본문 바로가기 주메뉴 바로가기 검색 바로가기
페이스북 사용자 5억 명 이상 데이터 유출, 그 원인은?
상태바
페이스북 사용자 5억 명 이상 데이터 유출, 그 원인은?
페이스북의 설명은 혼란스러웠으며 일관성이 없었다. 그러나 결국 여러 의문사항에 대한 몇 가지 답변을 주었다.
By LILY HAY NEWMAN, WIRED US

4월 3일(현지 시각)부터 다량의 페이스북 데이터가 공개적으로 유포돼, 인터넷 공간 전반에 걸쳐 약 5억 3,300만 명의 페이스북 사용자 정보가 확산되었다. 유출된 정보에는 프로필 이름과 페이스북 ID 번호, 이메일 주소, 연락처 등이 포함됐다. 모두 다른 곳을 통해 유출되거나 스크랩됐을 수도 있는 정보이지만, 모든 데이터를 연결하고 각각의 피해자와 관련성을 지니며 사기 및 피싱, 스팸 메시지를 보내는 범죄 세력에게 손쉽게 전달될 수 있는 정돈된 프로필 정보이다.

페이스북의 초기 대응은 데이터가 2019년에 유출된 정보이며, 그해 8월에 부각된 취약점 패치 작업을 했다는 주장뿐이었다. 오래된 소식이었다. 그러나 정확히 데이터가 유출된 곳에서 가까이 지켜보면, 더 의문스러운 그림이 펼쳐진다. 실제로 2019년, 범죄 다크웹에 처음 등장한 데이터는 페이스북이 당시 중요한 사항을 일절 상세하게 밝히지 않았던 데이터 유출 사건 당시 유출되었다. 그리고, 이는 4월 6일 밤(현지 시각), 제품 관리 총괄 마이크 클락(Mike Clark)의 페이스북 블로그 게시글을 통해 문제를 완전히 인정하게 되었다.

페이스북의 데이터 유출이라는 이번 혼란 사태의 한 가지 원인은 페이스북이 이번 데이터 유출이 발생한 보안 침입 및 정보 노출 사태를 여러 차례 겪었기 때문이다. 2019년 4월, 페이스북 ID와 댓글, 좋아요, 반응 데이터를 포함한 5억 4,000만여 명의 기록이 서드파티 때문에 노출되고, 보안 기업 업가드(UpGuard)에 공개됐는가? 혹은 2018년 페이스북 정책 변경 전, 사이버 범죄 세력이 SNS에서 스크랩한 수억 명의 연락처와 이름, 페이스북 ID를 포함한 4억 1,900만 명의 페이스북 사용자의 기록이 공개적으로 노출돼 2019년 9월, 미국 온라인 IT 매체 테크크런치에 보도된 것인가? 2018년, 케임브리지 애널리카 데이터 유출 사건과 관련해, 페이스북이 적절한 조처를 했는가? 혹은 이번 개인 정보 유출 사태가 2018년, 토큰 접근 권한을 침해하고 사실상 페이스북 3,000만여 명의 모든 개인 정보를 유출한 페이스북 데이터 유출 사건과 관련이 있는가?

사실 위에 언급된 사항 중 답은 없다. 페이스북이 결국 와이어드의 질문에 대한 답변과 4월 6일 자 블로그 게시글을 통해 설명한 바와 같이 최근 공개된 5억 3,300만 명의 기록은 사이버 범죄 세력이 페이스북의 주소록 연락처 가져오기 기능의 취약점을 악용하면서 일으킨 것과는 완전히 다른 종류의 데이터이다. 페이스북은 2019년 4월, 취약점 패치 작업을 했다고 주장했으나 그전에는 버그가 얼마나 많이 악용됐는지 확실하지 않다. 5억 명이 넘는 106개국 사용자의 정보 중, 유출된 정보에는 페이스북 ID와 연락처 및 마크 저커버그와 미국 교통부 장관 피터 부티지지, 유럽연합 데이터 보호위원회장 디디에 레인더스(Didier Reynders) 등 초기 페이스북 사용자의 각종 정보가 유출됐다. 그 외 피해자 중, 연방거래위원회(FTC) 관계자 61명과 페이스북 상세 정보에 자신을 법무장관이라고 밝힌 사용자 651명이 포함됐다.

