[친절한B씨] 페이스북이 또 털렸다…이번엔 어떻게?

약 5천만개 계정의 '액세스 토큰'이 노출됐다.

가 +
가 -

페이스북이 또 말썽입니다. 전세계 5천만명의 페이스북 계정 정보가 유출됐을 가능성이 드러났습니다. 페이스북은 지난 9월28일(현지시간) 보안 취약점을 발견해 조치를 취했다고 자사 뉴스룸을 통해 밝혔습니다. 페이스북에 따르면 약 5천만개 계정이 이번 보안 취약점에 영향을 받았습니다. 계정 정보에 접근할 수 있는 ‘액세스 토큰’이 페이스북의 버그로 인해 노출된 건데요. 이를 활용하면 사용자 대신 ‘좋아요’를 누르거나 게시물을 게시할 수 있고, 사용자 개인정보에 접근할 수 있습니다. 지난 3월 불거진 캠브리지 애널리티카(CA)를 통한 데이터 유출 사태와 다른 성격의 사건이지만, 사용자 개인정보와 관련된 문제가 재발했다는 점에서 페이스북을 향한 비판의 목소리가 커지고 있습니다.

| 지난 4월 페이스북 사태 관련 미국 상원 청문회 현장(사진=guardian 방송 영상 갈무리)

이번 보안 취약점은 9월25일(현지시간) 발견됐습니다. 아직 조사 초기 단계에 있기 때문에 영향을 받은 것으로 알려진 계정들이 악용됐는지, 사용자 정보에 대한 접근이 있었는지, 어떤 정보가 유출됐는지, 공격의 배후가 누구인지 명확하게 밝혀진 사실은 없습니다. 페이스북 코리아 관계자에 따르면 한국 이용자들의 피해 규모에 대해서도 아직 조사 중입니다. 방송통신위원회는 한국인 개인정보 유출 여부에 대해 확인 요청을 한 상태이며, 유출이 확인되면 정보통신망법에 따라 처리할 계획입니다. <월스트리트저널>에 따르면 유럽연합(EU)은 ‘일반 개인정보보호법(GDPR)’에 따라 페이스북 측에 최대 16억3천만달러(약 1조8천억원)의 벌금을 부과할 수도 있습니다. 페이스북의 전세계 연매출의 4%에 해당하는 금액입니다.

 

원인은 ‘타임라인 미리보기’ 버그

이번 사건의 원인은 페이스북 서비스 자체 버그에서 시작됐습니다. 지난번 페이스북 사태는 사용자 데이터를 윤리의식 없이 다루는 개발자의 관행이 문제였습니다. 데이터 분석 업체 CA를 통해 약 8700만명의 사용자 데이터가 유출된 1차적 원인은 제3자에게 사용자 데이터에 대한 접근 권한을 쉽게 넘겨주는 정책에 있습니다. 이번 사건은 정책과 관행이 아닌 버그에서 불거졌다는 점에서 차이가 있습니다. 페이스북의 실수였다는 얘기죠. 보안 취약점은 ‘타임라인 미리보기’에서 발견됐습니다.

타임라인 미리보기는 다른 사람이 내 타임라인을 봤을 때 어떻게 보일지 미리 확인할 수 있는 기능입니다. 게시물을 올릴 때 해당 게시물이 누구에게 노출되고 누구에게 안 보이는지 타인의 입장에서 내 타임라인을 체험해보는 기능이죠. ‘특정한 사람 입장에서 보기’를 클릭해 특정 계정의 입장에서 내 타임라인을 볼 수 있습니다. 예를 들어 직장 상사나 부모님과 어쩔 수 없이 친구 관계를 맺었을 때 내가 올리는 게시물이 이들에게 노출되는지 타임라인 미리보기를 통해 확인할 수 있습니다. 문제는 다른 사람 입장에서 내 타임라인이 어떻게 보이는지 보여주기만 해야 하는데, 타인의 입장에서 게시글 작성이 가능했던 겁니다.

| 페이스북이 설명하는 ‘타임라인 미리보기’ 기능

물론 기본적으로 게시하기 기능은 막혀 있었지만, 단 한 가지 기능이 작동했습니다. 페이스북에 따르면 친구들에게 생일 축하 게시글을 작성할 수 있는 게시 도구에서 동영상 게시가 가능했습니다. 여기에 지난해 7월 새롭게 업데이트된 동영상 업로더가 액세스 토큰을 잘못 생성하는 버그가 겹쳐졌고, 마지막으로 미리보기를 이용하는 사용자의 액세스 토큰이 아닌 ‘특정한 사람 입장에서 보기’에서 설정한 다른 사람의 액세스 토큰이 생성돼 HTML에 노출되는 버그까지 합쳐져 초유의 사태가 불거졌습니다. 자그마치 3개의 버그가 합쳐진 조합이 만들어낸 결과입니다.

