일주일 가까이 페이스북 사용자 5억 명 이상의 프로필 이름과 이메일 주소, 연락처가 온라인에 공개됐다. 페이스북이 최종적으로 근본적인 유출 원인이 2019년에 수정했다고 주장한 결함의 문제라는 사실을 파악하는 데 며칠이 소요됐다. 그러나 현재, 여러 연구원은 페이스북이 그로부터 몇 년 전에 이미 몇 가지 취약점을 인지하고 있었으며, 처음부터 대규모 스크랩을 막기 위해 훨씬 더 노력할 수 있었다고 지적한다.
문제가 되는 사안은 사용자의 연락처를 결합해, 사용자가 이미 페이스북에 가입한 주변 사람을 찾도록 하는 페이스북의 ‘콘텐츠 가져오기’ 기능이다. 많은 SNS와 커뮤니케이션 앱이 이와 유사하게 자체적인 기능을 원활한 사회적 관계 형성의 일환으로 제공한다. 그러나 페이스북의 연락처 가져오기 툴은 특히 여러 가지 문제점을 가지고 있으며, 지난 몇 년간 일부 사항을 수정한 것으로 추정된다.
2017년, 페이스북에 연락처 가져오기 기능의 취약점을 알렸던 벨기에 출신 보안 연구원 인티 데 서켈레어(Inti De Ceukelaire)는 “다른 여러 기업도 페이스북과 비슷한 문제를 다루는 데 진땀을 빼리라 확신한다. 그러나 페이스북의 성장세가 위기에 직면할 때마다 반복되는 문제이다. 따라서 페이스북은 사용자 프라이버시에 도움이 되도록 문제를 고치는 것을 두 번 생각할 것이다”라고 설명했다.
데 서켈레어와 다른 여러 연구원은 이미 페이스북에 연락처 가져오기 기능과 비슷한 문제를 경고했다. 2012년, 페이스북은 자체 사이트의 ‘내 정보 다운로드하기’ 툴이 연락처 가져오기 기능 때문에 사용자가 공개하지 않았을 때도 연락처와 이메일 정보를 유출시키도록 만든 몇 가지 변화를 선보였다. 어느 한 연구원은 2013년에 이 문제를 알렸다. 2018년, 캐나다 프라이버시 위원회와 아일랜드 데이터 보호 위원회가 문제를 조사했다.
조사 결과, “페이스북이 사용자와 사용자가 아닌 대중의 개인 정보 보호를 위해 데이터 유출에 앞서 제대로 된 보호 조치를 취하지 않은 사실을 발견했다”라고 발표되었다.
[사진=Unsplash]
당시의 사건은 비교적 최근 발생한 페이스북 논란과는 거리가 멀다. 이번 사건으로 사이버 범죄 세력이 100여 개 국에 존재할 수 있는 연락처 숫자를 전부 조합해, 페이스북을 스크랩하고는 이를 연락처 가져오기 툴에 제출한 다음 사용자 이름과 페이스북 ID, 기타 사용자가 자신의 프로필에 게재한 정보 데이터 등을 조작할 수 있게 되었다. 여전히 연락처 가져오기 툴이 민감 데이터에 접근할 위험성과 데이터와 관련, 버그 및 부적절한 행위 발생 위험성을 신중하게 살펴보아야 할 필요성이 제기되었다.
데 서켈레어가 2017년에 진행한 연구는 사이버 범죄 세력이 최근, 대규모 데이터 세트 스크랩에 사용한 수법과 훨씬 더 많은 직접적인 연관성을 지니고 있다. 데 서켈레어는 2017년 연구 결과로 “페이스북에서 개인 연락처를 찾는 것이 상대적으로 쉽다는 사실을 확인했다. 이번 연구에서 일부 벨기에 유명인과 정치인의 연락처까지 찾아냈다. 이러한 문제가 벨기에(인구 약 1,120만 명)와 같이 인구가 적은 국가에서만 효과가 있더라도 상당히 많은 사용자가 이처럼 단순하면서 위험성이 큰 프라이버시 유출 문제의 영향을 받게 될 수 있다”라고 작성했다.