자신의 연락처나 이메일 주소가 유출됐는지 알아보려면, 데이터 유출 추적 사이트 ‘HavelBeenPwned’에 접속하면 된다. 데이터 유출 추적 서비스 창립자 트로이 헌트(Troy Hunt)는 인터넷 공간에 떠도는 두 가지 버전의 데이터 세트를 받아들이고, 흡수했다.

헌트는 “기업에서 데이터 노출에 연루됐다고 알린 것과 모두가 전망한 정보 간 공백이 발생하면 혼란이 발생한다”라고 말했다.
 
“페이스북은 사면초가에 빠졌다. 과거, 어떠한 사실도 공개하거나 알리지 않은 것이 분명하기 때문이다”
아쉬칸 솔타니, 전직 FTC 수석 기술자

과거, 페이스북이 데이터 유출 사태의 근원을 인정하게 된 가장 가까운 때는 2019년 가을에 보도된 뉴스 기사의 댓글을 통한 것이었다. 당시 포브스는 인스타그램의 연락처 가져오기 기능을 위한 메커니즘과 관련된 취약점 문제를 보도했다. 인스타그램의 버그 때문에 사용자 이름과 연락처, 인스타그램 관리 정보, 계정 ID 번호 등이 유출됐다. 당시 페이스북은 해당 결함을 발견한 연구원에게 페이스북 보안 팀이 “이미 내부적으로 발견하고, 문제를 인지했다”라고 주장했다. 페이스북 대변인은 포브스에 “잠재적인 결함 악용 문제를 막는 데 도움이 되기 위해 인스타그램의 연락처 가져오기 프로그램을 바꾸었다. 이번 문제를 제기한 연구원에게 감사하다”라고 말했다. 포브스는 2019년 9월에 보도한 기사를 통해 인스타그램의 취약점이 악용됐다는 증거는 없으나 반대로 악용된 사례가 없다는 증거도 없다는 사실에 주목했다.
 
[사진=Unsplash]
[사진=Unsplash]

페이스북은 4월 6일(현지 시각)에 게재한 블로그 글에 페이스북이 2019년 데이터 유출 사태를 공개적으로 인지하고 있었다는 증거로 미국 온라인 테크 매체 씨넷의 2019년 9월 기사를 제시했다. 그러나 씨넷의 기사는 와이어드도 2019년 5월, 사용자 이름과 연락처 등 페이스북의 데이터 문제와 관련해 연락한 적이 있는 어느 한 연구원의 연구 결과를 인용했다. 해당 연구원이 알아낸 유출 문제는 테크크런치가 2019년 9월에 보도한 내용과 똑같았다. 그리고, 2019년 9월에 씨넷이 보도한 기사에서 설명하는 내용도 똑같다. 당시 페이스북은 테크크런치에 “데이터 세트는 오래됐으며, 2018년 이전에 사용자가 연락처를 입력하여 타인을 찾는 기능을 제거하기 전 얻은 정보인 것으로 보인다”라고 밝혔다. 연락처 입력을 통한 사용자 찾기 기능은 페이스북의 검색 및 계정 복구 툴이 대규모 스크랩에 악용될 위험성을 줄이기 위한 목표로 등장한 기능이다.

범죄 조직 온라인 웹사이트에 떠돌아다니는 데이터 세트는 종종 다른 덩어리로 함께 압축되고 변형된 뒤 재조합되면서 판매된다. 이는 정확한 데이터 크기와 범위의 변화를 설명할 수 있다. 다만, 테크크런치가 보도한 페이스북의 2019년 데이터 유출 문제 관련 코멘트는 2018년 중반 혹은 그 이전에 유출된 것임을 기반으로 판단했을 때, 이번에 대거 유출된 데이터 세트는 아닌 것으로 보인다. 또, 두 가지 중요한 데이터는 각각의 지역에서 영향을 받은 사용자 수와 속성이 다르다. 페이스북은 2019년 9월에 보도된 씨넷 기사 관련 질문에 답변을 거부했다.

