[보안뉴스 / 10.25.] 소셜 로그인 가능하게 해 주는 오오스에서 치명적 오류 발견돼

소셜 로그인을 뒷받침 해주는 기술의 API 오류…계정 탈취로 이어질 수 있어

요약 : 보안 외신 해커뉴스에 의하면 치명적인 API 보안 오류가 여러 소셜미디어 로그인 및 오오스(OAuth)와 관련된 서비스에서 발견됐다고 한다. 이런 로그인 방식을 도입하고 있던 수많은 웹 기반 서비스들의 사용자들이 이 때문에 위험에 노출된 상황일 수 있는데, 현재까지는 비디오(Vidio), 그래멀리(Grammarly), 부칼라팍(Bukalapak)이라는 유명 서비스에서만 확인이 된 상태다. 그 이전에는 엑스포(Expo)와 부킹닷컴(Booking.com)에서도 비슷한 상황이 발견된 바 있다. 이 오류를 통해 공격자는 피해자인 것처럼 로그인하거나 계정을 탈취할 수 있게 된다.

[이미지 = gettyimagesbank]

배경 : 각 사이트에 도입되어 있는 편리한 로그인 서비스의 배경에는 오오스가 있다. 유명 소셜미디어의 계정을 통해 로그인 하는 방법도 오오스 덕분에 가능하다. 수많은 사이트들에서 이 오오스를 기반으로 사용자가 안전하고 편리하게 로그인하도록 하고 있으며, 따라서 오오스와 관련된 취약점들은 파장이 매우 크다.

말말말 : “소셜미디어 계정으로 로그인 하는 기술은 현재 거의 모든 메이저급 사이트에 구축되어 있습니다. 그러므로 이 로그인 방식에서 나타나는 오류는 그 자체로 수억 명의 사람들에게 영향을 주게 됩니다. 이번에 발견된 API 오류 역시 파급력이 매우 높을 것으로 예상됩니다.” -설트시큐리티(Salt Security)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>