전화번호만 알면 이중인증 무력화…페이스북 버그 발견

SMS코드 무차별 대입으로 2FA 비활성화 가능

컴퓨팅입력 :2023/01/31 08:27

페이스북의 이중인증(2FA) 로그인 방식을 우회할 수 있는 버그가 발견됐다.

테크크런치는 31일(현지시간) 메타가 사용자들의 페이스북 및 인스타그램 로그인을 관리하기 위해 만든 새로운 중앙 집중식 시스템의 버그로 인해 해커가 전화번호만 알면 계정의 이중인증(2FA) 보호 기능을 끌 수 있다고 보도했다.

네팔 보안 연구원 매노즈는 페이스북·인스타그램과 같은 메타 계정 접속을 돕는 새로운 메타 계정 센터에서 계정 로그인에 사용되는 이중인증 코드에 시도 제한이 설정돼 있지 않다는 것을 깨달았다.

(사진=페이스북)

피해자의 휴대폰 번호를 알고 있다면, 공격자는 중앙화된 계정 센터에 들어가 피해자의 휴대폰 번호를 입력하고 해당 번호를 자신의 페이스북 계정에 연결한 다음, 이중 SMS 코드를 무차별 대입할 수 있다. 해당 시도 횟수에 상한선이 설정돼 있지 않다는 것이 문제였다.

공격자가 이중 SMS코드를 무차별로 대입해, 올바른 코드를 얻게 되면 피해자의 전화번호가 공격자의 페이스북 계정에 연결된다. 메타는 피해자에게 전화번호가 다른 사람의 계정에 연결되어 이중인증 보호 기능이 비활성화됐다는 메시지를 보냈다.

네팔 보안 연구원 매노즈는 테크크런치를 통해 "이 사안에서 기본적으로 가장 큰 충격은 핸드폰 번호만 아는 사람의 SMS기반 2FA를 취소할 수 있다는 것이다"라고 말했다.

개비 커티스 메타 대변인은 "버그 발생 당시 로그인 시스템이 소규모 공개 테스트 단계에 있었다"며 "버그가 보고된 후, 메타가 조사한 결과 해커가 이를 악용했다는 증거가 없다는 것을 발견했다"고 말했다.