지난달 발생한 페이스북 해킹 사건으로 사용자 2900만명 개인정보가 해커에 탈취된 것으로 나타났다. 일부 사용자는 금융정보까지 노출됐을 가능성이 제기돼 논란은 더 커질 것으로 보인다. 한국인 이용자 개인정보도 3만5000여개 유출된 것으로 확인했다. 방송통신위원회는 정보통신망법에 따라 엄정하게 처리하겠다고 밝혔다.
12일(현지시간) CNN·CNBC 등에 따르면 개인정보가 탈취된 페이스북 사용자 2900만명 중 절반에 달하는 1400만명은 이름, 전화번호, 이메일 주소 외에 연락처 정보, 성별, 구사하는 언어, 종교, 친구와 관계·지위까지 노출됐다. 최근 로그인 정보와 검색기록, 사용하는 디바이스 유형 등도 해커가 가져갔다. 나머지 사용자 1500만명은 이름, 전화번호, 이메일 주소 세 가지만 유출됐다.
해커는 페이스북 계정 접근권(액세스 토큰)을 덮어쓰는 수법으로 40만개 계정을 탈취했다. 2900만명 가량 사용자가 올려놓은 이름, 전화번호, 이메일 주소에 접근한 것으로 밝혀졌다. 100만명 사용자는 개인정보와 관계없이 액세스 토큰만 도용됐다.
페이스북은 지난달 28일 해킹 사건 발표 당시 해커가 '뷰 애즈(View As)'기능에 침입했다고 밝혔다. 뷰 애즈는 사용자가 자신 계정이 다른 사용자에게 어떻게 보이는지 확인하는 미리보기 기능이다. 페이스북은 해킹 영향을 받은 모든 사용자 액세스 토큰을 다시 설정(리셋)하고, 자신 계정이 해킹 당했는지 확인하는 별도 웹사이트를 만들었다. 페이스북은 1주일 이내 해킹당한 사용자에게 개별 메시지를 보낼 계획이다.
가이 로젠 페이스북 부사장은 블로그를 통해 “해킹 사건은 연방수사국(FBI)이 수사 중이다. 해킹 배후에 누가 있는지는 말할 단계가 아니다”라면서 “우리는 이번 공격을 감행한 해킹 그룹이 다른 방식으로 페이스북을 이용했는지 알아보고 있다”라고 말했다.
로젠 부사장은 콘퍼런스콜에서 “해커는 40만개 프로필을 해킹한 다음 '친구' '친구의 친구'를 이용해 최대 3000만명까지 접근하는 디지털 키를 얻었다”면서 “일부 사용자는 해커가 카드번호 마지막 4자리까지 접근했을 가능성 있다”고 말했다.
한국인 유출 계정 수는 3만4891개인 것으로 추정된다. 방통위 관계자는 “한국인 개인정보의 정확한 유출규모, 유출경위 및 기술적·관리적 보호조치 준수 여부 등 조사를 진행하고, 법 위반 시 엄정하게 조치할 계획”이라고 밝혔다.
해킹 피해 대상으로 꼽힌 인스타그램, 왓츠앱, 오큘러스, 메신저키즈 등 계열 네트워크는 포함되지 않았다고 페이스북은 말했다. 페이스북은 이번 사건 조사와 관련해 미 연방거래위원회(FTC), 아일랜드 데이터보호위원회(IDPC) 등과 공조한다고 언급했다.
페이스북 해킹은 지난달 14일부터 25일까지 이뤄졌다. 페이스북은 이틀간 자체 조사를 벌인 뒤 해킹 사실을 발표했다. 페이스북은 해킹 영향을 받은 사용자 수가 5000만명에 달한다고 밝혔다. 약 9000만명 사용자 계정을 강제 로그아웃했다.
미 IT매체는 페이스북이 애초 밝힌 것보다 실제 해킹당한 사용자 수가 적지만, 해커 접근 정보 수준은 더 심각했다고 보도했다. 페이스북은 11·6 미 중간선거를 앞두고 정치 스팸 계정 등 정치적으로 악용될 소지 있는 800여개 계정·페이지를 삭제했다고 전날 발표했다.
정영일기자 jung01@etnews.com