2018.10.11

구글 플러스 보안 사고 6개월간 숨긴 구글… 구글 플러스는 폐쇄 예정

Michael Simon | PCWorld
구글 플러스 사용자들은 자신들이 사용하고 있는 소셜 네트워크에 크게 관심이 없는 것이 분명하다. 월스트리트저널이 지난주 보도한 바에 따르면, 구글은 올해 초 서드파티 개발자들이 2015년 이후 50만 개의 비공개 프로필에 액세스할 수 있는 ‘소프트웨어 결함’을 발견했다. 여기에는 이름, 이메일 주소, 생일, 성별, 프로필 사진, 거주지, 직업, 관계 상태 등이 포함된다.

이는 상당히 많은 데이터가 유출됐다는 의미다. 더 나쁜 것은 구글이 이를 올봄에 알게 됐음에도 불구하고 이를 알리지 않았다는 점이다. 월스트리트저널은 구글이 공개 및 규제 감시를 피하고자 개인 정보 침해 사고를 비밀로 유지했다고 보도했다. 구글은 이에 대해서 “이러한 내용을 알릴 사용자를 정확히 식별할 수 있었는지, 오용의 증가거 있었는지, 개발자나 사용자들이 대응할 수 있는 조치가 있었는지를 고려했으며, 어떤 것도 이를 충족하지 않았다”고 전했다.

하지만 구글은 지난주 이와 관련된 행동을 취했다. 프로젝트 스트로브(Project Strobe) 이니셔티브에 대한 소개 블로그 게시물에서 구글은 구글 플러스를 유지하는 데 중대한 어려움이 있어 지금부터 내년 8월까지 일반 사용자의 구글 플러스 가입을 중단한다고 밝혔다. 프로젝트 스트로브는 서드파티 개발자가 구글 계정 및 안드로이드 디바이스 데이터에 액세스하는 것에 대한 근본적인 점검 프로젝트다. G 스위트(G Suite) 고객들이 사용하는 엔터프라이즈 에디션은 변화 없이 계속 서비스된다.

이 게시물에서 구글은 “구글 플러스가 일반 사용자나 개발자들에게 많이 사용되지 않으며, 사용자 참여에 한계가 있었다”고 인정했다. 알려진 바에 따르면, 구글 플러스 사용자 세션 중 90%가 5초 미만이다.

하지만 구글 플러스 폐쇄는 저조한 사용자 활동 때문만은 아니다. 구글이 개발자들에게 공개 및 비공개 프로필 필드에 액세스하도록 허용했다는 사실 때문이다. 구글은 3월에 패치된 이 취약점을 악용했다는 근거를 찾진 못했다고는 했으나, 이 같은 사실을 비밀로 유지하려 했던 것은 나쁜 결정이었다.

서비스 폐쇄와 함께 구글은 자사의 서비스에 다음과 같은 보안 기능을 추가할 예정이다.

• 더 세밀한 구글 계정 권한
• 지메일에 액세스할 수 있는 앱의 종류 제한
• 안드로이드 디바이스에서 전하 로그나 SMS 권한을 받을 수 있는 앱의 기능 제한
• 안드로이드 콘택트(Android Contacts) API를 통해 연락처와의 상호작용 데이터를 사용할 수 없음

그런데, 구글 플러스는 여전히 중요한 것일까? 여전히 구글 플러스 사용자는 수백만 명이며, 개인 정보에 영향을 주는 유출 사고는 중요한 문제다. 여기서 궁금한 점이 생긴다. 만일 구글이 이런 보안 사고를 대중으로부터 숨긴 것이라면, 다른 서비스에서는 이러한 사고가 나지 않았다는 것을 어떻게 믿을 수 있을까? 구글의 비즈니스 모델은 신뢰를 기반으로 하며, 위험을 내포하고 있는 사고를 6개월간이나 숨겼다는 것은 구글의 신뢰도를 떨어뜨린다. editor@itworld.co.kr
 

