Breaking
사이버 보안(Cybersecurity)
페이스북의 또 다른 보안 사고, 비공개 사진이 전체 공개로
2019-05-28 18:45:06
조현
▲2018년은 페이스북과 사용자들, 그리고 아일랜드 정부에 좋은 한 해가 아니었다(출처=위키미디어 커먼즈)

[라이헨바흐=조현 기자] 지난해 페이스북(Facebook)에는 사건사고가 많았다. 이 회사는 물론이고 이 회사의 고객사나 전 세계 이용자에게도 즐거운 해는 아니었다. 특히 아일랜드에 사는 페이스북 사용자는 당황스러운 일을 겪었다.

페이스북은 2018년 한 해 동안 수많은 데이터 유출 사건을 겼었다. 해커가 수천만 명에 이르는 사용자들의 개인 정보에 접근하는 등 사건 규모도 컸다.

한편 아일랜드에서는 또 다른 황당한 사건이 발생했다. 사용자들이 비공개로 페이스북에 게재한 사진들이 전체 공개로 게시된 것이다. 약 680만 명의 사용자가 피해를 입었다. 이것은 이전에 프로필의 '다른 이름으로 보기' 기능을 이용한 해커들이 개인 정보를 훔친 사건이 발생한 다음 일어난 일이다.

또 다시 발생한 사건

포브스 보도에 따르면 노출된 사진은 876명 개발자가 1,500개가 넘는 응용 프로그램에서 액세스할 수 있었다. 해당 버그는 페이스북이 이를 눈치 채기 2주 전부터 존재했던 것으로 알려졌다. 버그에 대해 알게 된 페이스북은 곧바로 버그를 수정하고 "이런 일이 발생해 죄송하다"는 메시지를 발송했지만 피해를 입은 사용자에게 별다른 보상을 하지는 않았다.

이 버그는 웹사이트의 사진 API에서 발견됐다. 그래서 사용자의 개인적인 사진에 제 3자의 응용 프로그램이 액세스할 수 있었다. 이것은 버그였기 때문에 사이버 공격의 결과는 아니며 어떤 개인 정보도 해커의 손에 들어가지 않았다. 하지만 이 버그 또한 보안 결함의 일종이다. 페이스북이 9월 13일 업데이트에서 웹사이트의 사진 API를 개선할 계획이었기 때문이다.

결국 페이스북은 보안 위반을 조기에 인정하지 않았으며 이 사건은 2018년 12월 14일에 전 세계에 알려졌다. 회사가 이에 필요한 조치를 취했느냐는 질문에 페이스북은 "버그가 발견된 이후 조사 중이다. 이 사건이 미친 영향이 어느 정도인지 인식하고 이를 수습할 올바른 개발자들과 이로 인해 피해를 입은 사람들에게 연락을 취하고 있다"고 말했다.

페이스북이 가능한 한 최선의 방법으로 문제를 해결하려는 태도를 보이고는 있지만 이들에 대한 비난은 사그라들지 않을 것으로 보인다. 또한 일부 사이버 규제 기관은 페이스북의 주장에 동의하지 않을 것이다.

아일랜드의 입장

페이스북이 의도한 보안 사고가 아니라고는 하지만 이들이 개인 데이터와 관련된 보안 사고를 일찍 인식하고 발표하지 않은 것은 유럽 연합의 일반 데이터 보호 규정(GDPR) 위반이다.

아일랜드 데이터 보호위원회(DPC)는 페이스북의 보안 침해 사건에 대해 강경한 태도를 취하고 있다. 특히 페이스북이 사용자 데이터를 보호할 의무가 있음에도 이런 일이 발생한 것을 용납하기 힘들다는 입장이다.

DPC는 아일랜드에서도 적용되는 GDPR 위반 사실에 대해 조사를 실시하고, 페이스북 측에는 이에 협조하라고 요청했다. 페이스북의 첫 번째 데이터 유출 사건이 발생했을 때도 아일랜드 DPC는 이와 같은 태도를 취했다. 페이스북의 첫 번째 데이터 유출 사고는 GDPR 법의 첫 '주요 테스트'기도 했다.

커뮤니케이션 책임자인 그레이엄 도일은 2018년 5월 25일 GDPR 시행 이후 페이스북의 데이터 유출 사건에 대해 아일랜드 DPC가 몇 파례 경고를 한 바 있다고 전했다.

▲페이스북의 데이터 유출 사고는 EU의 GDPR 법에 위반된다(출처=픽사베이)

도일은 "문제가 된 데이터 유출과 보안 위반 문제를 참조해 페이스북이 GDPR의 관련 조항을 준수했는지 여부를 알아보는 법무 조사를 실시한다"고 전했다.

DPC는 페이스북에 대한 관할권이 아일랜드에 있다고 말했다. 페이스북의 국제 본사가 더블린에 위치하며, 이 회사가 GDPR 법을 위반했을 경우 아일랜드 측이 제재를 가할 수 있다는 뜻이다. 이 법에 따르면 모든 기업들은 보안 위반 사건이 발생한 경우 72시간 내에 사건을 보고해야 할 의무가 있다. 이 규정을 준수하지 않은 페이스북은 적어도 14억 유로(약 1조 7,800억 원)의 벌금을 지불해야 할 것으로 보인다.

페이스북의 엔지니어링 관리자인 토머 바는 "어떤 앱이 페이스북의 사진에 액세스할 권한을 부여받을 경우, 우리는 사람들이 타임라인에 공유하는 사진에만 액세스할 수 있도록 하고 있다"며 "이번 사건의 경우 버그로 인해 제 3의 앱이 마켓플레이스나 페이스북 스토리 등의 사진에도 액세스할 수 있었다"고 설명했다.

규정을 무시하다

페이스북 측의 주장이 사실이라 할지라도, 그러니까 그들이 보안 위반 사실을 대중에게 알리기 전에 이미 해결 방법을 찾으려고 했다는 것이 사실이라 할지라도 대중은 소셜 미디어 거물이 EU의 GDPR 법을 준수하지 않았다는 인상을 받았다.

포브스 칼레브 리타루는 "페이스북은 이런 보안 침해 사건, 특히 사용자들의 개인 데이터가 연루된 보안 침해 사건이 발생했을 때 그것을 당국에 보고할지 말지 여부를 회사 측에서 결정하고 72시간 내에 보고해야 한다는 GDPR 법을 준수하지 않는다는 이미지를 얻게 됐다"고 전했다.

페이스북의 한 대변인은 어째서 보고까지 2개월이 넘게 걸렸느냐는 질문에 "보안 위반 사실을 인식한 후 아일랜드 DPC에 11월 22일에 보고했다"고만 답했다.

어쨌든 페이스북이 보안 위반 사실을 알고도 이 사실을 당국에 보고하기까지 지나치게 오랜 시간이 걸린 것은 사실이므로 이에 대한 철저한 조사가 이뤄져야 할 것이다.

▲페이스북은 이 사실을 대중들에게 알리기 전에 자체적으로 문제 해결을 위해 버그를 수정하고 있었다고 말했다(출처=플리커)
[라이헨바흐=조현 기자]