인도 해커 "72시간이면 페이스북 계정 해킹 가능"

인도의 해커, 페이스북 비밀번호 찾는 과정서 취약점 발견
6자리 임시 비밀번호 무작위로 입력하는 방식
"입력 제한없어 72시간이면 계정 해킹 성공"
페이스북, 버그 신고에 보상금 1800만원 지급

[아시아경제 안하늘 기자] 인도의 한 해커가 72시간 내 어떠한 페이스북 계정이라도 해킹할 수 있다고 주장했다.

8일(현지시간) 정보기술(IT)전문매체 테크인사이더는 아난드 프라카시(Anand Prakash)라는 인도의 해커가 본인의 블로그에 페이스북의 보안상 문제점을 지적했다고 보도했다. 그는 페이스북에 이를 신고해 페이스북으로부터 1만5000달러(약 1800만원)의 포상금을 받았다.

그는 페이스북에서 비밀번호를 잊어버렸을 때 본인 인증을 통해 새로운 비밀번호를 발급받는 과정에서 보안상 문제점을 발견했다.

페이스북은 임시 비밀번호를 신청했을때 이용자가 등록한 이메일 주소나 휴대폰으로 무작위로 생성된 6자리 비밀번호를 발송한다. 이 6자리를 입력하면 계정에 로그인할 수 있다.

프라카시는 페이스북 개발자 사이트에서는 임시 비밀번호 6자리 입력 제한이 없다는 사실을 발견했다. 일반 페이스북 웹사이트에서는 잘못된 비밀번호를 10회 이상 입력하면 더 이상 시도할 수 없도록 제한된다.

그는 조합 가능한 모든 경우의 수를 입력해 72시간 내에 다른 사람의 페이스북 계정을 훔칠 수 있다고 주장했다.

그는 "내 계정을 대상으로 이 같은 방식으로 로그인하는데 성공했다"며 자신의 블로그에 본인이 발견한 방법 및 로그인 과정을 상세히 서술했다.

그는 페이스북에 이 사실을 알렸고 페이스북은 버그를 발견한 대가로 1만5000달러를 그에게 지급했다. 많은 글로벌 IT업체에서도 이용자가 서비스 내 심각한 결함을 발견하고 신고하면 포상금을 지급하는 프로그램을 운영하고 있다.

페이스북 관계자는 "버그 보상프로그램은 우리가 미처 발견하기 전에 결함을 찾아줄 수 있다는 점에서 매우 소중하다"며 "아난드의 보고를 인정하고 보상한 것에 대해 기쁘게 생각한다"고 말했다.

안하늘 기자 ahn708@asiae.co.kr