보안 / 소셜미디어

버그 경고 무시한 페이스북… 주커버그 타임라인 해킹돼

John E Dunn  | Techworld 2013.08.21
지난 주 페이스북 CEO 마크 주커버그의 타임라인이 해킹되는 사고가 있었는데, 이것이 한 연구원이 페이스북측에 보안 취약점을 보고했으나 무시 받았다고 생각해 주목을 받고자 벌인 일인 것으로 나타났다.

팔레스타인의 보안 연구원 카릴 슈레아테는 슈레아테는 친구 목록에 없는 사람들을 포함해 누구나 한 사용자의 타임라인에 게시물을 올릴 수 있는 버그를 발견하고, 마크 주커버그와 대학교 친구로 연결되어 있는 사라 구딘의 비공개 타임라인에 게시물을 올려서 이를 증명했다. 페이스북의 화이트햇(Whitehat) 프로그램을 통해서 버그 발견 포상금을 받기 위해서다.

슈레아테는 이 버그를 페이스북측에 두 번 알렸으나, 버그가 아니라는 대답만 들었다. 그래서 이 취약점이 주목을 받을 수 있도록 마크 주커버그의 타임라인을 이용해 보여주었다.

주커버그의 타임라인에 “마크 주커버그에게. 먼저 프라이버시를 침해하고 담벼락에 글을 올려서 미안합니다. 페이스북 팀에게 보낸 모든 보고서들을 추적하기 위해서 다른 선택의 여지가 없었습니다. 나는 팔레스타인의 카릴입니다.”라는 글을 올리면서, 자신의 보고서와 자신이 페이스북으로부터 받았던 답변들이 포함된 링크를 연결시켰다.

얼마 지나지 않아 슈레아테의 계정은 일시적으로 중지됐고, 페이스북 “예방조치를 위해서 당신 계정을 중지시켰습니다. 당신의 활동을 발견했을 때 어떤 일이 벌어진 것인지 완전히 이해하지 못했습니다”라는 메시지를 받았다.

이어서, 취약점에 대한 그의 보고서가 충분한 정보를 담고 있지 않았으며, 명확한 보고 프로세스를 밟지 않았기 때문에 화이트햇 시스템에 따른 보상을 해줄 수 없다고 덧붙였다.

페이스북 보안 팀은 추후에 해커 뉴스(Hacker News) 포럼을 통해 슈레아테가 사라 구딘의 담벼락에 허가 받지 않은 게시물을 올린 링크만을 보냈다고 설명했다. 페이스북 대변인은 이 이슈를 조금 더 신중하게 처리했어야 함을 인정하면서도, “우리가 받는 최고의 보고서들 중 대부분은 비영어권 사람들이 보낸다. 어렵지만 잘 처리하고 있으며 수백 건의 보고서에 대해서 100만 달러 이상을 보상했다”라고 밝혔다.

페이스북은 이어 하루에 수 백 건의 보고서를 받고 있으며, 슈레아테가 보고한 취약점을 수정했다고 전하면서, 서비스 약관에 보고 프로세스에 대해서 아랍어를 포함한 다양한 언어로 자세히 설명되어 있다고 덧붙였다.

어쨌거나 이번 사건은 좋은 의도로 보고한 중요한 보안 이슈를 무시한 결과로 비춰지면서 일각에서는 영어로만 보안 이슈를 받는 것에 대해서도 비판의 목소리를 내고 있다. 또 슈레아테에 대해서 보상을 지급하는 것이 맞다는 지적도 나왔다. 보안 취약점을 발견한 연구자들이 더 많이 보상을 주는 곳에 판매할 수 있는 선례가 될 수도 있다는 설명이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.