사용자 로그인 신원 정보 탈취나 해킹 공격, 사용자 이메일 계정 보안 침해 이후 접근 권한을 악용한 악성 계정 복구 실행이 되었든 악의를 지닌 세력의 페이스북 계정 장악 위험성은 언제든지 도사리고 있다. 그러나 그와 동시에 페이스북 사용자는 패스워드나 로그인에 필요한 달느 정보를 잊었다면, 접근 권한을 되찾을 수 있어야 한다. 계정 회복 과정은 어느 디지털 서비스에서든 전형적인 긴장 관계를 유발한다. 그러나 사용자 수가 30억 명에 육박한다면, 그 위험성은 최고조에 이른다. 이제 페이스북의 모기업인 메타는 계정 복구 과정을 개선하면서 사용자 활동에 피해를 주거나 계정 보안을 저하하는 일 없이 악성 활동으로 의심되는 행위를 감지하고자 2021년 내내 펼친 사용자 계정 보호 균형을 위한 행동 신규 심층 분석 자료를 공유한다.
메타는 그동안 사용자의 연락 지점 설정 옵션이나 이메일 주소, 연락처 등 페이스북이 사용자에게 계정 복구 시 연락할 외부 서비스를 검증하면서 확장하는 데 주력했다. 메타는 와이어드에 페이스북 계정 1/4이 연락 지점 악용으로 보안 침입 문제가 발생하기 시작한다고 전했다. 그러나 메타는 지금까지 사용자의 연락 지점으로 계정 복구에 성공할 확률을 두 배 높이기도 했다고 밝히며, 사용자이 계정 유지와 악의적인 공격 세력 차단 간 차이가 매우 적다는 점을 강조했다.
메타 보안 정책 국장 나다니엘 글레처(Nathaniel Gleicher)는 “계정 복구 과정에 근본적인 피드백 루프가 있다. 그리고 계정 보안 침해 작업은 사이버 공격 세력의 영역이므로 특히 관련성이 있는 영역이다. 메타 보안 정책팀이 보안 문제를 조사할 때는 다른 영역에 적이 있다는 의미이기도 하다. 그러나 정상적인 사용자의 활동을 멈추지 않는 동시에 악의를 지닌 사이버 공격 세력의 활동을 멈출 방법을 신중하게 보아야 한다”라고 말했다.
메타는 매달 보안 침해 공격이 발생하는 계정 수나 보안 공격 후 계정 복구를 하는 사용자 수를 집계한 구체적인 통계를 제공하지 않았다.
메타는 악의적인 접근 시도 후 계정 복구를 시도하는 이와 실제 페이스북 사용자를 구분하려 다양한 평가와 검증 과제를 적용한다고 밝혔다. 페이스북은 상황에 따라 과거에 계정에 로그인한 적이 있는 기기에 코드를 전송하거나 사용자에게 신원 인증 확인 요청을 할 수 있다. 인스타그램도 사용자와 최대한 상호작용할 수 있는 계정 집단을 임의로 선정해, 사용자 신원 검증을 요청한 뒤 로그인 시도를 인증하도록 복구 기능을 탐색 중이다.
[사진=Unsplash]
페이스북 계정 복구 기능 대부분 사용자 기반의 규모를 자동으로 다룬다. 그러나 2021년, 인간 직원과 계정 복구 문제를 상담할 실시간 채팅 기능을 지원하는 사용자 집단 범위를 확장했다. 메타는 2022년 10월, 계정 복구 흐름의 일부분으로 페이스북 시스템은 9개국 사용자 130만 명을 대상으로 실시간 지원 기관과의 복구 작업 기능을 제공했다고 밝혔다. 추후 지원 범위를 30개국으로 넓힐 계획이다. 글레처 국장은 실시간 채팅 기능을 서서히 배포해왔으며, 메타는 이를 바탕으로 시스템을 개선하고는 사이버 공격 세력이 소셜 엔지니어를 악용하거나 보안 관리 담당자를 속여 부적절한 접근 권한을 허용할 위험성을 줄일 수 있다고 주장한다.
메타는 지금까지 역설계 개념을 적용해, 사이버 보안 위험성을 무시하고 대비하지 않는 일이 발생하지 않도록 공격자가 특정 요소를 악용할 가능성을 추측하면서 시스템을 구축했다.
글레처 국장은 “적의 영역에서 생활하면서 공격자가 계속 시스템을 악용할 것을 예상할 수 있다. 시스템 악용 문제를 퇴치할 한 가지 방법은 시스템을 구축할 때마다 해결책을 서서히 배포하고는 악용 과정을 조심스럽게 관측한 뒤 신속하게 시스템을 구축하여 보호하는 것이다. 그러나 모두 반응에 따른 해결책이며, 순전히 문제가 발생할 때 대응하는 방식에는 신중한 태도를 취하고자 할 것이다. 위협 아이디어 제시는 전략적 사전 계획과 긴급 모의 훈련, 적의 공격 행위 모의팀과 적의 공격 방어 모의팀, 시스템 공격과 방어 관점 통합 기법 모두 결합하여 메타가 고려하는 신제품과 다가올 문제, 정책, 메타 내부 관계자와 외부 사용자 모두 모두 적과 방어 세력의 관점에서 각각 보안을 고려하여 행동을 검토할 때 의존하도록 구축한 시스템이다”라고 말했다.
메타는 일부 같은 신호 분석 방식을 사용해, 피싱 공격이나 멀웨어 유포 대상이 되었을 때 페이스북 메신저와 인스타그램 사용자에게 의심스러운 링크를 스팸으로 자동 분류하도록 사소한 변화를 적용하고자 한다. 또한, 사용자가 신뢰할 만한 이로 위장한 악의적인 사용자로 의심할 수 있는 새로운 계정과 소통할 때 경고를 전송하는 기능을 확대하고자 한다.
우연히 정상적인 콘텐츠를 막거나 사용자를 차단하지 않고 모든 보안 구성요소를 적용하기 어렵다. 그러나 메타는 여전히 사용자 활동과 계정 보안 간 균형을 찾고자 한다. 그리고 마지막으로 더 많은 사용자의 계정 복구는 사용자 유지에도 긍정적인 영향을 미치는 일이다. 따라서 페이스북 사업에도 긍정적인 일이다.
글레처 국장은 “공격자가 이메일 보안을 침해한 일은 메타의 직접적인 통제 권한 바깥의 일이다. 또, 무조건 메타의 자산을 겨냥한 보안 침해가 발생했다는 의미도 아니다. 그러나 메타는 사용자 수가 많다는 점에서 매우 중요한 광범위한 책임을 져야 한다”라고 말했다.
모든 디지털 서비스에 항상 적용되는 바와 같이 온라인 계정을 보호할 가장 좋은 방법은 패스워드 매니저를 사용해 강력한 보안 수준을 갖춘 고유의 패스워드를 설정하는 것이다. 그리고 2단계 계정 인증 기능을 제공하는 모든 서비스에서 2단계 인증을 활성화해야 한다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202212/4429_5833_3821.jpg)
뉴스레터 신청