웹사이트들을 대상으로 페이스북 노트 기능을 악용한 서비스 거부(DDoS) 공격 방법이 공개돼 주목을 끌고 있다.
 
지난 주말 선데이(Sunday) 블로그에 기재된 포스트에서 개발자 샤만 타파(Chaman Thapa)는 노트 기능에서 페이스북이 HTML 이미지를 허용하는 프로토콜을 사용함으로써 DDoS 공격에 악용될 수 있다고 밝혔다.
 
해당 블로그 포스트에서 타파는 “페이스북 노트는 사용자들의 <img> 태그 사용을 허용한다”며 “<img> 태그가 사용될때마다 페이스북은 해당 이미지를 외부 서버에서 읽어와 캐시에 저장한다. 페이스북은 해당 이미지를 한 번만 캐시에 저장하지만 랜덤 GET 파라미터를 사용하면 캐시가 우회돼 노트 기능을 통해 대규모의 HTTP GET 플러드(flood)가 유발되도록 악용될 수 있다”고 전했다.
 
그는 고유 이미지 태그 목록을 작성한 후 m.facebook.com에서 노트를 생성함으로써 여러 개의 노트를 생성할 수 있었고, 각각의 노트는 타깃 서버로 유입되는 HTTP 요청을 전송하는 기능을 담당했다고 설명했다. 그리고 단 몇초만에 타깃 서버로 수천개의 GET 요청이 전송됐다.
 
그는 자신이 구축한 웹 서버를 공격함으로써 400 Mbps 공격에 대한 개념 증명(POC)을 입증했다.

 
타파는 3월 3일 이러한 문제를 페이스북의 버그 바운티(bug bounty) 프로그램에 제보했지만 해당 사안 확인 후 페이스북은 이러한 공격 시나리오가 ‘흥미롭고 기발’하지만 (많은 사람·장비가 동원되는 복잡한 작업의) 실행 계획(logistics)과 관련한 문제이기 때문에 수정하지 않을 것이라고 대응했다.
 
타파에게 보낸 회신에서 페이스북은 “전체적인 기능성을 현저하게 낮추지 않는 한 소규모 사이트에 대한 공격을 중지시킬 수 있도록 이 문제를 수정하기 위한 현실적인 방법이 없다”고 응답했다.
 
이러한 공격 방법이 공개된 이후 페이스북 대변인은 공식적으로 이 버그의 해결을 위한 페이스북의 결정을 보다 구체적으로 설명하고, “궁극적으로 우리는 바람직하고 의도된 기능을 수행하지 못하도록 막는 것을 원치 않아 수정하지 않기로 결정했다”고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com