“페북 메신저 해킹은 ‘통합 로그인’ 보안 취약 때문”

입력 2014.05.26 10:00

# 사례

A씨는 평소 친하게 지내던 대기업의 사장으로부터 페이스북 메시지를 받았다. 사장은 “잘 지내냐”를 안부를 묻고는 “바쁘지만 부탁 하나 들어달라”고 했다. 그는 “급하게 돈을 부칠 일이 있는데 OTP(One Time Password)를 가지고 오지 않았다”며 “계좌이체를 해줄 수 있겠느냐”고 물었다. 굴지의 대기업 사장이 급전을 요구할 일이 없을 것이라고 생각한 A씨는 사장에게 휴대전화로 연락했다. 사장은 “아, 그 해킹 때문에 말도 마세요. 해커가 내 페이스북 계정으로 그런 메시지를 보내는 바람에 ‘집안에 무슨 일 있느냐’는 전화를 수십 통 받았다”고 말했다.

최근 페이스북 등 계정을 해킹으로 곤욕을 치르는 사람이 늘고 있다. 페이스북 계정과 비밀번호를 알려준 적이 없는 데도 지인 행세를 하며 계좌번호와 같은 개인 정보를 빼내가는 경우도 적지 않다.

전문가들은 이런 보안 사고는 대부분 통합 로그인 인증의 보안 결함이 원인일 수 있다고 지적하고 있다. 통합 로그인은 한 계정으로 여러 웹 사이트나 모바일 애플리케이션(앱) 서비스를 이용할 수 있는 서비스다. 회원가입 및 계정 관리가 쉽고 개발사 입장에서는 사용자 정보를 간단히 획득할 수 있어 적용 사례가 늘고 있다. 이를 테면 페이스북 계정으로 소셜 게임 앱인 ‘팜빌’이나 러닝 기록계측 앱 나이키 플러스, 음악 청취 앱 1데이1송(1Day1Song) 등에 로그인하는 식이다.

◆ 통합 로그인 표준 기술 오스2.0에서 보안 결함

통합 로그인 기술 표준으로 널리 사용되는 ‘오스 2.0(OAuth2.0)’에서 사용자의 계정 정보가 새어 나갈 수 있는 ‘리다이렉션 URL 오류’가 계속 발견됐다. 오스2.0의 보안결함은 인터넷 주소 경로 우회(리다이렉션 URL) 보안 오류이다.

앱 개발사는 통합로그인 계정을 지원하는 페이스북과 같은 업체에 계정 접근권한(access token)을 신청하고 페이스북은 사용자에게 계정과 비밀번호를 물어 개발사에 사용자 계정에 대한 접근 권한을 제공한다. 해커들은 이 과정에서 엉뚱한 URL로 유도해 사용자의 계정과 비밀번호를 탈취하는 것이다. 페이스북 사용자의 친구 목록도 해커에게 넘어갈 수 있다. 특히 유명인사나 특정 단체 계정 정보가 해킹의 대상이 될 가능성이 큰 것으로 알려졌다. 리다이렉션 URL 오류는 수차례 보안 업계에 보고됐다.
 

사용자가 통합로그인을 지원하는 특정 앱을 활용할 때 앱 개발사는 통합로그인 계정을 지원하는 페이스북과 같은 업체에 계정 접근권한(access token)을 신청하고 페이스북은 사용자에게 계정과 비밀번호를 물어 개발사에 사용자 계정에 대한 접근 권한을 제공한다. 해커들은 4번 과정에서 URL 우회접속을 시켜 5번의 액세스 토큰을 획득한다. / 인포그래픽 = 유인선 인턴기자
◆ 통합로그인 활발한 카카오톡 게임하기, 밴드 게임 등도 해커 타깃 될 수도
카카오 게임 애니팡 2. 카카오 메신저 계정을 통한 통합 로그인 기능을 활용한다.

통합 계정을 제공하는 대표적인 업체는 페이스북과 구글이다. 국내 업체들도 최근 통합 로그인 기능을 확대하고 있다. 포털업체 네이버와 다음이 통합 로그인을 지원하고 있으며 모바일 메신저 카카오 역시 게임 등 관련 앱에서 통합 로그인 기능을 활용한다.

가령, 카카오 게임은 게임별로 아이디를 만들 필요없이 카카오톡 계정으로 즐길 수 있다. 모바일 게임 ‘애니팡 2’ 개발사 선데이토즈가 카카오 측에서 계정 접근정보를 받아 사용자들이 게임을 즐길 수 있도록 하는 것이다.

보안업체 라온시큐어의 박찬암 팀장은 “국내 주요 포털의 통합 로그인 과정에서 주목할만한 보안 결함은 아직 보고되지 않았지만, 수많은 웹페이지나 앱이 오스2.0를 활용해 포털에 접근하는 만큼 주의를 기울여야 한다”고 말했다.

 ◆ 대응 방법은?

페이스북 계정 통합 로그인을 제공하는 페이스북 라디오 애플리케이션 ‘장고(Jango)’
보안전문가들은 ‘화이트리스트’ 조치를 통해 리다이렉션 URL 보안 오류를 막아야 한다고 입을 모은다. 화이트리스트 조치란 애초에 업체에서 허용한 URL에서만 접근을 허용하는 것이다.

가령, 인터넷 라디오 서비스 장고라는 페이스북 앱이 있다. 장고는 리다이렉션 URL 문제로 곤욕을 치르고 나서 페이스북 URL 변경이 불가능하도록 ‘http://www.jango.com/’ 로 시작하는 URL에게만 접근 권한(access token)을 제공하고 있다.

박 팀장은 “해당 URL로 시작하는 수많은 하위 페이지가 생성되는데 그 하위 페이지에서 해커들이 리다이렉션 URL을 악용할 수 있다”며 “하위 페이지까지 일일이 점검해야 한다”고 덧붙였다.

네이버와 다음, 카카오 측은 “오스 2.0 기술을 통합 로그인에 활용하고 있다”면서 “이미 화이트리스트 조치를 통해 보안 위험에 대비하고 있다”고 밝혔다. 기술적으로 어느 수준까지 화이트리스트 조치를 하고 있냐는 질문에는 보안에 오히려 악용될 수 있는 이유로 자세한 내용은 공개하지 않았다.

국내 보안 수준 향상을 위해 화이트 해킹 시장의 활성화가 필요하다는 의견도 있다. 페이스북, 구글 등 해외 업체들은 보안 오류를 보고하면 상금을 수여하고 보고자 리스트에 해커 이름을 등록하는 등 보상체계를 갖추고 있다. 화이트해킹을 받아들이면 개별 기업에서 보안 오류에 100% 대처하는 것보다 빠르고 폭넓게 보안오류에 대처할 수 있다는 장점이 있다.
핫뉴스 BEST
    내가 본 뉴스 맨 위로

    내가 본 뉴스 닫기