마이크로소프트는 스카이프 사용자들이 자신의 비밀번호를 리셋할 수 없게 했다. 이는 보안 전문가가 이메일 주소를 알고 있는 누군가가 스카이프 계정을 해킹할 수 있다는, 소프트웨어 내부에 심각한 보안 결점을 밝혀낸 후부터다.
이 취약점은 사람들이 스카이프에 가입할 때 이미 다른 곳에서 사용 중인 이메일 주소를 게재하면 계정에 접속하기 위해 메일 주소와 연동하기 위해 비밀번호 리셋을 강제한다
기본적으로 이메일 주소를 알고 있는 누군가가 스카이프에 신규 계정을 등록하고 난 뒤, 해킹을 통해 과거 계정의 비밀번호를 리셋한다.
이를 악용할 수 있다는 것은 러시아의 여러 포럼에서 처음으로 드러났으며, 적극적으로 악용한 사례는 카스퍼스키 수석 보안 연구원 코스틴 라이우가 블로그에 게재했다.
라이우는 이 취약점에 대해 방어하기 위해서는 스카이프 사용자들은 스카이프 계정을 새로 만들거나 결코 사용된 적이 없는 이메일 주소를 변경해야 한다고 충고했다.
트렌드마이크로 보안 연구소 이사 릭 퍼거슨은 누군가가 스카이프 계정을 쉽게 해킹할 수 있는 방법을 설명했다.
퍼거슨은 "이 방법은 초보 컴퓨터 사용자라도 쉽게 실행할 수 있을만큼 간단하다는 것이 문제"라며, "이것은 피해자에게 오는 메시지를 모두 해커에게 돌릴 수 있게끔 한다. 이 취약점을 악용하는 데 걸린 전체 시간은 단지 몇분에 불과했다"고 말했다.
스카이프 측은 새로운 보안 취약점 문제를 잘 알고 있으며, 이 문제를 해결할 동안 예방하는 차원에서 임시적으로 비밀번호 리셋을 할 수 없도록 했다고 밝혔다. 스카이프는 "이런 불편함을 끼친 점에 대해 양해를 구하지만, 사용자 경험과 안전은 첫번째 우선 사항"이라고 말했다. editor@itworld.co.kr