[Blocking] Facebook, view as 해킹

페이스북이 9월 28일 현지시각으로 보안 문제로 인해 22억 3,000만 명의 활동 사용자 중 5천만명의 계정이 해킹됐다고 발표했습니다. 현재 문제가 된 취약한 기능은 모두 패치가 된 상태입니다.

페이스북 측은 취약점을 통해 사용자의 토큰이 탈취가 됐다고 했으며 이것을 사용해 계정에 로그인할 권한을 얻게 됐습니다. 사용자 측에서의 간단한 해결방법은 로그인을 다시하여 새로운 토큰을 받는 것이라 사측에서는 전달했습니다.

이번에 사용된 취약점은 View As 기능에서 발견 됐습니다. 이 기능은 사용자가 자신의 페이스북 친구가 아닌 이용자에게 피드가 어떻게 보이는지 미리보기를 할 수 있는 기능입니다. 이것을 통해 사용자는 원하는 정보만을 노출시킴으로써 프라이버시를 보호할 수 있었습니다.

해커는 View As 기능내에 생일 축하 메시지를 남길 수 있도록 마련된 텍스트 상자에 텍스트만이 아니라 동영상까지도 업로드가 가능하다는 오류가 존재하는 것을 발견하고 이것을 통해 업로드 시 페이스북 모바일 앱에 대한 권한을 가지고 있는 접큰 토큰을 생성한다는 것을 또 발견했습니다. 뿐만 아니라 이 잘 못된 접근 토큰을 사용한 유저가 프로파일을 열람해본 또 다른 사용자의 토큰을 생성할 수 있었다는 것이 큰 취약점이였죠.

해커들은 페이지의 HTML 코드를 통해 아주 쉽게 토큰을 확보할 수 있었고 이것을 반복적으로 수행함으로써 많은 토큰을 탈취할 수 있었습니다.

이 탈취된 토큰은 서드파티 앱들에도 접근이 가능해서 큰 파생피해가 예상됐지만 페이스북이 해당 계정들을 전부 리셋한 상태라 이런 위험은 더이상 존재하지 않는다고 하네요.

이것은 단순하게 해커가 뛰어나서 발견할 수 있었던 취약점이다. 라고 단정할 수는 없습니다. 뛰어난 블록체인 시스템들이 계속 해서 나타나고 있으며 이와 함께 기존의 인터넷 시스템 즉, 중앙화된 시스템의 문제가 더욱 조명을 받고 있습니다.

블록체인으로 페이스북 등의 시스템이 새롭게 구성이 된다면 중앙화된 서버에서 토큰을 발행하는 것이 아니기에 이런 해킹 이슈가 없으며 대량의 데이터의 소유권 역시 함께 나눠가지는 것이기에 공정한 시스템이 될 것입니다.

당장에 대규모의 시스템이 블록체인 기반으로 구성될 수는 없겠지만 차근히 세상의 모든 시스템이 블록체인 기반으로 옮겨져 중앙화된 문제를 털어내고 참여자들이 깨끗하게 시스템을 만들어가는 모습을 기대합니다.