로그인 툴 Oauth와 OpenID에서 보안 결함이 발견되었다. OpenID는 본인 인증을, Oauth는 권한 승인을 지원하는 기술로 인터넷에서 구글, 페이스북, 트위터 등의 아이디로 다른 서비스를 사용할 수 있게 뒷받침하는 기술이다.
“Covert Redirect”라 불리는 Oauth와 OpenID의 보안 결함은 난양기술대학교 박사과정 학생 Wang Jing이 발견하였다. 이 결함을 이용해 악성 웹사이트에선 페이스북처럼 신뢰할 수 있는 웹사이트의 로그인 창을 띄우고 유저의 개인 정보 액세스를 요청한 뒤 개인 정보에 접근하기 위한 크레덴셜을 악성 웹사이트로 보낼 수 있다. 하지만 이 보안 결함은 Oauth와 OpenID 자체의 허점이라기보단 어플리케이션의 문제로, OpenID와 Oauth를 사용하는 구글, 페이스북, 링크드인 등에서 자체적으로 해결하고 있다. 링크드인의 경우 지난 3월 링크드인 크레덴셜을 사용하는 어플리케이션에 Oauth redirect URL 등록을 요구했고, 등록되지 않은 URL을 사용한 액세스 요청은 승인하지 않기 시작했다.
Covert Redirect는 다행히도 지난 달 발견된 OpenSSL 보안 버그 Heartbleed 만큼 심각한 결함은 아니다. Heartbleed의 경우 일방적인 공격으로 서버에서 정보를 빼낼 수 있었지만, Covert Redirect는 공격자가 보안이 취약한 어플리케이션을 찾아내야 할 뿐 아니라, 정보를 접근하기 위해 사용자의 승인까지 얻어야 하기 때문이다.
