메뉴 건너뛰기

× ◈ 공지 ◈ 지금부터 내일까지 다른 제작자님들 댓글에 다른 제작자님 자료 링크 걸어놓은 분들은 모든 링크를 삭제 하세요
                    내일까지 입니다 만약 내일까지 링크가 그대로 둔 분들은 등급 상관 없이 모두 계정 삭제 합니다

오에스매니아


페이스북의 View As 기능 통해 접근한 해커들, 토큰 훔쳐내
영향을 입은 5천만 명만이 아니라 View As 기능 사용한 4천만 명에도 조치

[보안뉴스 문가용 기자] 페이스북이 현지 시각으로 9월 28일, 대단위 해킹 사고가 발생했다고 발표했다. 이 때문에 약 5천만 명이 피해를 본 것으로 밝혀졌다.


829555954_2269.jpg

[이미지 = iclickart]


해커들이 공격한 오류는 페이스북의 View As 기능에 있었다. View As 기능은, 페이스북 사용자들이 자신의 페이스북 프로파일이 타인의 눈에 어떻게 보이는지 확인할 수 있게 해주는 것이다. 하지만 여기서 버그를 발견한 해커들은 페이스북의 접근 토큰을 훔쳐내는 데 성공했다. 이 토큰이 있으면 계정을 장악하는 게 가능하다. 접근 토큰은 사용자들의 로그인 상태를 유지하는 데 있어 ‘디지털 열쇠’의 역할을 한다. 이게 있기 때문에 사용자들은 페이스북을 켤 때마다 로그인을 하지 않아도 된다.


페이스북은 이 취약점을 수정하고, 유관기관에 해킹 사실을 보고했다. 문제를 더 파악하는 동안 View As 기능을 잠시 중단시키기도 했다.


수사는 아직까지도 진행 중이다. 페이스북은 “여태까지 분석된 바에 의하면 작년 7월에 변경된 영상 업로딩 기능에서부터 공격이 시작된 것으로 보인다”고 설명했다. 이 변경 때문에 View As 기능에도 영향이 있었다고 한다. “공격자들은 먼저 이 버그를 발견하고, 이 버그를 통해 접근 토큰 하나를 훔친 후, 해당 계정을 중심으로 추가적인 공격을 펼쳐 다른 계정의 토큰들도 훔쳐낸 것으로 보입니다.”


페이스북의 제품 관리 부문 부회장인 가이 로젠(Guy Rosen)은 블로그를 통해 “이것 때문에 사용자들이 비밀번호를 변경할 필요는 없다”고 말했다. 페이스북이 이번 사건을 통해 영향을 받은 5천만 명의 페이스북 계정의 보안 토큰을 리셋시켰기 때문이다. 뿐만 아니라 View As 기능을 통해 프로파일을 열람한 경험이 있는 사용자 4천만 명의 계정에도 같은 조치를 취했다.


그러므로 20억에 달하는 페이스북 사용자들 중 약 9천만 명이 계정 로그인을 새롭게 해야 한다. 페이스북 계정을 가지고 로그인을 하는 모든 웹 서비스와 앱들도 마찬가지다. 새로 로그인을 하면 이번 해킹 사고와 관련된 공지 사항이 나타나는 걸 볼 수 있을 것이다.


로젠은 “앞으로의 조사 과정에서 페이스북이 더 많은 피해 계정을 발견할 경우, 접근 토큰을 곧바로 리셋시킬 것”이라고 약속했다. 혹시나 하는 마음에 로그아웃을 하고자 한다면, 페이스북의 Security and Login 옵션을 통해 로그인 되어 있는 모든 웹 서비스와 장비들을 확인할 수 있다. 


아직 이 사건에 대한 수사는 초기 과정에 있다. 그러므로 페이스북은 “아직 이 공격을 실시한 자가 누구인지 파악하지 못하고 있다”고 한다. 하지만 페이스북의 사용자 5천만 명이 해킹을 당했다는 소식은 다른 산업의 전문가들을 놀라게 하고 있는 듯하다. 특히 View As 기능에서의 버그를 진작 발견하지 못한 것을 이해할 수 없다는 반응이다.