쉽게 말해 타인의 입장에서 내 타임라인을 보는 기능만 작동해야 하는데, 타인의 입장에서 내 타임라인에 쓰는 기능까지 작동해서 타인의 액세스 토큰이 유출된 연쇄 버그입니다. 이 버그를 활용하면 친구 관계를 맺은 모든 사람의 액세스 토큰을 탈취할 수 있습니다. 또 탈취한 액세스 토큰을 통해 해당 계정에 로그인해 탈취한 계정 친구들의 액세스 토큰까지 얻을 수 있습니다. 즉 이론적으로 해당 방식을 반복해 친구의 친구의 친구의 액세스 토큰을 계속해서 탈취할 수 있는 셈입니다. 여기에 영향을 받은 것으로 공식적으로 확인된 계정만 5천만개입니다. 약 23억명의 사용자를 보유한 서비스치고 아마추어 같은 실수가 큰 파장을 불러일으킨 겁니다.

 

액세스 토큰이 뭐길래

그렇다면 액세스 토큰을 탈취하면 어떤 일을 할 수 있을까요? IT 분야에서 토큰은 보안 정보를 담는 무작위 문자열을 뜻합니다. 아이디와 비밀번호를 매번 활용할 경우 입력 과정에서 발생하는 보안 위험을 줄이기 위해 만들어졌습니다. 즉 서비스를 이용할 때마다 암호를 입력할 필요 없이 계속 로그인해 있을 수 있도록 하는 디지털 열쇠 같은 역할을 합니다.

페이스북에서 액세스 토큰은 계정을 열어주는 열쇠 개념입니다. 페이스북 계정에 로그인해서 볼 수 있는 정보를 볼 수 있는 셈이죠. 또 게시글을 작성하거나 ‘좋아요’를 누르는 일도 가능합니다. ‘팔로우’도 할 수 있죠. 페이스북을 통해 로그인한 제3자 서비스에도 접근할 수 있습니다. 다행히 암호화 처리되는 정보에는 접근할 수 없습니다. 액세스 토큰을 통해 비밀번호가 유출되지는 않는다는 얘기입니다.

| 지난 4월 미국 상원 청문회 당시의 마크 저커버그 페이스북 CEO(사진=guardian 방송 영상 갈무리)

마크 저커버그 페이스북 CEO는 자신의 페이스북 계정을 통해 “지난 화요일(9월25일) 공격자가 기술적 취약점을 악용해 페이스북에서 약 5천만명의 계정에 로그인할 수 있는 액세스 토큰을 훔쳤다는 사실을 발견했다”라며 “우리는 아직 이 계정들이 악용됐는지 여부를 알 수 없지만, 조사를 계속하고 있으며 우리가 더 알게 되는 대로 정보를 업데이트하겠다”라고 밝혔습니다. 쉽게 설명하면 열쇠를 훔쳐 간 게 확인됐는데 방에서 무엇을 했는지는 확인이 안 된 상태인 거죠.

 

이용자는 어떻게 해야 할까?

페이스북은 현재 보안 취약점을 고치고 영향을 받은 것으로 확인된 5천만개 계정의 액세스 토큰을 리셋한 상태입니다. 즉 더는 탈취된 액세스 토큰으로 사용자 정보에 접근할 수 없다는 얘기죠. 또 선제적 예방 차원에서 지난 1년 동안 타임라인 미리보기 기능의 검색 대상이 된 적이 있는 4천만개 계정의 액세스 토큰도 추가로 리셋했습니다. 이 때문에 약 9천만명의 이용자는 페이스북에서 강제 로그아웃됐습니다. 여기에 해당하는 사용자가 다시 로그인할 경우 이번 사태에 관해 설명해주는 알림이 뉴스피드 최상단에 뜨게 됩니다. 문제가 된 타임라인 미리보기 기능은 일시 중단된 상태입니다.

| 이번 보안 이슈에 영향을 받은 계정은 로그인 후 뉴스피드 상단에 관련 알림이 뜬다.

그럼 페이스북 이용자가 피해를 막기 위해 해야 될 조치는 뭘까요? 페이스북 측은 비밀번호를 바꿀 필요는 없다고 설명합니다. 앞서 설명한 대로 액세스 토큰이 유출됐다고 해서 비밀번호까지 알 수는 없기 때문입니다. 페이스북코리아 관계자는 “액세스 토큰이 리셋됐기 때문에 이용자들이 추가적인 조처를 할 필요는 없으며 비밀번호가 유출된 것은 아니기 때문에 비밀번호를 변경할 필요는 없다”라고 말했습니다. 또 “추가적인 조치를 원한다면 ‘모든 세션에서 로그아웃’하는 보안 기능을 고려해볼 수 있다”라고 덧붙였습니다. ‘모든 세션에서 로그아웃’은 한 번에 모든 기기와 브라우저로부터 페이스북 계정을 로그아웃하는 기능입니다. ‘페이스북 설정→보안 및 로그인→로그인한 위치→더 보기→모든 세션 로그아웃’ 순으로 메뉴에 들어가면 됩니다. 정 불안하면 비밀번호를 아예 바꾸는 것도 한 방법입니다.

네티즌의견(총 0개)