Facebook 2단계 인증 ”버그 발견”

[디지털비즈온 이호선 기자] 페이스북에서도 인증보안이 뚫렸다.

Meta가 사용자가 페이스북 및 인스타그램(Facebook 및 Instagram) 의 로그인을 관리하기 위해 만든 새로운 중앙 집중식 시스템의 버그로 인해 악의적인 해커가 전화번호만 알고도 계정의 이중 보호 기능을 끌 수 있다고 IT전문매체 ‘테크크런치’가 주의했다.

네팔의 보안 연구원인 매즈너(Gtm Mänôz)는 사용자가 새로운 메타 계정 센터 에서 계정에 로그인하는 데 사용되는 2단계 코드를 입력했을 때 메타가 시도 제한을 설정하지 않았음을 깨달았다.

피해자의 휴대폰 번호를 알고 있다면, 공격자는 중앙화된 계정 센터에 들어가 피해자의 휴대폰 번호를 입력하고 해당 번호를 자신의 페이스북 계정에 연결한 다음, 이중 SMS 코드를 무차별 대입할 수 있다. 해당 시도 횟수에 상한선이 설정돼 있지 않다는 것이 문제였다.

공격자가 올바른 코드를 얻으면 피해자의 전화번호가 공격자의 페이스북 계정에 연결된다. 공격이 성공하더라도 메타(Meta)는 여전히 피해자에게 전화번호가 다른 사람의 계정에 연결되어 2단계 기능이 비활성화 되었다는 메시지를 보냈다.

네팔 보안 연구원 매노즈는 테크크런치를 통해 "이 사안에서 기본적으로 가장 큰 충격은 핸드폰 번호만 아는 사람의 SMS기반 2단계 인증(2FA)을 취소할 수 있다는 것이다"라고 말했다

개비 커티스(Gabby Curtis) 메타 대변인은 "버그 발생 당시 로그인 시스템이 소규모 공개 테스트 단계에 있었다"며 "버그가 보고된 후, 메타가 조사한 결과 해커가 이를 악용했다는 증거가 없다는 것을 발견했다"고 말했다.

한편 Facebook에서 2단계(2FA) 인증이 작동하는 방식은 “2단계 인증은 비밀번호 외에 Facebook 계정을 보호하는 데 도움이 되는 보안 기능입니다.

2단계 인증을 설정하면 다른 사람이 확인되지 않은 브라우저나 모바일 기기를 통해 Facebook에 액세스하려고 할 때마다 특별 로그인 코드를 입력하거나 로그인 시도를 확인하라는 메시지가 표시됩니다.

누군가 확인되지 않은 브라우저나 모바일 기기에서 로그인하려고 시도할 때 알림을 받을 수도 있습니다.” 라고 표기되어 있다.