인도의 해커, 페이스북 비밀번호 찾는 과정서 취약점 발견
6자리 임시 비밀번호 무작위로 입력하는 방식
"입력 제한없어 72시간이면 계정 해킹 성공"
페이스북, 버그 신고에 보상금 1800만원 지급
[아시아경제 안하늘 기자] 인도의 한 해커가 72시간 내 어떠한 페이스북 계정이라도 해킹할 수 있다고 주장했다.
8일(현지시간) 정보기술(IT)전문매체 테크인사이더는 아난드 프라카시(Anand Prakash)라는 인도의 해커가 본인의 블로그에 페이스북의 보안상 문제점을 지적했다고 보도했다. 그는 페이스북에 이를 신고해 페이스북으로부터 1만5000달러(약 1800만원)의 포상금을 받았다.
그는 페이스북에서 비밀번호를 잊어버렸을 때 본인 인증을 통해 새로운 비밀번호를 발급받는 과정에서 보안상 문제점을 발견했다.페이스북은 임시 비밀번호를 신청했을때 이용자가 등록한 이메일 주소나 휴대폰으로 무작위로 생성된 6자리 비밀번호를 발송한다. 이 6자리를 입력하면 계정에 로그인할 수 있다.
프라카시는 페이스북 개발자 사이트에서는 임시 비밀번호 6자리 입력 제한이 없다는 사실을 발견했다. 일반 페이스북 웹사이트에서는 잘못된 비밀번호를 10회 이상 입력하면 더 이상 시도할 수 없도록 제한된다.
그는 조합 가능한 모든 경우의 수를 입력해 72시간 내에 다른 사람의 페이스북 계정을 훔칠 수 있다고 주장했다.
그는 "내 계정을 대상으로 이 같은 방식으로 로그인하는데 성공했다"며 자신의 블로그에 본인이 발견한 방법 및 로그인 과정을 상세히 서술했다.
그는 페이스북에 이 사실을 알렸고 페이스북은 버그를 발견한 대가로 1만5000달러를 그에게 지급했다. 많은 글로벌 IT업체에서도 이용자가 서비스 내 심각한 결함을 발견하고 신고하면 포상금을 지급하는 프로그램을 운영하고 있다.
페이스북 관계자는 "버그 보상프로그램은 우리가 미처 발견하기 전에 결함을 찾아줄 수 있다는 점에서 매우 소중하다"며 "아난드의 보고를 인정하고 보상한 것에 대해 기쁘게 생각한다"고 말했다.
안하늘 기자 ahn708@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>