구글, 유튜브 이메일 주소 보안 취약점 발견에 포상
||2025.02.13
![보안 연구자 스컬이 발견한 유튜브 취약점 [사진: 유튜브]](https://www.digitaltoday.co.kr/news/photo/202502/553310_517467_2338.png)
[디지털투데이 AI리포터] 한 보안 연구자가 모든 유튜브 사용자의 이메일 주소를 유출할 수 있는 취약점을 발견했다고 보고했다.
13일(현지시간) 온라인 매체 기가진에 따르면 보안 연구자 스컬(skull)은 자신의 블로그를 통해 유튜브 사용자 전원의 이메일 주소를 취득할 수 있는 취약성을 발견, 구글에 해당 문제를 보고해 1만633달러의 보상금을 얻었다고 밝혔다.
스컬에 따르면 유튜브의 라이브 방송 댓글란에는 신고나 차단을 위한 메뉴가 마련되어 있는데, 이 메뉴를 열면 API를 통해 필요한 정보가 취득된다. 여기에는 구글 계정의 ID로 불리는 '가이아 ID'(Gaia ID)가 포함되어 있다. 가이아 ID는 구글 계정과 1대 1로 연결되어 있지만, 이를 연결할 방법이 없으면 문제가 되지 않는다.
그러나 스컬은 과거 구글 서비스를 조사해 가이아ID와 구글 계정을 연결하는 방법을 찾아냈다고 한다. 그는 구글 픽셀의 녹음기 앱 공유 기능에 문제가 있다는 것을 발견했다. 녹음을 공유하는 API에 가이아 ID로 요청하면 구글 계정의 이메일 주소가 반환되고 있었다는 것이다.
다행히 이 API를 사용하면 녹음 공유를 알리는 메일이 전송되어 계정 소유자가 이상한 점을 눈치챌 수 있다고 한다. 그러나 녹음 제목이 메일의 제목이 된다는 점에 주목한 스컬은 이 과정에서 녹음 제목을 250만 자로 변경해 메일이 전송되지 않도록 해 타깃에게 들키지 않고 유튜브 계정에서 구글 계정의 이메일 주소를 몰래 얻어내는 데 성공했다고 한다.
이에 대해 구글은 악용 가능성이 높고 영향이 크다면서도 공격의 체인이 복잡하다는 이유로 보상의 등급을 한 단계 낮추고 스컬에게 1만633달러를 지급한 것으로 알려졌다.
