미국에 본사를 둔 어느 한 PR 기업 임원인 조안나 호그(Joanne Hogue)는 영국에서 근무할 당시 페이스북 계정이 해킹된 사실을 확인했다. 미국 뉴저지에서 로그인 시도가 이루어졌다는 페이스북의 경고 메일이 해킹의 첫 번째 조짐이었다. 단 몇 초 후, 호그의 페이스북 계정 비밀번호가 변경됐다. 혼란스러워진 호그는 페이스북에 로그인하려 했으나 때는 늦었다. 결국 호그의 페이스북 계정은 잠금 상태로 전환됐다.
이후 상황은 더 악화되었다. 호그는 페이스북에 비밀번호 초기화 요청 메일을 보냈으나 해커의 메일로 안내 메일이 전송됐다. 이후 해커는 호그의 계정과 연결된 연락처 정보까지 변경했다.
호그는 며칠간 페이스북에 이메일과 페이스북의 해킹 계정을 위한 셀프서비스 등을 통해 1일 5회 연락했다. 일주일 뒤 페이스북에 계정 복구 소식을 안내받았다. 호그는 “페이스북은 내 휴대전화로 비밀번호 변경 링크를 보냈다고 답변했다. 그러나 페이스북이 링크를 전송한 번호는 다른 이의 번호이기 때문에 효과가 없었다”라고 말했다.
해커의 추가 공격 우려 때문에 실명 공개를 거부한 또 다른 페이스북 사용자인 크리스(Kris)는 2021년 8월 말, 해커 조직이 자체 이메일 계정에 이중 인증 제도를 추가하면서 자신의 페이스북 계정이 잠금 설정이 되는 문제를 겪었다고 밝혔다. 크리스는 “페이스북의 고객 도움 센터에서도 문제를 해결하지 못했다. 페이스북 계정 초기화 방법은 안내받았으나 해커가 탈취한 계정에 이중 인증 제도가 새로이 설정될 때 해결할 방법은 안내받지 못했다”라고 말했다.
호그와 크리스의 사례 모두 드문 사례는 아니다. 30억 명에 가까운 페이스북의 광범위한 사용자 기반은 사기꾼과 해커 모두 페이스북을 공격 수단으로 눈여겨 보게 되는 요인이다. 아직 계정 해킹 피해를 당하지 않았더라도 언젠가는 피해 대상이 될 수도 있다. 페이스북 계정 해킹 시 피해 사실을 알릴 방법과 대처 방안, 계정 보호 방법 모두 아래와 같이 설명한다.
[사진=Unsplash]
페이스북 계정 해킹 과정은?
페이스북은 보안 상태와 프라이버시 보호 관행 때문에 대대적인 비판을 받았다. 지금까지 페이스북 해킹은 셀 수 없을 정도로 많이 발생했으며, 2018년 케임브리지 애널리티카 정보 유출 사건 이후 페이스북의 보안 및 프라이버시 관련 명성은 완전히 복구되지 않았다.
최근 발생한 여러 차례의 데이터 유출 사태와 함께 다크웹에는 페이스북 사용자 명과 비밀번호 수백만 개가 노출됐다. 다크웹에 유출된 상세 정보는 범죄 세력이 피싱 공격을 이용해 가짜 로그인 페이지를 통해 비밀번호를 탈취하거나 피해자가 현금 이체를 하도록 속이면서 손에 넣을 수 있는 정보이다. 페이스북 메신저의 한 가지 유명한 사기 수법은 가짜 영상을 이용해 피해자를 가짜 로그인 페이지로 유도한다. 2017년에 처음 발견된 "당신이 맞습니까(is that you)"라는 이름의 영상은 페이스북 기밀 정보를 탈취하고는 기기에 멀웨어를 감염시킨다.
사이버 보안 기업 F-시큐어(F-Secure) 소속 위협 정보 애널리스트인 클로이 매튜스(Chloe Matthews)는 “해커 세력은 신원 정보를 탈취해, 피해자의 프로필 신뢰도와 피해자의 페이스북 친구를 공격에 악용하고자 한다. 해커는 피해자의 프로필을 이용해 멀웨어를 배포하거나 피싱 공격을 개시한다”라고 설명했다.
