내 사생활 괜찮나? 페이스북 해킹 사고 일파만파

GettyImages
GettyImages

사생활이 기록되는 페이스북 보안 사고가 일파만파다. 페이스북 소셜 로그인을 사용하는 스포티파이, 왓츠앱, 인스타그램, 틴더 등 서비스도 영향 받을 수 있어 피해는 더 커질 전망이다.

페이스북은 해킹을 인지하고 추가 보안 위협에 대비해 9000만 계정을 강제 로그아웃시켰다. 페이스북은 해당 조치로 이용자는 다시 로그인하면 된다고 밝혔다. 보안 전문가는 계정 정보 공개 범위를 확인하고 비밀번호 변경 등을 권고한다.

해킹은 '공개범위 설정(뷰 애즈)' 취약점을 통해 이뤄졌다. 엑세스 토큰 코드를 공격해 계정을 덮어쓰는 방식으로 침투했다. 엑세스 토큰은 암호 자체는 아니지만 계정에 로그인할 수 있는 정보를 담고 있다.

이번 사건은 마크 저커버그 페이스북 최고경영자(CEO)가 지난 3월 케임브리지 애널리티카 사고 이후 이용자 데이터를 보호하고 보안에 더 투자하겠다고 약속한 지 6개월 만에 벌어졌다. 페이스북은 해킹 공격을 누가 했는지, 피해 규모가 얼마인지, 어떤 정보가 유출됐는지 정확히 파악하지 못했다.

페이스북은 공식블로그를 통해 “계정이 실제 피해를 입거나 다른 정보에 접근했다는 사실을 밝혀내지 못했으며 공격에 어떤 배후가 있는지 모른다”면서 “추가 위협에 즉각 대응하며 당분간 뷰 애즈 기능을 중단한다”고 설명했다.

업계는 이번 공격이 다른 인터넷서비스까지 영향을 끼칠까 촉각을 곤두세운다. 페이스북 소셜 로그인을 이용해 다른 서비스에 접근하기 때문이다. 해커는 페이스북 계정으로 로그인할 수 있는 기능을 활용해 서드파티 서비스를 이용하거나 사칭할 수 있다. 세계 페이스북 이용자는 22억명, 국내 이용자는 1800만명에 달한다.

가이 로젠 페이스북 부사장은 “엑세스 토큰을 사용하면 계정 소유자인 것처럼 계정을 쓸 수 있다”며 “페이스북 로그인으로 타사 앱에도 접속할 수 있다”고 설명했다. 이에 미국 사이버보안센터는 “피싱 공격에 주의해야 한다”고 경고했다.

기업이 개인 정보를 수집·보관하는 체계에 대한 지적도 나왔다. 마크 워너 미 상원 정보위원회 부의장은 “기업이 적절한 보안수단 없이 개인 정보를 축적한 결과”라며 “소셜미디어 와일드 웨스트(미국 서부개척시대 무법천지)시대를 끝내야한다”고 촉구했다. 국내에서는 방송통신위원회가 페이스북이 개인정보를 담당하는 국내 대리인을 두도록 하는 지정제도를 검토 중이다.

침해당한 계정 정보 중에는 유럽에 거주 중인 이용자 정보도 포함됐다. 신용카드 세부 정보와 같은 민감한 개인 데이터가 영향을 받는다면 유럽연합은 유럽연합일반데이터보호규칙(GDPR)에 따라 페이스북에 벌금을 부과한다. 페이스북은 중요한 정보 침해는 없다고 밝혔다. 하지만 해커가 입수 정보를 토대로 개인 메시지에 접근해 정보를 획득할 가능성을 배제할 수 없다.

한 보안 전문가는 “페이스북 계정 로그인 위치를 확인하고 비밀번호를 교체해야 한다”며 “어떤 서비스를 이용하든 생일, 전화번호 등 상세 프로필을 공개하지 말 것”이라고 조언했다.

페이스북 비밀번호는 '보안 및 로그인' 항목에서 변경할 수 있다. 비밀번호와 휴대폰으로 전송된 코드를 함께 입력해야만 로그인이 되는 '2단계 인증 사용' 설정 및 계정 로그인 위치도 확인할 수 있다. 또 확인되지 않은 로그인에 대해 알림 받기 설정도 할 수 있다.

이현수기자 hsool@etnews.com, 정영일기자 jung01@etnews.com