최근 주목 받고 있는 메신저 애플리케이션(앱)인 스냅챗을 해킹할 수 있는 두 가지 취약점 공격법(익스플로잇)이 공개됐다.
25일(현지시간) 미국 지디넷은 호주 해커들이 현재 비공개 상태인 스냅챗 API와 함께 2개 익스플로잇을 발견해 자신들이 운영하고 있는 깁슨시큐리티라는 웹사이트에 올렸다고 보도했다.
이 내용은 누구라도 스냅챗 API를 복제해 사용하도록 하며, 전체 800만명이 쓰고 인기 앱 사용자들을 훔쳐보는 일이 가능하게 된다는 내용을 담고 있다.
스냅챗은 젊은층 사이에 인기가 많은 앱으로 사용자들이 사진, 동영상, 메시지 등을 주고 받을 수 있게 한다. 해당 내용은 확인 뒤에는 10초 이내 짧은 시간 안에 삭제된다. 추가적인 설정 없이는 모든 것이 공개되는 페이스북에 비해 프라이버시 보호 기능을 강조한 것이다.
공개된 API와 익스플로잇은 스냅챗의 장점인 프라이버시 보호 기능을 시킨다는 점에서 위험성이 높다. 스냅챗을 쓰고 있는 사용자 이름, 별명, 스마트폰 번호 등이 허락없이 유출될 수 있기 때문이다.
첫번째로 발견된 익스플로잇은 일명 '친구찾기(find_freiends)'라는 것이다. 이 방법을 활용하면 스냅챗 사용자들의 스마트폰 번호, 이름 등을 확인할 수 있다.
해당 익스플로잇은 스냅챗 API와 연동해 자동화 된 프로그램을 돌려 임의 스마트폰 번호를 생성, 해당 번호를 친구 찾기 기능에 입력해 1:1로 매칭되는 사용자를 찾는 방법이다.
임의 스마트폰 번호가 스냅챗 사용자 기록과 일치하면 사용자 이름, 관련된 별명, 계정이 프라이버시가 보호됐는지 아닌지 등에 대한 정보가 표시된다.
외신에 따르면 깁슨시큐리티는 메타 데이터가 다른 API와 연동해 자동으로 사용자에 대한 프로필 정보를 수집해 다른 사람들에게 판매할 수 있다고 경고했다.
이어 깁슨시큐리티는 다른 사람의 개인정보를 알고 싶은 사람들이 몇 달러만 지불하면 이름을 아는 사용자의 스마트폰 번호와 소셜미디어 프로필을 확인할 수 있도록 해주는 'ssndob.cc'와 같은 유사 서비스가 등장할 수 있다고 덧붙였다. 이러한 정보들은 피싱이나 스토킹 등에 악용될 수 있다.
또 다른 익스플로잇은 '대량 등록(bulk regitration)'이다. 깁슨시큐리티는 대량 등록 익스플로잇은 수천 개 계정을 빠르게 만들어 스팸을 뿌리는 등의 용도로 악용될 수 있다고 설명했다.
스냅챗은 깁슨시큐리티가 지난 8월 처음 문제를 제기하기 전부터 이러한 취약점에 대해 알고 있었다. 이들은 스냅챗에 해당 내용을 알렸으나 어떤 대답도 얻지 못했다고 말했다. 실제로 두 가지 익스플로잇은 앞서 4개월 전에 간략하게 공개된 바 있다.
깁슨시큐리티에 따르면 이러한 취약점은 10줄 짜리 코드만으로도 수정할 수 있는 것이었다. 이들은 스냅챗이 속도 제한 기능을 추가해 문제를 해결할 수 있으나 그러한 작업을 하기 전까지는 지속적으로 취약점에 노출될 것이라고 말했다. 임의 스마트폰 번호로 친구 찾기를 하거나 대량으로 계정을 등록하는 일에 대한 속도 제한을 두는 것으로 이러한 문제를 해결할 수 있으나 조치를 취하지 않고 있다는 설명이다.
해커들은 지난 8월에 애플 iOS, 안드로이드 버전용 스냅챗 API를 리버스엔지니어링을 통해 알아냈다. 그 뒤 스냅챗 사용자들을 대상으로 악성 공격이 이뤄질 수 있다는 점을 확인했다.
스냅챗 API와 익스플로잇 코드를 공개한 이유에 대해 깁슨시큐리티는 호기심에서 시작한 리버스엔지니어링 프로젝트가 계기가 됐으며 관련 내용을 스냅챗에 알려도 묵묵부답이라 추가적인 내용을 공개하게 됐다고 말했다.
이들은 또한 과거 스냅챗이 오픈소스소프트웨어 형태로 API를 공개하지 않았다는 점도 상세 내역 공개 이유로 꼽았다.
해커뉴스에 따르면 지난 7월 스냅챗은 개발자 커뮤니티에 리버스엔지니어링을 통해 구현한 '스냅핵스(snaphax)'를 삭제하라는 내용의 이메일을 보냈다.
깁슨시큐리티는 친구 찾기 익스플로잇을 테스트한 결과 7분만에 1만개 스마트폰 번호와 매칭되는 스냅챗 계정을 검색해 알아 냈다고 말했다.
관련기사
- PC 통해 스마트폰 감염...신종 해킹 등장2013.12.27
- iOS7 해킹...탈옥툴 등장2013.12.27
- 탈북자단체 대표 PC 해킹, 北공격 추정2013.12.27
- 스냅챗 또 투자 유치…기업 가치 껑충2013.12.27
스냅챗 사용자들이 800만명이라는 점을 고려하면 모든 사용자들에 대한 정보를 알아내는 데에는 이론 상 기가비트 인터넷 회선을 사용할 경우 약 20시간이 소요된다.
스냅챗은 구글 플레이 스토어에서 1천만~5천만회 다운로드된 것으로 집계되고 있다. 지난 6월 스냅챗은 6천만달러 벤처캐피털 투자를 받았으며 8억달러에 달하는 가치를 가진 것으로 평가된다. 이 앱 개발사는 페이스북, 구글 등으로부터 인수제안을 받았으나 이를 거절하기도 했다. 현재 스냅챗은 올해 1억2천700만달러(약1천364억원) 투자금을 유치한 것으로 알려졌다.