미국에서 '유령 메시지'로 각광받는 모바일 메신저 앱 '스냅챗'에 또 다시 보안 결함이 발견됐다. 460만명에 달하는 이용자 개인정보 유출 사건이 발생한지 한 달만의 일이다.
10일(현지시각) NBC뉴스 등 외신들은 현지 보안 전문 블로그 '세구리다드 오펜시바'를 인용, 스냅챗이 깔린 스마트폰이 이른바 스팸 문자를 무더기로 발송해 단말기를 마비시켜 버리는 서비스 거부 공격(Dos) 위험에 노출되어 있다고 보도했다.
이같은 문제는 마드리드 기반 보안 연구소 소속 하이메 산체스 연구원이 발견한 것이다. 그는 스냅챗을 탑재한 스마트폰이 해당 공격에 노출되면 스팸 문자를 마구 발송하게 돼 속도가 느려지거나 단말기를 아예 사용하기 어려운 상태가 될 수 있다고 지적했다. 심한 경우 휴대폰을 껐다 켜도 스팸 문자 전송 시도가 계속된다는 것이다.
산체스 연구원은 스냅챗에 보안 결함 문제가 발견되는 것이 연락처 관리나 메시지 전송을 위해 사용하는 보안 토큰 관리 방식에 문제가 있기 때문이라고 봤다.
보안 토큰은 개인의 신원을 보증해 주는 일종의 전자 서명을 만드는 암호화 장치인데, 통상 단말기에서 한 번 생성해서 사용하고는 폐기한다. 보안 토큰이 필요해지면 다시 만들어 사용하는게 기본원칙이지만 스냅챗은 이를 지키지 않고 보안 토큰을 반복 사용해왔다고 지적했다.
이같은 행동은 해커들에게 좋은 먹잇감으로 분류된다는 것이 산체스 연구원의 설명이다. 똑같은 보안 토큰을 이용해 스크립트를 짤 경우 여러대 컴퓨터에서 동시에 엄청난 양의 스팸 문자를 보낼 수 있다는 것이다.
산체스는 이를 '단순한 수학 문제'라고 표현했는데, 스냅챗 사용자 계정 460만개에 스팸을 보내는데 한시간도 걸리지 않는다는 계산이 나온다. 이 외에 하나의 단말기에만 집중적으로 스팸을 발송하는 집중 공격 문제가 일어날 수도 있다.
더욱 큰 문제는 이같은 보안 결함 지적을 스냅챗이 간과하고 있다는 것이다. 산체스는 지난해 12월 스냅챗에서 보안토큰을 아예 체크하지 않고 있다는 문제를 발견, 이를 지적했으나 별다른 반응이 없었다고 주장했다. 스냅챗은 결국 지난 1월 사용자 460만명의 개인정보가 유출되는 최악의 상황을 맞이하고 말았다.
관련기사
- 美 법원 "스냅챗 지분 다툼 끝나지 않았다"2014.02.11
- 도마 위 스냅챗, CEO가 꺼낸 두 가지 선택2014.02.11
- 개인정보 유출 스냅챗 '사과는 없었다'2014.02.11
- 스냅챗, 보안 무시?...대규모 개인정보 유출2014.02.11
아울러 스냅챗의 보안 취약점을 지적한 이들의 계정을 폐쇄하는 등 당장 문제제기만을 덮으려는 태도를 보이고 있다는 것도 문제로 지적했다. 일례로, 이번 보안 보안토큰 문제가 뉴스로 보도되자 스냅챗은 곧 산체스의 계정을 폐쇄했다.
이와 관련 스냅챗은 문제를 해결했다고 입장을 밝혔으나 산체스는 자신의 트위터 계정을 통해 테스트를 해보니 아직까지 스냅챗의 보안 문제가 해결되지 않았으며 여전히 똑같은 토큰을 사용할 수 있었다고 주장했다.