2018.10.11

구글 플러스 보안 사고 6개월간 숨긴 구글… 구글 플러스는 폐쇄 예정

Michael Simon | PCWorld
구글 플러스 사용자들은 자신들이 사용하고 있는 소셜 네트워크에 크게 관심이 없는 것이 분명하다. 월스트리트저널이 지난주 보도한 바에 따르면, 구글은 올해 초 서드파티 개발자들이 2015년 이후 50만 개의 비공개 프로필에 액세스할 수 있는 ‘소프트웨어 결함’을 발견했다. 여기에는 이름, 이메일 주소, 생일, 성별, 프로필 사진, 거주지, 직업, 관계 상태 등이 포함된다.

이는 상당히 많은 데이터가 유출됐다는 의미다. 더 나쁜 것은 구글이 이를 올봄에 알게 됐음에도 불구하고 이를 알리지 않았다는 점이다. 월스트리트저널은 구글이 공개 및 규제 감시를 피하고자 개인 정보 침해 사고를 비밀로 유지했다고 보도했다. 구글은 이에 대해서 “이러한 내용을 알릴 사용자를 정확히 식별할 수 있었는지, 오용의 증가거 있었는지, 개발자나 사용자들이 대응할 수 있는 조치가 있었는지를 고려했으며, 어떤 것도 이를 충족하지 않았다”고 전했다.

하지만 구글은 지난주 이와 관련된 행동을 취했다. 프로젝트 스트로브(Project Strobe) 이니셔티브에 대한 소개 블로그 게시물에서 구글은 구글 플러스를 유지하는 데 중대한 어려움이 있어 지금부터 내년 8월까지 일반 사용자의 구글 플러스 가입을 중단한다고 밝혔다. 프로젝트 스트로브는 서드파티 개발자가 구글 계정 및 안드로이드 디바이스 데이터에 액세스하는 것에 대한 근본적인 점검 프로젝트다. G 스위트(G Suite) 고객들이 사용하는 엔터프라이즈 에디션은 변화 없이 계속 서비스된다.

이 게시물에서 구글은 “구글 플러스가 일반 사용자나 개발자들에게 많이 사용되지 않으며, 사용자 참여에 한계가 있었다”고 인정했다. 알려진 바에 따르면, 구글 플러스 사용자 세션 중 90%가 5초 미만이다.

하지만 구글 플러스 폐쇄는 저조한 사용자 활동 때문만은 아니다. 구글이 개발자들에게 공개 및 비공개 프로필 필드에 액세스하도록 허용했다는 사실 때문이다. 구글은 3월에 패치된 이 취약점을 악용했다는 근거를 찾진 못했다고는 했으나, 이 같은 사실을 비밀로 유지하려 했던 것은 나쁜 결정이었다.

서비스 폐쇄와 함께 구글은 자사의 서비스에 다음과 같은 보안 기능을 추가할 예정이다.

• 더 세밀한 구글 계정 권한
• 지메일에 액세스할 수 있는 앱의 종류 제한
• 안드로이드 디바이스에서 전하 로그나 SMS 권한을 받을 수 있는 앱의 기능 제한
• 안드로이드 콘택트(Android Contacts) API를 통해 연락처와의 상호작용 데이터를 사용할 수 없음

그런데, 구글 플러스는 여전히 중요한 것일까? 여전히 구글 플러스 사용자는 수백만 명이며, 개인 정보에 영향을 주는 유출 사고는 중요한 문제다. 여기서 궁금한 점이 생긴다. 만일 구글이 이런 보안 사고를 대중으로부터 숨긴 것이라면, 다른 서비스에서는 이러한 사고가 나지 않았다는 것을 어떻게 믿을 수 있을까? 구글의 비즈니스 모델은 신뢰를 기반으로 하며, 위험을 내포하고 있는 사고를 6개월간이나 숨겼다는 것은 구글의 신뢰도를 떨어뜨린다. editor@itworld.co.kr
 

X