데 서켈레어는 연락처 가져오기 기능을 이용한 수동이면서 제한적이지만, 효과가 있는 번호 조합 및 페이스북 사용자 정보 추출 수단을 찾아냈다. 그는 페이스북의 버그 보상 프로그램에 자신의 연구 결과를 제출했으나 와이어드가 검토한 데 서켈레어와 페이스북의 대화를 보았을 때, 페이스북은 데 서켈레어가 발견한 문제는 큰 보상을 받을 수 있는 대상이 아니라고 주장했다.
“개인적으로 페이스북이 상당한 법적 책임에 직면할 가능성을 염두에 두고 있는 것으로 보인다.”
아쉬칸 솔타니, 전직 FTC 기술자
그러나 데 서켈레어는 두 가지 중요한 쟁점을 지목했다. 첫 번째는 사이버 범죄 세력이 연락처 조합 공격으로 연락처 가져오기 기능을 악용할 더 강력하면서 효율적인 수단을 찾을 위험성이 있다. 페이스북은 데 서켈레어에게 페이스북이 연락처 가져오기 기능에 적용할 수 있는 최대한 입력할 수 있는 연락처 수와 같은 제한 사항을 변경할 수도 있다고 설명했으나 문제 자체를 취약점으로 판단하지 않았다. 더 나아가 데 서켈레어는 사용자가 페이스북 프로필에 설정하는 정보의 프라이버시 제어 기능이 ‘나를 볼 수 있는 사용자’ 기능으로 알려진 페이스북의 또 다른 프라이버시 설정 기능 때문에 저해될 수 있다는 점도 지적했다.
페이스북은 사용자가 자신의 연락처와 이메일 주소를 자신만 볼 수 있도록 설정하도록 한다. 그러나 완전히 다른 설정도 가능하게 한다. 바로 타인이 연락처 가져오기 툴을 사용해, 자신의 휴대폰 번호나 이메일 주소로 자신의 계정을 찾는지 알 수 있는 ‘나를 볼 수 있는 사용자’ 기능이다. 사용자가 프로필에서 자신의 연락처를 타인이 절대 볼 수 없도록 설정하더라도 ‘나를 볼 수 있는 사용자’ 기능 때문에 누구나 페이스북에서 연락처를 볼 수 있다. 이때, 누군가가 사용자 연락처를 페이스북에 공개된 다른 정보와 연결할 수 있다.
데 서켈레어의 연구가 진행될 시점에 페이스북은 ‘나를 볼 수 있는 사용자’ 기능 관리에서 ‘나만 보기’ 옵션을 제공하지 않았다. 당시 제공된 옵션은 ‘모두 허용’, ‘친구의 친구까지 허용’, ‘친구만 허용’ 뿐이었다. 페이스북은 2019년 5월에서야 ‘나만 보기’ 옵션을 추가했다. ‘설정&프라이버시’, ‘설정’, ‘프라이버시’에 접속해, 스크롤하면서 ‘다른 사용자가 나를 찾고 연락할 방법’을 선택한다. 그리고, ‘나를 볼 수 있는 사람’을 찾아 이메일 주소와 연락처 공개 범위를 관리해라. ‘모두 보기’가 기본으로 설정됐을 것이다.
그리고, 이제 대대적으로 공개된 2019년의 다량의 데이터 문제를 이야기해보자. 페이스북은 이를 일으킨 특정한 기술적 메커니즘을 설명하지 않았다. 그러나 @ZHacker13라고 알려진 연구원이 2019년 8월, 인스타그램의 연락처 가져오기 기능의 버그를 신고한 적이 있다. 그가 신고한 버그는 연락처 조합 공격을 통해 사용자 데이터를 추출할 수 있으며, 데 서켈레어가 2017년에 설명한 것보다 더 자동화되었으며, 효율적으로 공격을 개시할 수 있는 버그였다. 결국, 페이스북은 2019년 9월에 보안팀이 이미 내부 발견을 통해 문제를 인지한 상태라고 발표했다.