모든 문제를 정리하는 것이 지친다고 느낀다면, 이는 페이스북이 며칠간 실질적인 답변을 하지 않고, 어느 정도 혼란을 만든 탓이다.

전직 FTC 수석 기술자인 아쉬칸 솔타니(Ashkan Soltani)는 “페이스북이 ‘페이스북 시스템에 버그가 발생해, 추가로 수정했다. 따라서 사용자가 영향을 받을 수 있다’라고 말한 적이 있는가? 페이스북이 이와 같은 안내를 한 것을 본 기억이 없다. 그리고, 지금 페이스북은 변명의 여지가 없다. 페이스북이 어떠한 문제도 공개하거나 안내한 적이 없는 것이 분명하기 때문이다”라고 주장했다.

페이스북이 블로그 게시글로 데이터 유출 사실을 인정하기 전까지만 하더라도 페이스북은 2019년 페이스북 연락처 가져오기 기능 보안 피해 사실을 공개적으로 인정했다는 증거로 포브스 기사를 제시했다. 그러나 페이스북이 증거로 제시한 포브스 기사는 페이스북 사용자 5억 3,300만 명의 데이터 유출이 발생한 원인과 대비되는 인스타그램의 문제와 비슷한 듯하지만, 관련이 없어 보인다. 그리고, 페이스북은 사용자에게 데이터 유출 사실을 개별로 혹은 기업 공식 보안 소식을 통해 알린 적이 없다는 사실을 인정했다.

4월 6일, 아일랜드 데이터 보호 위원회(Irish Data Protection Commission)는 공식 성명을 통해, 개인 정보 유출 사태와 관련 어떠한 적극적인 연락을 받지 못했다고 밝혔다.

아일랜드 데이터 보호 위원회가 공개한 시간에 따르면, “이전의 데이터 세트는 2019년과 2018년, 페이스북 웹사이트 대규모 스크랩과 관련해 공개됐다. 당시 페이스북은 2017년 6월부터 2018년 4월 사이 페이스북이 폰 조회 기능의 취약점을 차단하면서 발생한 것이라고 밝혔다. 스크랩이 개인정보보호 규정(GDPR) 제정 전에 발생했기 때문에 페이스북은 당시 문제를 GDPR 규정에 따른 개인 데이터 침해로 알리지 않기로 선택했다. 새로 공개된 데이터 세트는 2018년의 원본 데이터 세트 보안을 침해한 것으로 보이며, 이를 2018년 이후에 발생한 것으로 추정되는 추가 데이터 기록과 결합한 듯하다”라고 설명했다.

페이스북 관계자는 페이스북 자체에서 유출한 정보부터 다른 기업을 통해 탈취한 정보까지 수많은 사용자 데이터가 반공개적으로 유출돼, 사용자에게 2019년도 연락처 가져오기 악용 문제를 정확히 알리지 않았다고 밝혔다. 게다가 사이버 범죄 세력은 악용을 위해 그와 관련된 사용자 이름 및 기타 데이터를 유출하기 위해 연락처를 공급하여 기능을 조작해야 했다. 이와 관련, 페이스북은 자체적으로 사용자 연락처를 유출한 적이 없다고 주장했다. 클라크는 페이스북 블로그 게시글에 “사이버 범죄 세력이 사용자 데이터를 탈취한 방식이 페이스북 시스템 해킹이 아니라 2019년 9월 이전의 페이스북 플랫폼에서의 스크랩 작업이라는 사실을 이해하는 것이 중요하다”라고 작성했다. 페이스북은 대규모 스크랩을 통한 합법적 기능의 취약점 악용과 시스템 내 결함 발견을 통해 백엔드에서 데이터를 획득하는 것 간의 차이점을 설명하고자 한다. 여전히 전자는 취약성 공격에 해당한다.

그러나 페이스북 데이터 유출로 영향을 받은 이에게는 별 차이점이 없는 공격에 불과하다. 사이버 범죄 조직은 단순히 동원 가능한 모든 국제 전화번호를 실행하면서 타격을 받은 데이터를 수집할 수 있다. 페이스북 버그는 사이버 범죄 조직에 연락처와 이름을 포함한 공공 정보 간 사라진 연결 관계를 제공했다.

