미국 청소년 사이에서 인기를 끌고 있는 메시지형 사회관계망서비스(SNS) ‘스냅챗’에서 심각한 보안 결함이 또 발견됐다.
사용자 460만명의 개인정보가 유출되는 사고가 난 지 1개월여만이다.
10일(현지시간) 보안 전문 블로그 ‘세구리다드 오펜시바’에 따르면 스냅챗 앱이 깔린 스마트폰은 무더기 메시지로 단말기를 마비시키는 서비스 거부(DoS) 공격 위험에 무방비로 노출돼 있다.
이런 공격을 받으면 ‘스팸 폭탄’으로 단말기가 사용 불능 상태가 되거나 속도가 매우 느려지며, 심지어 단말기를 껐다가 켜도 스팸 전송 시도가 계속된다.
이는 스냅챗이 연락처 관리나 메시지 전송을 위해 사용하는 보안 토큰 관리 방식에 기본적인 문제가 있기 때문이다.
이런 보안 토큰은 단말기에서 생성해서 사용한 후 곧바로 폐기하고, 다음에 사용할 필요가 있을 때에는 새로 생성하도록 하는 것이 기본 원칙이다.
그런데 스냅챗은 이를 준수하지 않고 똑같은 보안 토큰을 반복해서 사용할 수 있도록 했다.
이 때문에 해커가 똑같은 보안 토큰을 이용해서 스크립트를 짜면 여러 대의 컴퓨터에서 메시지를 보낼 수 있다는 것이다.
이렇게 하면 작년에 유출된 스냅챗 사용자 계정 460만개에 스팸을 보내는 데 1시간도 걸리지 않으며, 또 한 대의 단말기를 노려서 집중적으로 ‘스팸 폭격’을 하는 것도 가능하다.
스냅챗의 보안에 문제가 있다는 지적이 나온 것은 이번이 처음이 아니다.
지난해 8월과 12월에 보안업체 깁슨 시큐리티가 스냅챗의 코딩 방식에 매우 심각한 문제가 있어 사용자들의 정보가 무방비로 노출된다는 점을 반복해서 지적한 바 있다.
또 세구리다드 오펜시바 블로그를 운영하는 보안 전문가 하이메 산체스는 지난해 12월 스냅챗이 서버 단에서 보안 토큰을 아예 체크조차 하지 않는다는 점을 지적했다.
그러나 스냅챗은 이런 경고를 무시하다가 올해 1월 사용자 460만명의 개인정보가 인터넷에 공개되는 대형 사고가 터지고 나서야 보완 대책을 마련했다.
더 큰 문제는 스냅챗이 취약점을 지적한 이들에게 보복 조치를 하는 등 문제를 덮기에 급급한 태도를 보이고 있다는 점이다.
이번에도 스냅챗은 취약점을 지적한 하이메 산체스의 계정을 폐쇄해 버렸다.
스냅챗은 해당 문제점을 해결했다고 주장하고 있으나, 산체스는 트위터(@segofensiva)를 통해 “테스트해 보니 문제가 해결되지 않았고 똑같은 토큰을 여전히 계속 사용할 수 있었다”고 맞섰다.
또 스냅챗은 산체스가 계정 폐쇄에 항의하자 “이상 징후가 탐지되자 시스템이 자동 차단한 것”이라고 해명했으나 산체스는 이에 대해 “지난해 12월부터 이 취약점을 시험해 봤는데 그 때는 괜찮다가 언론 보도가 나간 후 계정이 차단됐다”고 반박했다.
보안 업계에서는 스냅챗의 대응 태도와 에번 스피겔 최고경영자(CEO) 등 운영자들의 기술적 소양이 수준 미달이라는 지적도 나오고 있다.
매우 기초적인 원칙을 지키지 않는데다가 결함이 지적된 후에도 이를 고치는 데 한참 걸리는 점을 보면 심각한 문제가 있는 게 아니냐는 것이다.
연합뉴스
사용자 460만명의 개인정보가 유출되는 사고가 난 지 1개월여만이다.
10일(현지시간) 보안 전문 블로그 ‘세구리다드 오펜시바’에 따르면 스냅챗 앱이 깔린 스마트폰은 무더기 메시지로 단말기를 마비시키는 서비스 거부(DoS) 공격 위험에 무방비로 노출돼 있다.
이런 공격을 받으면 ‘스팸 폭탄’으로 단말기가 사용 불능 상태가 되거나 속도가 매우 느려지며, 심지어 단말기를 껐다가 켜도 스팸 전송 시도가 계속된다.
이는 스냅챗이 연락처 관리나 메시지 전송을 위해 사용하는 보안 토큰 관리 방식에 기본적인 문제가 있기 때문이다.
이런 보안 토큰은 단말기에서 생성해서 사용한 후 곧바로 폐기하고, 다음에 사용할 필요가 있을 때에는 새로 생성하도록 하는 것이 기본 원칙이다.
그런데 스냅챗은 이를 준수하지 않고 똑같은 보안 토큰을 반복해서 사용할 수 있도록 했다.
이 때문에 해커가 똑같은 보안 토큰을 이용해서 스크립트를 짜면 여러 대의 컴퓨터에서 메시지를 보낼 수 있다는 것이다.
이렇게 하면 작년에 유출된 스냅챗 사용자 계정 460만개에 스팸을 보내는 데 1시간도 걸리지 않으며, 또 한 대의 단말기를 노려서 집중적으로 ‘스팸 폭격’을 하는 것도 가능하다.
스냅챗의 보안에 문제가 있다는 지적이 나온 것은 이번이 처음이 아니다.
지난해 8월과 12월에 보안업체 깁슨 시큐리티가 스냅챗의 코딩 방식에 매우 심각한 문제가 있어 사용자들의 정보가 무방비로 노출된다는 점을 반복해서 지적한 바 있다.
또 세구리다드 오펜시바 블로그를 운영하는 보안 전문가 하이메 산체스는 지난해 12월 스냅챗이 서버 단에서 보안 토큰을 아예 체크조차 하지 않는다는 점을 지적했다.
그러나 스냅챗은 이런 경고를 무시하다가 올해 1월 사용자 460만명의 개인정보가 인터넷에 공개되는 대형 사고가 터지고 나서야 보완 대책을 마련했다.
더 큰 문제는 스냅챗이 취약점을 지적한 이들에게 보복 조치를 하는 등 문제를 덮기에 급급한 태도를 보이고 있다는 점이다.
이번에도 스냅챗은 취약점을 지적한 하이메 산체스의 계정을 폐쇄해 버렸다.
스냅챗은 해당 문제점을 해결했다고 주장하고 있으나, 산체스는 트위터(@segofensiva)를 통해 “테스트해 보니 문제가 해결되지 않았고 똑같은 토큰을 여전히 계속 사용할 수 있었다”고 맞섰다.
또 스냅챗은 산체스가 계정 폐쇄에 항의하자 “이상 징후가 탐지되자 시스템이 자동 차단한 것”이라고 해명했으나 산체스는 이에 대해 “지난해 12월부터 이 취약점을 시험해 봤는데 그 때는 괜찮다가 언론 보도가 나간 후 계정이 차단됐다”고 반박했다.
보안 업계에서는 스냅챗의 대응 태도와 에번 스피겔 최고경영자(CEO) 등 운영자들의 기술적 소양이 수준 미달이라는 지적도 나오고 있다.
매우 기초적인 원칙을 지키지 않는데다가 결함이 지적된 후에도 이를 고치는 데 한참 걸리는 점을 보면 심각한 문제가 있는 게 아니냐는 것이다.
연합뉴스
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
