남이 올린 유튜브 동영상을 너무 쉽게 지워버릴 수 있는 버그가 발견돼 이에 대한 수정작업이 이뤄졌다.
이 버그는 러시아 보안연구원 카밀 히스마툴린이 발견한 것으로 게시자가 아니어도 PC에서 유튜브 동영상이 저장된 웹서버에 삭제명령을 내릴 수 있게 하는 것이다.
히스마툴린의 개인블로그에 따르면 그는 구글 보안팀에 취약점을 신고해 5천달러 상금을 받았으며, 구글은 이 버그 문제를 해결한 상태다.
그는 임의로 올려놓은 유튜브 동영상을 삭제하는 방법을 개념검증(POC)했다. HTTP 프로토콜 중 클라이언트(PC)로 웹서버 명령을 요청하는 POST 명령어를 사용했으며, 동영상에 대한 이벤트ID(event_id), 세션토큰(session_token)를 웹에서 쉽게 찾아 입력하는 것만으로 삭제가 가능했다.
관련기사
- 라인, 대화·친구목록 변경 취약성 발견2015.04.03
- 드롭박스 SDK서 심각한 보안 취약점 발견2015.04.03
- 무선 인터넷 공유기, 보안 취약점은?2015.04.03
- 괴물 같은 보안 취약점 '프릭' 후폭풍 거세2015.04.03
이 연구원은 당초 유튜브 크리에이터 스튜디오에서 실시간 방송시스템의 작동 과정에서 나올 수 있는 버그를 조사했었다. 크로스사이트요청변조(CSRF), 크로스사이트스크립팅(XSS)과 같이 잘 알려진 웹취약점을 악용할 수 있는 버그를 확인할 목적이었다. 그러나 이 과정에서 유튜브 동영상의 주소를 알고 있는 것만으로 임의로 해당 동영상을 지울 수 있는 방법을 알아낸 것이다.
미국 지디넷에 따르면 수 주 전 유사한 버그가 페이스북에도 적용된 적이 있었다. 상대적으로 단순한 이 버그는 해커나 공격자가 어떤 소셜네트워크서비스(SNS)에 저장된 사진이라도 지울 수 있게 허용하는 것이었다.