Breaking
사이버 보안(Cybersecurity)
"올바른 조치가 취해졌는지는 알 수 없다"…페이스북 사용자 데이터 5억 4,000만개 노출
2019-07-01 13:46:39
조현
▲페이스북의 사용자 데이터 약 5억 4000만 건이 보호받지 않은 채 저장됐다(사진=ⓒ셔터스톡)

[라이헨바흐=조현 기자] 5억 4,000만 개 이상의 페이스북 사용자 데이터가 보호받지 않은 공개 스토리지 서버에 저장돼 있다는 사실이 밝혀져 충격을 주고 있다.

해당 사실은 사이버 보안 회사인 업가드에 의해 밝혀졌다. 

취약한 것으로 드러난 두 서버는 멕시코의 미디어 회사인 쿨투라 콜렉티바와 2014년 이후 서비스를 중단한 캘리포니아 기반의 페이스북 앱 제조업체인 앳더풀에서 나왔다. 

이 두 서버 모두 아마존 웹 서비스(AWS) 단순 저장 서비스(S3) 버킷이었다.

 

별개 AWS S3 버킷의 데이터 누출

업가드 연구진에 따르면 쿨투라 콜렉티바 서버에서는 146GB의 데이터가 발견됐다. 

좋아요 버튼을 누른 데이터, 반응, 계정 이름 등 5억 4,000만 건 이상의 사용자 데이터가 노출됐다. 

비밀번호도 암호화되지 않은 상태였다. 이는 누군가가 유출된 데이터에 액세스할 수 있다는 뜻이다.

한편, 앳더풀의 데이터 세트에는 다음과 같이 나열된 2만 2,000개의 레코드가 있었다. 바로 fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, 패스워드 등이다. 

연구진은 페이스북 사용자들의 비밀번호가 노출된 것은 아니라고 생각하지만, 해당 비밀번호가 앱에 사용된 것으로 생각한다. 

즉, 페이스북과 앳더풀 계정의 비밀번호를 동일하게 사용하고 있는 사용자라면 즉시 비밀번호를 변경하는 편이 좋다.

연구원은 "각각의 데이터 세트는 파일을 공개적으로 다운로드할 수 있도록 구성된 자체 AWS S3 버킷에 저장됐다. 두 데이터 세트가 각 서버에 저장된 다른 파일을 보여주지만 모두 페이스북 사용자의 관심사라는 동일한 정보를 갖고 있었다"고 말했다. 

기술 전문 매체 테크크런치의 보도에 따르면 앳더풀의 서버에 저장된 데이터에는 사진, 로그인 정보, 그룹 멤버십 등 더 민감한 정보가 저장돼 있었다.

사고 대응

쿨투라 콜렉티바는 업가드에 의해 지난 1월 10일 위반 사실을 통보받았고 4일 후에 다시 응답을 요구받았으나, 이 회사는 해당 사실에 어떤 답변도 내놓지 않았다. 

데이터 세트는 2월까지도 여전히 공개된 상태였다. 업가드는 결국 쿨투라 콜렉티바와 연락을 취하는 것을 포기하고 AWS 측에 접촉하기로 했다. 

AWS는 자체적으로 쿨투라 콜렉티바와 연락하겠다고 답했다. AWS측의 응답은 쿨투라 콜렉티바에 비해 빠른 편이었으나 이들이 취한 조치는 결국 아무 것도 없었다. 

업가드는 2월 21일에 또다시 AWS에 연락해 취약한 S3 버킷 문제를 상기시켰다. AWS는 다시금 문제를 조사할 것이라고 응답했다. 그러나 지난 4월 3일까지도 서버는 다운되지 않았다.

한편 업가드가 취약한 S3 버킷에 대해 앳더풀에 연락을 취한 결과, 이들의 서버는 즉시 차단됐다.

▲업가드는 데이터 유출 문제에 대해 각 회사에 연락을 취했다(사진=ⓒ셔터스톡)

업가드는 앳더풀의 빠른 대처에 대해 "호스팅 기간이 만료된 것인지 아니면 책임 있는 당사자가 데이터 유출 사건을 알고 조치를 취한 것인지는 알 수 없다. 아무튼, 이 앱이 더는 활성화되지 않았다는 점이 중요하다"고 전했다.

데이터 베이스 유출 문제는 결국 페이스북을 통해 아마존의 도움의 손길을 받아 해결됐다. 

페이스북의 정책 담당자는 "정책적으로 공개 데이터 베이스에 페이스북 정보를 저장하는 것을 금지하고 있다. 이를 어기면 아마존과 협력해 데이터 베이스를 없앨 수 있다. 우리는 사용자들의 데이터를 보호하기 위해 플랫폼 개발자들과 협력할 것을 약속한다"고 말했다.

업가드는 "이 두 가지 문제 상황은 대량 정보 수집의 고유한 문제점을 그대로 보여준다. 데이터는 자연스럽게 사라지지 않는다. 따라서 저장소의 위치가 매우 중요하다"고 덧붙였다.

사용자 개인 데이터 처리 문제

이 사건은 다수의 페이스북 사용자 정보가 노출되긴 했으나 여태까지 발생한 가장 큰 규모의 데이터 유출 사건은 아니다. 

페이스북에서 발생한 가장 큰 규모의 데이터 유출 사건은 바로 캠브리지 애널리티카 스캔들이다. 

당시 5,000만 명이 넘는 페이스북 사용자들의 개인정보가 미국 대선 목적으로 사용됐다.

또 지난해에도 업가드는 로컬블락스에서 4,800만 개의 페이스북 프로필 기록을 발견했다.

쿨투라 콜렉티바나 캠브리지 애널리티카같은 회사들이 사람들의 페이스북 정보를 오용한 것에 대해 생각하기 전에, 과연 페이스북은 이런 업체들이 사용자의 개인정보를 유출하고 있을 때 무엇을 했는지 생각해야 한다.

페이스북은 지난 몇 년 동안 페이스북 계정으로 로그인한 사용자의 데이터를 타사의 앱 개발자들이 사용할 수 있도록 허용했다. 

페이스북은 데이터가 어떻게 저장 및 사용될지에 대한 정책은 갖고 있지만, 만약 어떤 문제나 피해가 실제로 발생할 때까지 페이스북이 취할 수 있는 조치는 많지 않다.

 

 

[라이헨바흐=조현 기자]