연락처는 과거, 전화번호부에 공개됐으며 지금은 어디서나 볼 수 있는 식별 정보로 진화하면서 사용자를 다양한 형태의 디지털 생활과 연결시켰다. 그와 동시에 사이버 범죄 세력에게 새로운 중요한 의미와 잠재적인 가치를 부여한다. 심지어 연락처는 SMS를 통한 이중 인증 코드 받기 및 통화로 신원 확인을 위한 정보 제공 등 민감한 인증 정보 역할을 하기도 한다. 연락처가 디지털 보안에 중요한 요소라는 개념은 이전부터 제기되었다.

보안 기업 제로폭스(ZeroFox) 소속 위협 정보 총괄인 잭 알렌(Zack Allen)은 “단순히 패스워드가 포함되지 않았거나 민감 데이터가 최대한 포함되지 않았다는 이유만으로 보안 침해가 위험하지 않다고 생각하는 것은 잘못된 생각이다. 오래된 데이터가 유출된 것이므로 이번 페이스북 사용자 정보 대규모 유출 사태가 심각하지 않다고 생각하는 것도 마찬가지로 잘못되었다. 게다가 전화번호는 인증의 한 형태로 두렵게 만든다. 불행히도 오늘날 전화번호가 인증 수단으로 활용되면서 자주 유출되기 때문이다”라고 설명했다.

페이스북은 그동안 반복하여 사용자 번호를 잘못 관리해왔다. 페이스북은 사용자 연락처를 자사의 그래프 서치 API 툴을 통해 손쉽게 대규모로 수집할 수 있는 정보로 취급해왔다. 당시 페이스북은 연락처를 보안 취약점으로 보지 않았다. 그래프 서치에 연락처와 사용자가 자신의 프로필에 공개한 다른 데이터만 드러났기 때문이다. 그러나 지난 몇 년간 페이스북은 사용자가 자신의 데이터를 공개하더라도 연락처와 같은 데이터를 쉽게 스크랩할 수 있도록 만드는 것이 문제라는 사실을 인지하기 시작했다. 전반적으로 데이터는 개인이 의도하지 않았던 큰 규모의 사기와 피싱 발생이 가능하도록 만들 수 있다.

2018년, 페이스북은 사용자의 연락처 이중 인증 기능 기반으로 타깃 광고를 제시한 사실을 인정했다. 2018년 여름, 페이스북은 사용자가 연락처나 이메일 주소 검색을 통해 타인을 찾을 수 있는 기능 지원을 중단했다. 사용자 데이터 스크랩에 악용될 수 있는 메커니즘이기 때문이다. 페이스북에 따르면, 스크랩 기능은 테크크런치가 2019년 9월에 보도한 바와 같이 사이버 범죄 세력이 데이터 수집에 악용할 수 있는 수단이다.

그러나 사용자 전화번호 유출을 막기 위한 여러 조치에도 불구하고 페이스북은 여전히 2019년에 발생한 데이터 유출 사태를 완전히 공개하지 않았다. 연락처 가져오기 기능은 소외되고 있으며, 페이스북은 2013년2017년에도 취약점을 수정한 적이 있다.

한편, 페이스북은 2019년, 대대적인 데이터 보호 실패 문제로 설명된 문제에 FTC와의 극적인 합의에 성공했다. 당시 페이스북은 50억 달러의 벌금을 내고, 앞서 언급한 보안 인증 대체와 관련해 전화번호 대체 사용을 중단하는 것을 포함한 특정 조건에 합의하기로 했다. 대신, 페이스북은 2019년 6월 12일 이전의 모든 활동에 대한 면책권을 받았다.

그 후로 연락처 가져오기 기능을 악용한 공격 발생 여부, 그리고 그 결과가 FTC에 보고되었는가는 여전히 공개적인 의문 사항이다. 유일하게 확실한 점은 5억 명이 넘는 페이스북 사용자가 문제가 발생하지 않았을 때보다 온라인 공간에서 안전하지 않으며, 페이스북이 2년 전에 경고했을 수도 있는 새로운 사기 및 피싱 범죄에 취약해질 수 있다는 사실이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
What Really Caused Facebook's 500M-User Data Leak?
이 기사를 공유합니다
RECOMMENDED