'로그인보안'에 해당되는 글 1

  1. 2012/01/22 페이스북만 할 수 있는 해킹 방어법은?


중국에서 유학 중인 김철수씨는 구정을 맞아 고향인 한국으로 들어왔다. 가족들과 시간을 보내다가 자신의 근황을 알리기 위해 페이스북에 로그인을 시도했다. 페이스북에 로그인을 시도하자 갑자기 자신의 친구 사진이 떠올랐다.
해당 사진 하단에는 ‘This appears to be’ 라는 질문이 던져졌고, 사진에 나타난 친구의 이름을 비롯해 들어본적도 없는 이름이 등장했다. 김철수씨는 당연히 자신의 친구 이름을 선택했고, 페이스북에 정상적으로 로그인할 수 있게 됐다.

페이스북은 지난해 ‘소셜 인증’이라는 새로운 로그인 방식을 도입했습니다. ‘소셜 인증’ 방식은 인터넷서비스 업계에서 모두들 흥미롭다고 입을 모은 시스템인데요, 이는 페이스북만 가능한 로그인 방식이기 때문입니다.

과거 페이스북은 사용자들이 업로드한 사진에 사람들의 이름이 자동으로 태깅(저장) 되는  기능을 탑재해 논란이 된 적이 있습니다.

사용자들의 프라이버시를 침해한다는 이유였는데요, 이는 지난해 개인정보를 어디까지 노출할 지를 사용자에게 물어보는 방식으로 변경하며 일단락 됐습니다.

앞서 소개한 ‘소셜 인증’은 페이스북의 가장 큰 장점인 ‘소셜’에 중점을 둔 기능입니다.

페이스북을 일반적으로 사용하는 사람들은 보안문제에 대해 크게 우려하지 않습니다. 실제로 페이스북으로 인한 보안사고는 잘 일어나지도 않고요.

그런데 페이스북 서버가 의심할만한 상황이 가끔 발생하기도 합니다. 예를 들어 오늘 아침에 우리나라에서 페이스북에 로그인했는데, 점심무렵에 미국에서 로그인했을 경우입니다.

이럴 경우 사용자 계정이 악용됐을 가능성이 농후합니다. 한국에서 미국을 가려면 수십시간이 걸림에도 불구하고 반나절만에 접속하는 국가가 변경됐기 때문입니다.

이럴 경우 페이스북은 ‘소셜 인증’ 시스템을 구동하게 됩니다.

먼저 페이스북의 ‘소셜 인증’ 시스템의 근간이 되는 ‘캡챠(captcha)’를 이해해야할 필요가 있습니다.


캡챠는 인터넷서비스를 사용할 때, 봇이나 해킹툴의 접근을 차단하기 위해 숫자나 영문을 표현하는 이미지의 값을 입력하도록 하는 인증 시스템을 이야기합니다. 이는 해당 사이트에 접근하려고 하는 것이 컴퓨터가 아닌 사람이라는 것을 인증하기 위해 많이들 사용합니다.

그러나 일반적인 캡챠는 이미지에 나온 텍스트를 입력하는 방식이기 때문에 컴퓨터에 의한 공격은 막을 수 있어도 사람에 의한 공격은 막을 수 없습니다.

페이스북에서는 이러한 텍스트 위주의 캡챠를 대신해 사진 캡챠를 도입했습니다. 이것이 그들이 말하는 ‘소셜 인증’ 방식입니다.

의심가는 계정활동이 발생할 시 일반적인 캡챠를 대신해 친구들의 사진을 제시하고 사진속에 등장한 친구들의 이름을 맞출 수 있도록 요청하게 됩니다.


텍스트 기반의 캡챠는 해커가 해결할 수 있지만, 소셜 기반 캡챠는 본인이 아니라면 해결할 수 없기 때문입니다.

이 기능은 현재 페이스북 사용자들 대부분에 적용돼 있습니다만, 계정활동에 이상이 없는 한 나타나지 않는다고 합니다. 또한 자신의 페이스북 타임라인에 친구들이 태깅된 사진이 얼마 없더라도 사용할 수 없다고 하니 참고하시길 바랍니다.

2012/01/22 09:40 2012/01/22 09:40