보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “페이스북처럼 인기가 높은 서비스도 없는데, 페이스북 내부 보안 전문가들은 물론이고 외부의 수많은 화이트 해커들이 이 문제를 한 번도 발견한 적 없다는 게 놀라울 뿐”이라고 말했다. 그러면서 “이 문제가 얼마나 오래된 것인지, 해커들은 어느 시점에 이 버그를 발견한 것인지가 궁금하다”고 덧붙였다



3줄 요약
1. 페이스북 해킹 당해 5천만 명 사용자가 피해 입다.
2. 해커들은 View As 기능에서 오류 발견해 계정 접근 토큰을 훔쳐냈다.
3. 아직 수사는 초기 단계. 공격 배후에 대해서는 아직 알려지지 않음.


https://www.boannews.com/media/view.asp?idx=73331

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

강글레리

2018.10.01 09:19

토큰을 오매에서 다시 볼줄은 몰랐습니다^^;

갈색 빛깔나는 토큰도 있었는데 말이죠^^

profile

누룽지

2018.10.01 16:18

역시 이런것들은 아예 사용하지 않는게 정답인지도...

profile

anfy

2018.10.02 00:18

저는 바로 페이스북 계정 삭제했습니다.

토큰이...ㅋㅋ

profile

무심

2018.10.07 00:27

이제는 잘 사용안해서~

profile

강파치노

2018.10.11 09:47

저도 강글레리님과 같이 버스 토큰에 눈이가네요 ㅋㅋ

오래된 짐들속에 저 버스 토큰과 종이 버스표가 남았을테니 한번 찾아봐야겠네요 

List of Articles
번호 제목 글쓴이 날짜 조회 수sort
공지 보안 게시판 신설 file + 8 Op 2016-10-16 174
402 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 3206
401 보안 소식 hit 1분 만에 해킹 완료! 포이즌탭 개발 소식이 두려운 이유 file + 12 따봉 12-13 2089
400 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 + 13 크로커스 01-10 1579
399 보안 소식 주민등록증이 해킹됐다...주민증 지문+스마트폰+점토 한덩이에 인감증명까지 + 9 티오피 10-03 969
398 보안 소식 중국, 미국 컴퓨터에 백도어 용도의 칩 심어 염탐했다 update + 8 파란하늘 10-05 961
397 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 + 32 크로커스 02-08 921
396 보안 소식 중견기업도 당했다…이메일로 전파되는 '이모텟' 악성코드 주의보 + 1 파란하늘 05-01 821
395 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 699
394 일반 검찰, 가상화폐 거래소 업비트 압수수색… 장부거래 혐의 file + 3 Op 05-14 689
393 보안 소식 야옹이로 옆집 와이파이 해킹할 수 있다옹 file + 5 따봉 10-18 635
392 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 + 26 크로커스 01-31 634
391 일반 최신 악성 랜섬웨어 (페티아, 삼삼,로키, 서버,토렌트락커) 차단 가능한가? [네트워크 보안장비 체크포인트 #2 , 토크아이티, 파이어아이] + 12 매니안 10-22 606
390 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 23 Op 01-18 595
389 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 577
388 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 9 Op 02-18 565
387 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 5 Op 02-02 553
386 보안 소식 카카오톡 보안에도 구멍이? + 3 파란하늘 04-05 514
385 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 9 Op 02-02 508
384 보안 소식 [긴급] 우리은행 직원 사칭 보이스피싱 금융사기 주의보! + 8 크로커스 11-15 493
383 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 474
382 바이러스 램섬웨어에 걸린 경험기.. + 22 독극물 07-02 440
381 보안 소식 웹을 통한 ‘크립토럭’ 랜섬웨어 국내 유포 주의 + 24 크로커스 11-16 414
380 보안 소식 디도스공격에 美 인터넷 절반 마비…IoT 보안의 민낯 + 16 Op 10-23 413
379 바이러스 '바탕화면 파일 암호화' 랜섬웨어 주의 file + 15 Op 11-12 410
378 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 + 13 구름 02-03 397
위로