Breaking
사이버 보안(Cybersecurity)
페이스북, 회원 6억 명 비밀번호 비암호화 상태로 방치
2019-06-26 18:29:55
장희주
▲페이스북 회원 최대 6억 명의 비밀번호가 암호화되지 않은 채 회사 사내 망에 보관되어 있었던 것으로 밝혀졌다(사진=ⓒ맥스픽셀)

[라이헨바흐=장희주 기자] 페이스북의 허술한 개인정보 관리가 또 다시 도마 위에 올랐다. 이번에는회원 6억 명의비밀번호를 암호화하지 않고 보관한 것으로 드러났다.

지난 3월 21일(현지시간) 사이버 보안 전문 블로그 '크렙스온시큐리티(KrebsOnSecurity)'는 페이스북 회원 최대 6억 명의 비밀번호가 암호화되지 않은 채 누구나 인지할 수 있는 일반 문자 형식으로 페이스북 사내 망에 보관되어 있다고 고발했다.

비밀번호는 해킹을 막기 위해 해싱(hashing)으로 불리는 암호화 처리 기술로 보호해야 하는데, 페이스북은 이를 방치하고 일반 문서처럼 보관한 것이다. 페이스북 사내 망에 보관된 파일에는 2012년에 등록한 비밀번호도 있었다. 무려 8년간 회원 정보를 부실하게 관리한 셈이다.

 

비암호화된 비밀번호는 최소 2억 개에서 최대 6억 개에 이르며, 피해 계정 대다수는 페이스북 라이트(Lite) 버전을 사용한 것으로 알려졌다. 페이스북 라이트는 구동에 필요한 데이터가 적어 데이터 연결성이 낮은 지역에서 주로 이용된다.

페이스북도 해당 사실을 인정했다. 페이스북 측은 "지난 1월 정기적인 보안 점검에서 일부 회원들의 비밀번호가 암호화되지 않은 상태로 저장돼 내부 시스템을 통해 접근할 수 있었던 것으로 확인됐다"며 "현재 오류를 모두 시정했으며 사용자들에게 이와 같은 사실을 모두 공지할 계획"이라고 밝혔다.

다만 "비밀번호는 내부 시스템에 보관돼 있었고, 해당 서버는 내부 직원들에게만 노출돼 있는 상태였다"며 "외부로 반출되거나 악용된 증거는 발견되지 않았다"고 여러 차례 강조했다. 비밀번호가 외부로 유출되지 않았다는 점을 부각시킨 것이다.

▲페이스북이 방치한 비밀번호는 페이스북 직원 2만여 명에게 노출된 것으로 전해진다(사진=ⓒ플리커)

그런데 회원들의 개인정보를 직원들은 봐도 괜찮은 걸까? 페이스북이 방치한 비밀번호는 직원 2만여 명에게 노출된 것으로 전해진다. 이들 직원들이 마음만 먹으면 비밀번호에 접근해 이용할 수 있었다는 뜻이다. 외신은 최소 2,000명의 직원이 파일을 열람했을 것으로 추정한다.

회원들의 개인정보를 함부로 열람할 권한이 없기는 직원들도 매한가지다. 이 때문에 페이스북이 개인정보 보호의 의미를 제대로 모르는 것 아니냐는 질타가 쏟아지고 있다.

페이스북이 회원 개인정보를 허술히 관리하거나 거래했다는 의혹이 제기된 것은 이번이 처음이 아니다.

지난해 3월 페이스북 회원 8,700만 명의 개인정보가 2016년 미국 대선 당시 도널드 트럼프 대통령의 선거를 지원한 '케임브리지 애널리티카'로 넘어간 정황이 포착됐다. 이 때문에 마크 저커버그 최고경영자가 청문회에 불려나가 홍역을 치렀다. 같은 해 10월에는 버그를 악용한 해커들에 의해 약 5,000만 개 계정의 액세스 토큰을 탈취당하며 도마 위에 오른 바 있다.

▲페이스북은 비밀번호가 외부로 반출되거나 악용된 증거는 발견되지 않았다고 강조했다(사진=ⓒ위키미디어커먼즈)
[라이헨바흐=장희주 기자]