 있는 사용자 4천만 명의 계정에도 같은 조치를 취했다.


그러므로 20억에 달하는 페이스북 사용자들 중 약 9천만 명이 계정 로그인을 새롭게 해야 한다. 페이스북 계정을 가지고 로그인을 하는 모든 웹 서비스와 앱들도 마찬가지다. 새로 로그인을 하면 이번 해킹 사고와 관련된 공지 사항이 나타나는 걸 볼 수 있을 것이다.


로젠은 “앞으로의 조사 과정에서 페이스북이 더 많은 피해 계정을 발견할 경우, 접근 토큰을 곧바로 리셋시킬 것”이라고 약속했다. 혹시나 하는 마음에 로그아웃을 하고자 한다면, 페이스북의 Security and Login 옵션을 통해 로그인 되어 있는 모든 웹 서비스와 장비들을 확인할 수 있다. 


아직 이 사건에 대한 수사는 초기 과정에 있다. 그러므로 페이스북은 “아직 이 공격을 실시한 자가 누구인지 파악하지 못하고 있다”고 한다. 하지만 페이스북의 사용자 5천만 명이 해킹을 당했다는 소식은 다른 산업의 전문가들을 놀라게 하고 있는 듯하다. 특히 View As 기능에서의 버그를 진작 발견하지 못한 것을 이해할 수 없다는 반응이다.


보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “페이스북처럼 인기가 높은 서비스도 없는데, 페이스북 내부 보안 전문가들은 물론이고 외부의 수많은 화이트 해커들이 이 문제를 한 번도 발견한 적 없다는 게 놀라울 뿐”이라고 말했다. 그러면서 “이 문제가 얼마나 오래된 것인지, 해커들은 어느 시점에 이 버그를 발견한 것인지가 궁금하다”고 덧붙였다



3줄 요약
1. 페이스북 해킹 당해 5천만 명 사용자가 피해 입다.
2. 해커들은 View As 기능에서 오류 발견해 계정 접근 토큰을 훔쳐냈다.
3. 아직 수사는 초기 단계. 공격 배후에 대해서는 아직 알려지지 않음.


https://www.boannews.com/media/view.asp?idx=73331

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

강글레리

2018.10.01 09:19
가입일: 2016:06.22
총 게시물수: 1027
총 댓글수: 2556

토큰을 오매에서 다시 볼줄은 몰랐습니다^^;

갈색 빛깔나는 토큰도 있었는데 말이죠^^

profile

누룽지

2018.10.01 16:18
가입일: 2018:06.27
총 게시물수: 6
총 댓글수: 166

역시 이런것들은 아예 사용하지 않는게 정답인지도...

profile

anfy

2018.10.02 00:18
가입일:
총 게시물수: 6
총 댓글수: 673

저는 바로 페이스북 계정 삭제했습니다.

토큰이...ㅋㅋ

profile

무심

2018.10.07 00:27
가입일: 2018:10.04
총 게시물수: 1
총 댓글수: 414

이제는 잘 사용안해서~

profile

강파치노

2018.10.11 09:47
가입일: 2018:10.11
총 게시물수: 4
총 댓글수: 57

저도 강글레리님과 같이 버스 토큰에 눈이가네요 ㅋㅋ

오래된 짐들속에 저 버스 토큰과 종이 버스표가 남았을테니 한번 찾아봐야겠네요 

List of Articles
번호 제목 글쓴이 날짜 조회 수sort
공지 보안 게시판 신설 file + 8 Op 2016-10-16 193
432 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 3555
431 보안 소식 hit 신규 랜섬웨어 아나토바(Anatova)등장 p2p 사용자필독 file + 18 꾸륵꾸르륵 01-28 2868
430 보안 소식 hit 1분 만에 해킹 완료! 포이즌탭 개발 소식이 두려운 이유 file + 12 따봉 12-13 2095
429 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 + 13 크로커스 01-10 1599
428 보안 소식 중국, 미국 컴퓨터에 백도어 용도의 칩 심어 염탐했다 + 12 파란하늘 10-05 1425
427 보안 소식 주민등록증이 해킹됐다...주민증 지문+스마트폰+점토 한덩이에 인감증명까지 + 14 티오피 10-03 1237
426 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 + 32 크로커스 02-08 927
425 보안 소식 중견기업도 당했다…이메일로 전파되는 '이모텟' 악성코드 주의보 + 1 파란하늘 05-01 826
424 백신 자료 2018 12월 백신 순위 file + 18 김마늘 01-30 808
423 보안 소식 중국 Huazhu Hotels Group 정보 유출! + 1 티오피 08-31 730
422 보안 소식 야옹이로 옆집 와이파이 해킹할 수 있다옹 file + 5 따봉 10-18 729
421 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 712
420 일반 검찰, 가상화폐 거래소 업비트 압수수색… 장부거래 혐의 file + 3 Op 05-14 697
419 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 + 27 크로커스 01-31 657
418 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 648
417 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 648
416 바이러스 Windows 시스템이 손상되었습니다. 업데이트금지! file + 34 파란하늘 01-21 642
415 일반 최신 악성 랜섬웨어 (페티아, 삼삼,로키, 서버,토렌트락커) 차단 가능한가? [네트워크 보안장비 체크포인트 #2 , 토크아이티, 파이어아이] + 12 매니안 10-22 619
414 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 23 Op 01-18 607
413 보안 소식 [긴급] 우리은행 직원 사칭 보이스피싱 금융사기 주의보! + 8 크로커스 11-15 581
412 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 5 Op 02-02 579
411 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 9 Op 02-18 573
410 보안 소식 중국서 만든 유명 날씨 앱…각종 개인정보 유출 file + 16 파란하늘 01-07 545
409 보안 소식 카카오톡 보안에도 구멍이? + 3 파란하늘 04-05 518
408 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 9 Op 02-02 515
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.