미국 청소년 사이에서 인기인 모바일 메신저 소셜네트워크서비스(SNS) 스냅챗에서 심각한 보안 결함이 또 발견됐다. 사용자 460만명의 개인정보가 유출되는 사고가 난 지 1개월여 만이다.
11일 보안 전문 블로그 세구리다드 오펜시바에 따르면 스냅챗 앱이 깔린 스마트폰은 무더기 메시지로 단말기를 마비시키는 서비스 거부(DoS) 공격 위험에 무방비로 노출됐다.
이 공격을 받으면 스팸 폭탄으로 단말기 사용 불능 상태가 되거나 속도가 매우 느려진다. 말기를 껐다가 켜도 스팸 전송 시도가 계속된다. 스냅챗이 연락처 관리나 메시지 전송을 위해 사용하는 보안 토큰 관리 방식의 문제다. 보안 토큰은 단말기에서 생성해 사용한 후 곧바로 폐기하고 다음에 사용할 필요가 있을 때 새로 생성하는 것이 기본 원칙이다.
하지만 스냅챗은 똑같은 보안 토큰을 반복해 사용할 수 있게 했다. 해커가 똑같은 보안 토큰을 이용해 스크립트를 짜면 여러 대의 컴퓨터에서 메시지를 보낼 수 있다는 것이다.
이렇게 하면 작년에 유출된 스냅챗 사용자 계정 460만개에 스팸을 보내는 데 1시간도 걸리지 않는다. 한 대의 단말기에 집중적 `스팸 폭격`도 가능하다.
스냅챗의 보안 문제를 지적한 사례가 이번이 처음은 아니다.
지난해 8월과 12월에 보안업체 깁슨 시큐리티가 스냅챗의 코딩 방식에 심각한 문제가 있어 사용자 정보가 무방비로 노출된다는 점을 반복 지적했다. 세구리다드 오펜시바 블로그를 운영하는 보안 전문가 하이메 산체스는 지난해 12월 스냅챗이 서버 단에서 보안 토큰을 아예 체크조차 하지 않는다는 점을 지적했다.
스냅챗은 이런 경고를 무시하다가 올해 1월 사용자 460만명의 개인정보가 인터넷에 공개되는 대형 사고가 터지고 나서야 보완 대책을 마련했다.
더 큰 문제는 스냅챗이 취약점을 지적한 이들에게 보복 조치를 하는 등 문제를 덮기에 급급하다는 점이다.
이번에도 스냅챗은 산체스의 계정을 폐쇄해 버렸다. 스냅챗은 해당 문제를 해결했다고 주장하지만 산체스는 트위터(@segofensiva)에서 “테스트해 보니 문제가 해결되지 않았고 똑같은 토큰을 여전히 계속 사용할 수 있었다”고 맞섰다.
산체스가 계정 폐쇄에 항의하자 “이상 징후가 탐지돼 시스템이 자동 차단한 것”이라고 해명했다. 산체스는 “지난해 12월부터 이 취약점을 시험했는데 언론 보도가 나간 후 계정이 차단됐다”고 반박했다.
유효정기자 hjyou@etnews.com