페이스북에서 이중 인증 우회 가능한 보안 취약점 발견
상태바
페이스북에서 이중 인증 우회 가능한 보안 취약점 발견
  • 곽중희 기자
  • 승인 2023.01.31 11:21
  • 댓글 0
이 기사를 공유합니다

네팔 보안 연구원이 2022년 9월 발견, 현재는 패치로 해결돼

인스타그램과 페이스북에서 이중 인증(2FA) 로그인을 우회할 수 있는 보안 취약점이 발견됐다. 

이번 취약점은 네팔의 보안 연구원 매노즈에 의해 발견됐다. 매노즈는 최근 취약점의 기술적 세부 정보를 공개했다.

매노즈에 따르면, 이번 취약점의 가장 큰 문제는 메타의 계정 접속을 돕는 새로운 메타 계정 센터에서 계정 로그인에 사용되는 이중 인증 코드에 시도 제한이 설정돼 있지 않다는 것이다.

만약 사용자의 전화번호를 알고 있다면, 공격자는 중앙화된 계정 센터에 들어가 피해자의 전화번호를 입력하고 해당 번호를 자신의 페이스북 계정에 연결한 다음, 이중 SMS 코드를 무차별 대입해 계정 로그인을 시도할 수 있다.

보안 연구원 매노즈가 게시한 페이스북의 이중 인증 우회 취약점 관련 게시물(출처: 시큐리티 어페어즈)

매노즈는 취약점에 대해 “공격자는 임의의 6자리 숫자를 입력하고 Burp Suite와 같은 웹 프록시를 사용해 요청을 가로챌 수 있다. 인증 코드를 무차별로 대입하는 방식이다. 삽입에 횟수 제한이 없기 때문에 인증을 계속 시도할 수 있다. 이 사안에서 가장 큰 문제는 전화번호만 알아도 SMS 기반의 이중 인증을 우회할 수 있다는 점이었다"라고 덧붙였다.

한편, 매노즈는 2022년 9월 취약점에 대한 정보를 메타에 알렸고, 메타는 2022년 10월 패치를 통해 문제를 해결했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.