메뉴 건너뛰기

오에스매니아

R 파일


페이스북의 View As 기능 통해 접근한 해커들, 토큰 훔쳐내
영향을 입은 5천만 명만이 아니라 View As 기능 사용한 4천만 명에도 조치

[보안뉴스 문가용 기자] 페이스북이 현지 시각으로 9월 28일, 대단위 해킹 사고가 발생했다고 발표했다. 이 때문에 약 5천만 명이 피해를 본 것으로 밝혀졌다.


829555954_2269.jpg

[이미지 = iclickart]


해커들이 공격한 오류는 페이스북의 View As 기능에 있었다. View As 기능은, 페이스북 사용자들이 자신의 페이스북 프로파일이 타인의 눈에 어떻게 보이는지 확인할 수 있게 해주는 것이다. 하지만 여기서 버그를 발견한 해커들은 페이스북의 접근 토큰을 훔쳐내는 데 성공했다. 이 토큰이 있으면 계정을 장악하는 게 가능하다. 접근 토큰은 사용자들의 로그인 상태를 유지하는 데 있어 ‘디지털 열쇠’의 역할을 한다. 이게 있기 때문에 사용자들은 페이스북을 켤 때마다 로그인을 하지 않아도 된다.


페이스북은 이 취약점을 수정하고, 유관기관에 해킹 사실을 보고했다. 문제를 더 파악하는 동안 View As 기능을 잠시 중단시키기도 했다.


수사는 아직까지도 진행 중이다. 페이스북은 “여태까지 분석된 바에 의하면 작년 7월에 변경된 영상 업로딩 기능에서부터 공격이 시작된 것으로 보인다”고 설명했다. 이 변경 때문에 View As 기능에도 영향이 있었다고 한다. “공격자들은 먼저 이 버그를 발견하고, 이 버그를 통해 접근 토큰 하나를 훔친 후, 해당 계정을 중심으로 추가적인 공격을 펼쳐 다른 계정의 토큰들도 훔쳐낸 것으로 보입니다.”


페이스북의 제품 관리 부문 부회장인 가이 로젠(Guy Rosen)은 블로그를 통해 “이것 때문에 사용자들이 비밀번호를 변경할 필요는 없다”고 말했다. 페이스북이 이번 사건을 통해 영향을 받은 5천만 명의 페이스북 계정의 보안 토큰을 리셋시켰기 때문이다. 뿐만 아니라 View As 기능을 통해 프로파일을 열람한 경험이 있는 사용자 4천만 명의 계정에도 같은 조치를 취했다.


그러므로 20억에 달하는 페이스북 사용자들 중 약 9천만 명이 계정 로그인을 새롭게 해야 한다. 페이스북 계정을 가지고 로그인을 하는 모든 웹 서비스와 앱들도 마찬가지다. 새로 로그인을 하면 이번 해킹 사고와 관련된 공지 사항이 나타나는 걸 볼 수 있을 것이다.


로젠은 “앞으로의 조사 과정에서 페이스북이 더 많은 피해 계정을 발견할 경우, 접근 토큰을 곧바로 리셋시킬 것”이라고 약속했다. 혹시나 하는 마음에 로그아웃을 하고자 한다면, 페이스북의 Security and Login 옵션을 통해 로그인 되어 있는 모든 웹 서비스와 장비들을 확인할 수 있다. 


아직 이 사건에 대한 수사는 초기 과정에 있다. 그러므로 페이스북은 “아직 이 공격을 실시한 자가 누구인지 파악하지 못하고 있다”고 한다. 하지만 페이스북의 사용자 5천만 명이 해킹을 당했다는 소식은 다른 산업의 전문가들을 놀라게 하고 있는 듯하다. 특히 View As 기능에서의 버그를 진작 발견하지 못한 것을 이해할 수 없다는 반응이다.


보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “페이스북처럼 인기가 높은 서비스도 없는데, 페이스북 내부 보안 전문가들은 물론이고 외부의 수많은 화이트 해커들이 이 문제를 한 번도 발견한 적 없다는 게 놀라울 뿐”이라고 말했다. 그러면서 “이 문제가 얼마나 오래된 것인지, 해커들은 어느 시점에 이 버그를 발견한 것인지가 궁금하다”고 덧붙였다



3줄 요약
1. 페이스북 해킹 당해 5천만 명 사용자가 피해 입다.
2. 해커들은 View As 기능에서 오류 발견해 계정 접근 토큰을 훔쳐냈다.
3. 아직 수사는 초기 단계. 공격 배후에 대해서는 아직 알려지지 않음.