페이스북 계정 해킹 사실, 어떻게 알릴까?
페이스북 계정 해킹의 첫 번째 징조는 주로 사용자의 패스워드 변경 사실을 안내하는 이메일로 확인할 수 있다. 이후 해커가 사용자 계정 복구 옵션과 이메일 주소를 변경하면서 사용자 계정을 잠금 설정할 것이다. 테크 연구 기업 컴패리테크(Comparitech)의 프라이버시 옹호론자인 폴 비쇼프(Paul Bischoff)는 “갑자기 페이스북에서 로그아웃된 후 비밀번호 정보가 일치하지 않는다면 해킹을 당한 상태일 수도 있다”라고 말했다.
일부 사이버 범죄 세력은 사용자 계정 보안을 약화하고 잠금 설정한 뒤 계정 비밀번호를 변경하고는 한동안 아무것도 하지 않을 것이다. 이와 관련, 매튜스는 “일부 사용자의 페이스북 계정은 해킹된 후 한동안 비정상적인 활동이 감지되지 않는다. 이후 해킹된 페이스북 계정이 외부 기관에 판매된다”라고 전했다.
일부 해커 세력은 해킹 사실을 눈치채지 못하도록 하기 위해 사용자의 비밀번호를 변경하지 않을 수도 있다. 보안 기업인 소포스(Sophos) 소속 수석 연구 과학자인 폴 더클린(Paul Ducklin)은 “해커 세력은 탈취한 계정을 주기적이지는 않더라도 장기간 사용하려고 하며 그와 동시에 해킹 사실이 확실히 드러나지 않도록 하고자 할 수도 있다”라고 설명했다.
확실한 해킹 징조로 페이스북 이메일 알림으로도 확인할 수 있는 페이스북 친구가 보낸 비정상적인 메시지와 자신이 등록한 기억이 없는 게시글 등장 등을 언급할 수 있다. 또, 해커는 계정 주인이 알지 못하는 계정이나 인물을 팔로우하거나 친구 요청을 보낼 수도 있다. 더클린은 “사용자가 자신의 계정 접근과 게시글 게재 권한을 지닌 페이스북 앱은 사용자 계정 내부에서부터 위험성이 발생하면서 해커가 피해자 정보를 얻게 된다. 혹은 사용자가 원하지 않는 게시글을 게재할 수도 있다”라고 덧붙였다.
페이스북 계정 복구 단계는?
페이스북 계정 침해를 우려한다면, 데이터 다운로드를 요청할 수 있다. 매튜스는 “데이터를 다운로드하면 변경 사항을 모두 볼 수 있다. 그리고, 계정에 로그인한 기기 정보와 위치도 확인할 수 있다”라고 조언했다.
처음에는 페이스북이 제공하는 셀프서비스 계정 복구 절차를 따라야 한다. 그리고, 계정 보안 침해와 관련해 어떤 경고를 받았는지 알리고, 신원을 추가로 확인하기 위해 여권 정보나 운전면허증을 추가로 제시한다. 그와 함께 페이스북 친구에게 계정 해킹 사실을 알려야 한다. 비쇼프는 친구에게 해킹 사실을 알리는 것이 계정 복구 속도를 높일 방법이라고 말한다. 그는 “페이스북이 특정한 계정과 관련된 해킹 보고를 다수 발견한다면, 더 빨리 대응할 수 있다”라고 언급했다.
해커가 계정 잠금 설정을 했다면, 운전면허증 등을 이용해 페이스북에 신원을 추가로 인증할 수 있다. 또, 보안 설정에 ‘신뢰할 수 있는 연락처’ 옵션이 있다. 계정 해킹 시 사용자 신원을 검증할 수 있는 친구를 지정하는 기능이다.
호그는 해킹 계정 당시 페이스북이 운전면허증을 신원 인증 수단으로 받아들이지 않을 수도 있다고 말한다. 이후, 호그는 트위터를 통해 어느 한 자칭 사이버 보안 전문가가 100달러를 건네면 페이스북 계정을 복구하겠다고 제안했다고 밝혔다. 호그는 당시 제안을 거절했다.
