페이스북의 보안불감증이 또 다시 도마 위에 올랐다. 보안 전문 업체 시만텍은 수년간 페이스북 회원 정보가 애플리케이션(이하 앱)을 통해 제 3자에게 새 나갔다고 지적했다.
시만텍 연구원 니샨트 도시는 블로그를 통해 페이스북이 쇼핑·게임 등 수많은 앱을 통해 회원 정보를 광고주 등 제 3자가 접근할 수 있도록 ‘문’을 열어뒀다고 주장했다.
이를 발견한 니샨트 도시 연구원은 “다행히도 제 3자들은 이런 개인정보에 접근하는 법을 모른다”며 “우리는 페이스북에 이같은 상황을 전달했으며 바로 잡아야 한다고 말해줬다”고 설명했다.
도시는 쇼핑과 게임 등 페이스북 앱이 부주의하게 ‘접근 토큰(access token)’을 흘리고 있다고 주장했다. 접근 토큰은 사용자가 로그인을 할 때 필요한 보안 정보와 권한이 모두 들어있다. 페이스북이 이런 개인 정보를 광고주나 컨설팅 회사와 공유한다는 것이다. 또 메시지를 읽고 프로파일에 접근할 수 있는 ‘예비 키(spare keys)’가 노출됐다는 증거도 발견했다고 설명했다.
시만텍 측은 페이스북이 올해 4월 기준으로 10만개 이상의 앱에서 이 같은 개인 정보가 수년간 유출됐다고 추산했다.
페이스북 측은 “우리가 조사한 바로는 개인정보가 새나간 증거가 없으며, 이메일을 통해 플랫폼에서 의심스러운 행동이 발생할 경우 빠르게 조치할 수 있는 강력한 정책과 기술을 갖고 있다”고 해명했다.
한편, 페이스북에서 현재 악성 앱과 프라이버시 노출 등의 보안문제가 끊임없이 발생하고 있다. 지난 1월 페이스북은 개발자들이 회원 주소와 휴대폰 번호를 수집할 수 있도록 허용했지만 거센 항의를 받고 결국은 잠정적으로 이 기능을 중단한 바 있다.
허정윤기자 jyhur@etnews.co.kr