페이스북에서 계정이 탈취되는 보안 취약점이 탈옥한 스마트폰에서만 발생하는 것으로 나타났다. 구글 안드로이드 운영체제(OS)와 애플 iOS에서 나타난 이 취약점이 새로운 국면을 맞이한 것이다.
씨넷뉴스는 5일(현지시간) 페이스북이 모바일 기기에서 발생하는 보안 취약점은 사용자들의 탈옥으로 인해 악성 애플리케이션(이하 앱)이나 이동식저장장치(USB) 연결에 취약해져 로그인 과정에서 암호화를 지원하지 않기 때문에 피해가 발생한다고 보도했다.
영국 개발자 가레스 라이트는 블로그를 통해 “아이폰 무료툴과 핸드폰 게임에서 이용하는 페이스북 접속 토큰을 통해 문제가 발생한다는 사실을 애플리케이션 디렉토리를 검사하는 과정에서 발견했다”고 설명했다.
토큰 코드를 복제한 후에 페이스북 쿼리 언어를 사용해 정보를 빼내오는 수법이다. 쉽게 말해 페이스북 계정인증에 필요한 토큰만 복사해오면 쿼리 언어를 이용해 계정 정보를 불러오는 것이다.
라이트는 “페이스북 계정으로부터 꽤 많은 정보들을 빼낼 수 있다”면서 “누구라도 동일한 방법을 이용한다면 토큰에 접속해 정보를 탈취할 수 있다”고 말했다.
이러한 문제점은 페이스북 앱 내부 파일에 사용자 설정 정보가 포함돼 있기 때문에 나타나는 것으로 알려졌다. 그는 이를 두고 “이러한 사용자 정보들이 모두 포함된 것은 충격적인 일”이라면서 “페이스북 계정에 접속할 수 있도록 해주는 암호화되지 않은 인증키가 발견했다”고 밝혔다.
관련기사
- 시리아 반정부 운동가 겨냥 페이스북 피싱 성행2012.04.06
- 페이스북 사진, 삭제 후에도 남는다2012.04.06
- 어나니머스, 페이스북 공격 예고...또?2012.04.06
- "페이스북 보안팀 믿지마세요" 가짜 기승2012.04.06
씨넷뉴스는 가장 큰 문제점이 탈옥한 휴대폰이거나 루팅폰을 통해 변조된 앱이 설치되면, 휴대폰에 내장된 보안 기능을 불능상태로 만들어 보안에 취약하다는 점이다고 전했다.
이에 대해 페이스북은 “탈옥한 휴대폰에서만 수정이 가능하기 때문에 데이터 노출이 발생할 수 있다”고 공식적으로 언급했다.
