페이스북이 계속되는 해커들의 공격에 적극 대응할 수 있는 방어책을 마련했다. 이번 조치는 사용자들을 악성코드와 계정해킹 공격으로부터 보호하는데 초점을 맞췄다.
12일(현지시간) 씨넷뉴스는 페이스북이 보안강화를 위해 계정보호와 사용자가 확인되지 않은 링크로 접속하려고 할 경우에 경고창을 띄워 위험을 알려주는 정책을 도입했다고 보도했다.
페이스북의 공격유형은 주로 클릭재킹이나 크로스 사이트 스크립트 공격(XSS) 등이 있다. 그 예로 지난 12일 발생한 아이폰5 관련 뉴스처럼 보이는 게시물 링크를 클릭하면 친구들에게 스팸이 유포된 피해를 들 수 있다. 페이스북이 새로 도입한 경고방식을 통해 사용자에게 메시지를 전달해줘 위험을 즉각적으로 알려주고, 그 게시물을 삭제해 피해가 확산되지 않도록 조치했다.
뿐만 아니라 XSS공격도 빈번히 발생하고 있다. 주로 사용자들이 자바스크립트를 활용하거나 비디오나 상품정보를 보기위해 브라우저 주소창에 코드를 복사하거나 붙여넣기 할 경우에 피해가 발생한다.
XSS공격은 웹 애플리케이션에서 많이 나타나는 취약점 중 하나다. 웹사이트 관리자가 아닌 사람이 웹 페이지에 클라이언트 사이드 스크립트를 삽입해 다른 사용자가 이를 실행하게끔 허용한다. 특히 여러 사용자가 공유하는 전자 게시판 형태의 웹 애플리케이션이 사이트 간 스크립팅 취약점을 가질 경우에 공격 대상이 되기 쉽다.
보안전문가들은 이 공격은 사용자로부터 입력받은 값을 웹 애플리케이션에서 검사하지 않고 그대로 사용할 경우 나타나며, 쿠키나 세션 등의 사용자 정보를 탈취하기 위해 주로 사용된다고 설명했다.
씨넷뉴스는 페이스북에서 발생하는 주된 공격형태가 모두 웹브라우저의 취약점을 활용하는 경우가 많다고 전했다. 현재 페이스북은 문제를 개선하기 위해 주요 브라우저 공급업체들과 손잡고 보안강화를 위해 노력하고 있다. 뿐만 아니라 이미 인터넷 익스플로러9에서는 보호조치가 적용되고 있다.
하지만 페이스북은 안전한 환경에서 서비스를 이용하기 위해 사용자들의 주의도 필요하다고 강조했다. 클릭재킹이나 XSS공격을 방어하기 위해 사이트 내 게시물과 친구들의 뉴스피드에서 사용자들이 '좋아요'버튼을 누를 때는 필히 정확한 출처를 확인해 줄 것을 요청했다.
뿐만 아니라 페이스북은 '로그인 인증'이라 불리는 이중인증방식을 채택하고 있다. 새로운 장치나 인가되지 않은 장치에서 페이스북에 접속할 때는 사용자에게 확인코드를 통해 인증을 받도록 하고 있다. 확인코드는 텍스트형태로 사용자 모바일을 통해 전송받을 수 있다.
페이스북의 한 관계자는 경고메시지 기능을 위해 인터넷 보안 소프트웨어 업체인 웹 오브 트러스트와 손잡고 사용자들에게 보안위협 정보를 알려 줄 계획이라면서 사용자들이 페이스북에서 추가정보를 얻을 경우에 안전한 서핑 서비스 환경을 제공해주기 위해 도입했다고 말했다.
관련기사
- 페이스북 또 스팸테러…이번엔 '아이폰5'2011.05.15
- 페이스북 또 스팸테러…'담벼락 주의'2011.05.15
- 페이스북 앱으로 게임·쇼핑?…당신 정보도 샜다2011.05.15
- 페이스북의 허술한 보안...개인정보 유출 우려2011.05.15
그는 사용자들이 악성코드가 심겨진 악성링크를 클릭하려고 하면 사전에 경고창을 통해 위험을 알려주며, 사용자들은 선택적으로 경고를 무시하거나 이전 페이지로 돌아갈 수 있다고 기능을 설명했다.
이에 대해 씨넷뉴스는 현재 웹 오브 트러스트는 페이스북에 3천개 이상의 사이트 정보를 제공해주고 있으며, 페이스북에 내부 블랙리스트를 만들어 사용자들이 콘텐츠를 공유해 피해가 확산되지 않도록 해준다고 전했다.