그러나 페이스북은 처음에 @ZHacker13에게 번호 조합 취약점은 사이버 범죄 세력이 특별히 어떤 특정 사용자 ID가 이메일 주소 혹은 연락처 등과 관련이 있는지 판단할 수 있도록 두지 않는 이상 ‘극도로 낮은 위험’이라고 주장했다. 2019년 9월, 포브스는 @ZHacker13의 인스타그램 보안 취약점 발견 소식을 보도했다.
4월 8일(현지 시각), @ZHacker13는 와이어드에 “페이스북은 애초부터 인스타그램 연락처 가져오기 기능 관련 내 보고를 중요한 문제로 다루지 않았다. 전체 개념을 증명했을 때도 페이스북은 달라진 것이 없었다. 포브스와 인터뷰한 뒤, 페이스북은 실수한 사실을 뒤늦게 깨닫고 결함을 수정하고는 나에게 작은 보상으로 4,000달러를 건넸다”라고 밝혔다.
페이스북은 인스타그램의 연락처 가져오기 기능의 취약점을 공식 인정하는 게시글에 “인스타그램의 연락처 가져오기 기능의 취약점은 악의적인 의도를 지닌 사용자가 인스타그램을 모방하고는 사용자와 연락처를 연결해 확인할 수 있다”라고 밝혔다.
당시의 공식 성명은 4월 7일, 5억 명이 넘는 사용자의 데이터 스크랩으로 이어진 취약점 관련 공식 성명의 내용과 비슷하다. “페이스북은 사이버 공격 세력이 페이스북 앱을 모방하고는 다량의 연락처를 업로드해, 페이스북 사용자 정보를 찾지 못하도록 변경 사항을 적용했다.”
최근, 페이스북은 스크랩을 막는 것은 끊임없이 이어지는 습격 기회 엿보기 및 방어 전쟁과 같다고 거듭 강조했다. 또, 유출된 데이터는 보건 정보나 금융 정보처럼 민감한 정보가 아니라고 주장했다. 게다가 페이스북은 스크랩으로 데이터 탈취가 이루어진 것은 사이버 범죄 세력이 페이스북의 시스템을 통해 해킹해, 데이터를 추출했다는 의미는 아니라고도 주장했다. 그러나 페이스북은 마지못해 @ZHacker13가 버그 보상 프로그램으로 알린 인스타그램 보안 취약점에 보상금을 지급하며, 연락처 가져오기 기능을 이용한 사용자 정보 유출과 같은 문제는 보안 취약점이라는 사실을 인정했다.
최근 발생한 정보 유출 사태의 상세한 시기는 여전히 확실하지 않다. 페이스북은 스크랩이 2019년 9월 전에 발생한 것이라고 주장하지만, 스크랩이 이루어진 정확한 시점과 스크랩 규모, 혹은 페이스북 측의 스크랩 발생 사실 인지 여부 등은 명확하게 밝히지 않았다. 데이터 세트 분석 내용은 최소한 2018년부터 여러 차례의 스크립이 순식간에 발생했으며, 혹은 그 이후에 발생했다면 2019년 6월에 스크랩이 이루어진 듯하다고 시사한다. 그러나 페이스북이 단어를 신중하게 선택한 사실은 미국의 연방거래위원회(FTC) 규정을 포함, 세계 여러 국가의 법률 및 합의 사항에 따라 데이터 유출 사실을 공개하지 못한 것을 조사했을 가능성을 반영한다. 페이스북은 2011년과 2019년 6월, 문제로 의심되는 사항을 발견했다면, 발견한 사실을 FTC에 알리는 데 합의했다.
전직 FTC 기술자 아쉬칸 솔타니(Ashkan Soltani)는 “페이스북이 매우 조심스러운 모습을 보이는 것은 페이스북이 해킹을 당하지 않았음을 시사한다. 개인적으로 페이스북이 상당한 법적 책임에 직면할 가능성을 염두에 두고 있는 것으로 보인다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202104/3056_4052_2758.jpg)
뉴스레터 신청