페이스북에서 유튜브·인스타그램 등 합법사이트 URL을 활용해 악성사이트 유도가 가능하다는 지적이 제기됐다. 페이스북이 지난 7월 링크 제목·설명·미리보기 이미지를 편집하는 기능을 제거하면서 쉽게 공격에 노출될 수 있다는 분석이다.
30일(현지시간) 해외 보안 전문매체 해커뉴스(The Hacker News)에 따르면, 유튜브·인스타그램 같은 합법 사이트로 공유한 링크에서 악성사이트로 위장한 URL 연결이 나올 수 있다는 분석이 한 보안 연구원에 의해 제기됐다.
페이스북 오픈그래프는 메타 태그 공유 링크를 검색해 URL, 미리보기 이미지, 제목을 각각 가져온다. 오픈그래프 메타 태그에 언급된 링크가 페이지 URL과 동일한지 확인하지 않으면 스팸 발송자가 합법 URL을 추가해 스푸핑(spoofing) 된 URL로 페이스북에 악의적 웹 페이지를 퍼뜨릴 수 있다는 설명이다. 스푸핑은 승인받은 사용자인 것처럼 시스템에 접근하거나 네트워크상에서 허가된 주소로 가장해 접근 제어를 우회하는 공격 행위다.
페이스북은 이에 대해 보안 결함은 아니라는 입장이다. 페이스북에 URL이 클릭 될 때마다 '링크심(Linkshim)' 시스템으로 피싱 등에 활용되는 악의적 웹사이트를 URL을 회사 자체 악성 링크 차단 목록과 비교해 차단한다는 설명이다. 그러나 보안 연구원은 침입자가 스푸핑 된 링크를 생성하기 위해 새 도메인을 사용하면 페이스북 링크심이 악성 여부를 쉽게 식별할 수 없다고 지적한다. 링크심이 머신러닝(기계학습)을 활용해 이전 링크를 탐색함에도 불구하고 악의적이지 않은 사용자 에이전트·인터넷프로토콜(IP) 주소를 제공하는 보호 메커니즘을 우회할 수 있다.
페이스북은 일말의 가능성은 인정하면서도 사용자 피해로 이어질 가능성은 적다고 설명했다. URL로 연결될 때 링크심 외에도 다양한 보호 시스템이 작동한다는 점을 근거로 들었다.
페이스북코리아 관계자는 “링크심 이외에도 다양한 보호 시스템이 작동하기 때문에 사용자 피해로 이어질 가능성은 적을 것”이라고 밝혔다.
변상근기자 sgbyun@etnews.com