결국 호그는 친구가 보낸 영상을 시청한 뒤 페이스북에 다시 접촉하면서 페이스북 계정을 복구했다. 호그는 페이스북에 접속했을 때, 페이스북에 이전에는 사용할 수 없었던 복구 옵션이 추가된 것을 확인했다. 호그는 “페이스북 친구 5명에게 해킹 사실을 확인시키고, 몇 가지 기억을 더듬어 보았다. 놀랍게도 계정 복구 노력이 성공하여 계정 잠금 설정을 해제할 수 있었다”라고 말했다.
페이스북 계정 해킹 예방 방법은?
계정 보호 최선책은 처음부터 계정 해킹을 방지하는 것이다. 페이스북은 계정 보안을 안전하게 유지하기 위한 보안 기능 및 팁을 제공한다. 페이스북은 “머신러닝 이용을 포함한 악성 활동을 감지하기 위해 꾸준히 시스템을 개선할 것”이라고 밝혔다.
사이버 보안 기업 이셋(ESET)의 사이버 보안 전문가인 제이크 무어(Jake Moore)는 계정 해킹 사실을 확인했을 때, 신원 인증을 돕기 위해 가정용 IP 주소에 연결된 노트북 등 페이스북이 인식할 수 있는 기기를 사용할 것을 추천한다.
그와 동시에 페이스북 계정 비밀번호에도 주목할 필요가 있다. 보안 수준이 약한 비밀번호나 재사용한 비밀번호는 해커가 페이스북 계정에 접근할 수 있는 보편적인 취약점이다. 매튜스는 “여러 사이트에서 같은 비밀번호를 재사용하면 안 된다. 패스워드 생성 프로그램이나 패스워드 매니저를 통해 강력한 보안 수준을 지닌 비밀번호를 사용하고, 고유한 패스워드임을 확인해야 한다’라고 강조했다. (와이어드는 과거 다른 기사를 통해 최고의 패스워드 매니저 프로그램을 추천했다.)
전직 마이크로소프트 임원인 트로이 헌트(Troy Hunt)가 개발한 패스워드 확인 서비스인 HaveIBeenPwned 웹사이트에 접속하여 해킹 사실을 확인할 수도 있다. 각종 신원 유출 문제를 경고하는 덕분에 필요한 상황이라면 비밀번호를 변경할 수 있다.
한편, 계정 이중 인증 기능도 비밀번호 사용과 함께 추가로 보호 수준을 강화할 수 있다. 가능하다면 이메일과 SMS를 이용한 인증 수단을 사용하지 않는 것을 추천한다. 모두 쉽게 우회할 수 있기 때문이다. 대신 유비코 유비키(Yubico YubiKey)와 같은 보인 키나 오티(Authy)를 비롯한 인증 앱을 사용하는 것이 좋다. 무어는 “페이스북 계정을 보호할 가장 좋은 방법이자 간단한 방법은 고유한 비밀번호와 함께 인증 앱이 생성한 코드를 이중 인증 수단으로 사용하는 것이다. 생성된 백업 키를 기억하고 SMS를 통한 계정 복구 옵션을 비활성화해야 한다”라고 말했다.
또한, 페이스북의 인지되지 않은 로그인 경고 알림을 활성화해 계정 탈취 시도를 더 빠르게 확인하고 다루는 데 도움을 받을 수 있다. ‘설정과 프라이버시’ > ‘활동 로그’에 접속하면, 사용자 계정의 최근 활동을 볼 수 있다. ‘설정과 프라이버시’ > ‘보안 및 로그인’에 접속하면, 계정에 로그인한 기기 종류를 볼 수 있으며, ‘모든 기기 로그아웃’ 링크도 제공한다.
‘설정’ > ‘앱과 웹사이트’를 통해 자신이 페이스북 계정 접근을 승인한 앱과 웹사이트, 게임 목록을 주기적으로 확인하고, 승인 목록을 최소화하는 것도 중요하다. 더클린은 “사용하지 않는 앱과 웹사이트, 게임의 페이스북 프로필 접근 권한을 모두 제거하라. 몇 년 전 승인한 앱을 잊기 쉽다”라고 조언했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202109/3415_4508_4133.jpg)
뉴스레터 신청