또 뚫린 페북 “누가, 왜 공격했나 확인중”…방통위, 조사 나서

페이스북 누리집 ‘뉴스룸’ 갈무리

5천만명 개인정보 유출 위험
추가 4천만명도 강제 로그아웃
‘내 프로필 미리보기’ 기능 해킹
3월에도 개인정보 유출 드러나
전문가들 “비밀번호 교체 필요”
휴대전화 이용 2단계 인증법 권장
방통위 “정보통신망법 따라 조처”

페이스북 누리집 ‘뉴스룸’ 갈무리

세계적으로 23억명, 한국에서만 1800만명이 사용하는 사회관계망서비스 페이스북이 사이버 공격을 당해, 이용자 5천만명의 계정이 개인정보 유출 위험에 놓였다. 페이스북은 지난 9월25일(현지시각) 이런 보안 취약점을 발견해 보완하고, 28일 이를 누리집에 공지했다. 페이스북은 “누가, 왜 이런 공격을 했는지, 어떤 정보가 얼마나 유출됐는지 등을 확인하는 과정”이라고 밝혔고, 방송통신위원회는 페이스북을 상대로 사고 경위 파악에 나섰다.

1일 페이스북의 공지사항과 페이스북코리아의 설명을 종합하면, 보안 취약점이 발생한 곳은 ‘내 프로필 미리보기’ 기능이다. 나와 친구가 아닌 사람이 내 타임라인을 볼 때 어떻게 보이는지를 확인할 수 있게 하는 것으로, 해커는 이 기능의 취약점을 활용해 사용한 적이 있는 5천만명 계정의 ‘액세스 토큰’을 탈취했다. 액세스 토큰은 사용자가 접속할 때마다 비밀번호를 입력하지 않아도 계속 로그인할 수 있도록 해주는 일종의 ‘디지털 키’로, 페이스북 계정을 이용해 다른 앱에 로그인하는 ‘소셜 로그인’에도 일부 사용된다. 로그아웃하면 이 키는 초기화된다. 페이스북은 “해커는 이 액세스 토큰을 통해 다른 사용자 계정에 로그인할 수 있고, 이를 기반으로 또다른 사용자들의 추가 액세스 토큰을 얻게 됐다”고 설명했다.

이번 개인정보 유출의 시작 시점은 멀리 잡으면 지난해 7월부터다. 페이스북은 당시 동영상 업로드 기능을 개편했는데, 이때 액세스 탈취가 가능한 버그가 발생했다고 페이스북은 판단하고 있다. 페이스북코리아 관계자는 “해커들이 탈취한 액세스 토큰으로 무엇을 했는지를 파악하기 위해 로그기록을 분석중”이라며 “아직까지는 다른 앱에까지 침입을 시도한 흔적은 발견되지 않았다”고 밝혔다.

페이스북은 지난 3월 케임브리지 애널리티카(CA)라는 데이터 분석 회사를 통해 이용자의 개인정보가 유출돼, 도널드 트럼프 미국 대통령의 선거운동에 사용된 사실이 밝혀져 한바탕 홍역을 치른 바 있다. 우리나라 방통위는 이번 사고와 관련해 즉각 페이스북에 한국인 개인정보 유출 여부 및 유출 경위에 대해 설명을 요청했다. 방통위는 “유출 사실이 확인되면, 정보통신망법에 따라 처리할 방침”이라고 밝혔다.

페이스북은 직접 위험에 노출된 5천만명과 지난해 7월 이후 ‘미리보기’ 검색 대상이 된 4천만명의 액세스 토큰을 재설정했다고 밝혔다. 페이스북코리아 관계자는 “탈취된 액세스 토큰을 전면 무효화하고, 탈취됐을 가능성이 있는 사용자 계정을 모두 로그아웃시켰기 때문에 이용자들이 당장 취할 조처는 없다”고 밝혔다. 다만, 구체적인 원인과 피해 규모가 정확히 밝혀지지 않은 상황이기 때문에 개인정보 유출에 대한 우려가 있다면 비밀번호 교체 등의 조처를 취하는 것이 좋다고 전문가들은 조언한다. 특히 지난 28일 페이스북의 보안 강화 조처 때문에 자신도 모르게 계정이 ‘로그아웃을 당한’ 이용자라면 특히 그렇다.

비밀번호 교체 뒤에는 로그인된 피시(PC)·스마트폰·태블릿 등 모든 정보기기에서 로그아웃을 하고 재로그인하는 게 좋다. 휴대전화 인증 등 2단계 인증 기능을 사용하는 것도 방법이다. 이 기능을 사용하면 새로운 기기에서 페이스북에 로그인할 때 등록된 휴대전화 번호로 문자를 발송해 2단계 인증을 거친다. 알 수 없는 곳에서 로그인했을 때 알려주는 ‘확인되지 않은 로그인에 대해 알림 받기’ 기능도 설정해두면 유용하다.

전문가들은 “페이스북을 통해 로그인하고 자신의 정보를 공유하도록 돼 있는 앱·누리집들의 목록을 점검해 필요없는 것은 삭제하고 언제, 어디서, 어떤 기기를 통해 로그인했는지 자체적으로 살펴봐 자신이 하지 않은 기록이 있을 때는 반드시 비밀번호를 교체할 것”도 권했다. 박태우 기자 ehot@hani.co.kr