휴대폰 인증은 더이상 안전하지 않을 뿐만 아니라 해킹에 사용되어 상대방 전화번호만 알면 페이스북 계정을 해킹할 수 있다! 포브스誌는 6월 15일 러시아 보안회사 포지티브 테크놀로지스사 보안 연구원들의 시연 동영상을 소개했다. 공격에는 SS7 프로토콜 취약점 익스플로잇이 사용되었다.
페이스북 비밀번호를 재설정하려면 가입 시 등록한 이메일이나 휴대폰 문자로 인증번호를 받아 입력하면 된다. 보안 연구원들은 SS7 네트워크를 공격해 공격 목표 사용자의 가입자 정보(IMSI 등)를 알아내 SS7 취약점 익스플로잇을 이용해 사용자 네트워크를 속여 가짜 로밍 네트워크에 등록시킨다. 이렇게 하면 사용자에게 가는 모든 문자와 통화를 받을 수 있게 된다.
그런 다음 공격자는 페이스북 비밀번호 재설정 메뉴를 통해 “비밀번호 재설정을 위한 코드 SMS로 받기”를 선택해 페이스북이 전송하는 문자를 가로채 인증번호를 입력해 패스워드를 새로 설정한다. 공격자는 새 패스워드로 상대방 페이스북에 로그인해 하고 싶은 건 뭐든 할 수 있다. 이 공격은 페이스북에 휴대폰을 등록한 경우만 가능하다.
해커들은 이미 이 취약점을 널리 사용하고 있다. 한 예로 이스라엘의 한 업체는 정부 기관이나 네트워크 사업자들에게 SS7 취약점 익스플로잇 서비스를 2천만 달러에 판매하고 있다. 언더그라운드에서는 익스플로잇과 가이드를 훨씬 저렴한 가격에 구입할 수 있다.
이 해킹을 피하려면 휴대폰을 페이스북에 등록하지 않으면 된다. 이 취약점은 페이스북만 아니라 휴대폰 인증으로 패스워드 재설정이 가능한 모든 서비스에도 해당되므로 휴대폰 번호를 등록할 때는 주의가 필요하다. 왓쓰앱, 텔레그램 등의 메신저 앱들도 SS7 취약점 익스플로잇을 이용해 해킹된 바 있다.
