Home > 전체기사
페이스북 앱 네임테스트 취약점 때문에 1억 2천만 정보 유출
  |  입력 : 2018-07-02 11:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
성격 테스트 앱인 네임테스트, 개인정보를 자바스크립트로 감싸
방문자가 특정 사이트에 방문 한 번만 하면 온갖 개인정보 유출


[보안뉴스 문가용 기자] 페이스북의 앱 중 하나인 네임테스트(Nametests.com)에서 대형 개인정보 유출사고가 발생했다. 네임테스트는 일종의 퀴즈형 성격 테스트 앱으로, 문제를 푼 사용자들 1억 2천만 명의 개인정보가 외부로 공개됐다고 한다. 이 문제는 페이스북이 실시한 데이터 남용 바운티 프로그램(Data Abuse Bounty Program)을 통해 패치된 상태다.

[이미지 = iclickart]


페이스북은 캠브리지 애널리티카(Cambridge Analytica) 스캔들이 터지고 홍역을 치르고 난 후 데이터 남용 바운티 프로그램을 4월부터 실시했다. 또한 프라이버시 및 데이터 공유와 관련된 회사 정책도 수정했으며, 인터넷을 통해 페이스북 사용자가 아니더라도 추적했다는 사실을 인정했다.

이번 네임테스트 관련 문제를 제일 먼저 발견해 보고한 건 인티 디 슈클레어(Inti De Ceukelaire)라는 전문가로 성격 테스트 앱을 시작하면 nametests.com가 http://nametests.com/appconfig_user로부터 개인정보를 전부 가져와 페이지 위에 노출시킨다고 밝혔다.

웹사이트가 개인정보를 자체적으로 가져와 노출시키는 사례는 흔치 않은 일이다. 웹 브라우저들 내에도 안전장치가 있어 이러한 사태를 미리부터 막을 수 있다. 하지만 네임테스트 웹사이트에서 요청된 정보들은 자바스크립트로 감싸져 있어, 다른 웹사이트들과도 공유가 가능한 상태였다. “네임테스트가 사용자의 개인정보를 자바스크립트 파일로 공개하고 있어, 사실 상 모든 웹사이트를 통해 이 정보에 접근하는 게 가능해집니다.”

슈클레어는 이러한 이론이 정말로 실현 가능한지 실험하려 웹사이트를 하나 만들어 Nametests.com과 연결시켰다. 그리고 방문자의 정보를 가져오도록 설정했다. 그 결과 Nametests.com이 제공하고 있던 접근 토큰을 사용해 방문자의 포스트, 사진, 친구 목록 등에도 접근할 수 있음을 확인할 수 있었다고 한다. “누군가의 최근 두 달까지의 개인정보를 열람하려면, 그 사람이 딱 한 번만 특정 사이트에 방문하도록 유도하면 됩니다.”

문제는 이것만이 아니었다. 사용자가 네임테스트 앱을 지워낸 후에도 개인정보가 계속해서 노출된 상태로 남아있다는 것이다. 로그아웃 기능이 없어서였다. 사용자가 수동적으로 장비 내 저장된 쿠키들을 삭제해야만 정보의 유출을 막을 수 있다. “사용자가 쿠키 삭제까지 하지 않는 한 제3자가 사실상 자유롭게 개인정보를 열람할 수 있었다는 겁니다.”

이 사실은 지난 4월 22일 페이스북으로 보고됐다. 픽스가 발표된 건 6월 25일의 일이다. 페이스북은 픽스를 발표하며 “사용자들의 안전을 위해 네임테스트 앱을 사용하기로 등록한 모든 사람들의 접근 토큰을 폐지시켰다”고 설명했다. 그러므로 네임테스트를 계속 사용하고자 한다면 새롭게 인증 과정을 거쳐야 한다.

슈클레어는 바운티 상금으로 4천 달러를 받았으나 이를 전부 자선 단체에 기부하고자 하는 의사를 전달했다. 그래서 페이스북은 이를 두 배로 늘려(8천 달러) 언론자유재단에 기부했다.

“한편 네임테스트 측에서도 연락이 왔습니다. 홍보팀에서 말하길 아직까지 해당 문제로 인한 범죄나 사기 행각이 발견된 사례가 없다고 했습니다. 또한 비슷한 종류의 버그가 다른 곳에도 존재하는지 알아내기 위해 자체 조사에 착수했다고 합니다.” 슈클레어의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)