https://www.boannews.com/media/view.asp?idx=73331

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

강글레리

2018.10.01 09:19
가입일: 2016:06.22
총 게시물수: 1027
총 댓글수: 2555

토큰을 오매에서 다시 볼줄은 몰랐습니다^^;

갈색 빛깔나는 토큰도 있었는데 말이죠^^

profile

누룽지

2018.10.01 16:18
가입일: 2018:06.27
총 게시물수: 6
총 댓글수: 166

역시 이런것들은 아예 사용하지 않는게 정답인지도...

profile

anfy

2018.10.02 00:18
가입일:
총 게시물수: 6
총 댓글수: 673

저는 바로 페이스북 계정 삭제했습니다.

토큰이...ㅋㅋ

profile

무심

2018.10.07 00:27
가입일: 2018:10.04
총 게시물수: 1
총 댓글수: 412

이제는 잘 사용안해서~

profile

강파치노

2018.10.11 09:47
가입일: 2018:10.11
총 게시물수: 4
총 댓글수: 57

저도 강글레리님과 같이 버스 토큰에 눈이가네요 ㅋㅋ

오래된 짐들속에 저 버스 토큰과 종이 버스표가 남았을테니 한번 찾아봐야겠네요 

List of Articles
번호 제목 글쓴이 날짜sort 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 193
407 보안 소식 공식 구글 플레이의 앱 6개 통해 멀웨어 196개국으로 퍼져 + 10 파란하늘 01-31 340
406 백신 자료 2018 12월 백신 순위 file + 18 김마늘 01-30 808
405 보안 소식 hit 신규 랜섬웨어 아나토바(Anatova)등장 p2p 사용자필독 file + 18 꾸륵꾸르륵 01-28 2868
404 바이러스 Windows 시스템이 손상되었습니다. 업데이트금지! file + 34 파란하늘 01-21 642
403 보안 소식 ES 파일 탐색기에서 포트 공개 취약점(Open Port Vulnerability) 발생 + 9 TetraTheta 01-19 190
402 보안 소식 중국서 만든 유명 날씨 앱…각종 개인정보 유출 file + 16 파란하늘 01-07 545
401 보안 소식 중국, 미국 컴퓨터에 백도어 용도의 칩 심어 염탐했다 + 12 파란하늘 10-05 1425
400 보안 소식 주민등록증이 해킹됐다...주민증 지문+스마트폰+점토 한덩이에 인감증명까지 + 14 티오피 10-03 1237
» 보안 소식 페이스북 해킹! 5천만 명 사용자의 계정 토큰 도난당해 + 5 티오피 09-30 432
398 보안 소식 “귀하의 계정이 해킹당했습니다” 혹스 이메일 피해 컸다 file + 2 티오피 09-30 273
397 보안 소식 모든 윈도우 버전에 영향을 미치는 제로데이 취약점 발견 + 2 티오피 09-30 190
396 보안 소식 MS 인터넷 익스플로러의 취약점, 익스플로잇되고 있어 파란하늘 09-27 124
395 보안 소식 랜섬웨어 때문에 ‘아이웹’ 서버 암호화 파란하늘 09-27 172
394 보안 소식 Kraken Cryptor 랜섬웨어, SuperAntiSpyware 보안 프로그램으로 위장 + 1 티오피 09-18 218
393 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-18 209
392 보안 소식 CryptoNar 랜섬웨어 출현! 모든 파일 암호화 + 3 파란하늘 09-17 184
391 보안 소식 잠시 주춤한가 싶더니... 이미지 도용 위장 갠드크랩 활동 재개 티오피 09-15 132
390 보안 소식 [中 상반기 정보보안 동향③] 랜섬웨어 악성코드 TOP 10 + 1 티오피 09-15 90
389 보안 소식 보안 앱인줄 알았는데 스파이웨어! 2년 만에 스토어에서 삭제 + 1 티오피 09-15 179
388 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-15 75
387 보안 소식 패치 되지 않은 사파리 브라우저, 공격자들이 URL 스푸핑 가능해 + 1 티오피 09-15 47
386 보안 소식 2중 인증 방식도 레딧 해킹 막지 못해 + 1 티오피 09-08 106
385 보안 소식 윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 + 1 티오피 09-08 150
384 보안 소식 보안업계로 확대되는 구글 제국 영향력 + 1 티오피 08-31 145
383 보안 소식 중국 Huazhu Hotels Group 정보 유출! + 1 티오피 08-31 730
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.