Home > 전체기사
인스타그램의 치명적 취약점 발견한 보안 전문가, 3만불 획득
  |  입력 : 2019-07-16 09:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인도에서 취약점 사냥꾼으로 활동하고 있는 전문가, 인스타그램 뜯어보다가
브루트포스 공격 방어 장치 있지만...인도의 전문가, 우회하는 법 발견해


[보안뉴스 문가용 기자] 인스타그램 계정 해킹에 사용될 수 있는 치명적인 취약점을 발견한 보안 전문가가 페이스북으로부터 3만 달러를 받았다고 한다. 이 보안 전문가는 인도의 버그바운티 헌터인 랙스맨 무티야(Laxman Muthiyah)로, 모바일 인스타그램의 비밀번호 복구 시스템을 분석하다가 취약점을 발견했다고 한다.

[이미지 = iclickart]


모바일 인스타그램 사용자들이 비밀번호를 변경할 때, 인스타그램은 모바일 장비로 여섯 자리 코드를 전송한다. 사용자들은 이 코드를 10분 안에 입력해야만 비밀번호를 바꿀 수 있다. 인스타그램 개발자들은 여기에 등급 제한 원리를 적용해 공격자들이 여섯 자리 코드를 브루트포스 공격으로 뚫어낼 수 없도록 해놓았다. 무티야가 발견한 건 이 안전장치를 우회하는 방법이라고 볼 수 있다.

무티야에 의하면 “인증 코드가 섞인 요청을 1천 번 보낼 경우, 750개는 차단되지만 250개는 통과된다”고 한다. “여기에 경합 조건(race condition)과 IP 회전(IP rotation)을 함께 사용하면 총 20만 번의 요청을 전송할 수 있게 됩니다. 1천 개의 각기 다른 IP 주소들을 사용할 경우 이게 가능해집니다. 공격자가 5천 개의 IP 주소들을 사용할 수 있다면, 어떤 인스타그램 계정이라도 장악할 수 있게 됩니다.”

IP 주소 5천 개라고 하면 굉장히 많은 것처럼 보이지만 공격자들에게는 아무 것도 아니라는 게 무티야의 설명이다. “제가 해커라면 아마존이나 구글의 클라우드 서비스를 사용했을 겁니다. 한 150달러 정도만 투자하면 인증 코드 1백만 개를 동원한 공격을 실시할 수 있습니다.”

무티야는 이러한 사실을 인스타그램을 소유하고 있는 페이스북에 곧바로 보고했다. 페이스북은 이를 접수하고 자사 버그바운티 정책에 따라 7월 10일 그에게 3만 달러를 지급했다.

무티야가 페이스북으로부터 굵직한 버그바운티 상금을 얻어낸 건 이번이 처음이 아니다. 얼마 전에는 영상 콘텐츠를 삭제하거나, 저작권 관련 규정을 수정하거나 삭제하게 해주고, 비공개 사진에 접근할 수 있게 해주는 심각한 취약점들을 발견하기도 했다.

3줄 요약
1. 인도의 버그바운티 헌터, 인스타그램에서 치명적인 취약점 발견.
2. 브루트포스 방지 장치를 뚫고, 브루트포스 공격 실시해 인스타그램 계정 해킹할 수 있게 해주는 것.
3. 이에 페이스북 측은 버그바운티 정책에 따라 3만 달러를 지급.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)