2019.03.22

업데이트 : 페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출

Mark Hachman | PCWorld
페이스북 직원들이 사용자 수억 명의 비밀번호를 열람할 수 있었던 것으로 밝혀졌다. 페이스북은 이 사실을 인지하고 있으며 관련된 문제를 수정했고, 비밀번호가 노출된 사용자에게 비밀번호 변경 안내문이 나갔다고 전했다
 
ⓒ Getty Images Bank

페이스북의 이같은 발표는 연구원 브라이언 크렙스가 이 문제에 대해 직접 공개한 직후에 이뤄졌다. 흥미롭게도 페이스북의 발표에는 이 문제를 별 것 아닌 것으로 보이게 하려는 노력이 드러났다. 페이스북의 보안 및 프라이버시 엔지니어링 부사장인 페드로 카나후아티는 성명 앞부분에서 “일부” 사용자의 비밀번호에 페이스북 직원들이 액세스할 수 있었다고 밝혔다. 하지만 이후 문단에서 그는 수억 명의 페이스북 라이트(Facebook Lite) 사용자와 수백만 명의 페이스북 사용자, 그리고 수만 명의 인스타그램 사용자”에게 이 문제에 대한 알림이 갔다고 설명했다.

지난 4월 18일 페이스북은 인스타그램 계정의 비밀번호도 보안 위험에 노출됐다고 확인했다. 페이스북은 "현재 수백만 명의 인스타그램 사용자가 영향을 받은 것으로 추산한다. 페이스북의 경우처럼 영향 받은 사용자에게는 개별적으로 알릴 것이며, 저장된 비밀번호가 내부적으로 악용되거나 부적절하게 액세스된 경우는 발견하지 못했다"고 밝혔다.

참고로 페이스북 라이트는 2009년 출시된 것으로, 처음에는 미국과 인도에서 초고속 인터넷 서비스를 사용하지 못하는 사용자들을 위한 간소화된 버전의 페이스북이다. 현재는 여러 국가에서 서비스되고 있다.

페이스북의 설명에 따르면 이 문제는 내부에서만 일어난 것이다. 카나후아티는 “분명히 말하면, 이 비밀번호들은 페이스북 외부인 누구도 볼 수 없었으며, 현재까지 내부의 누구도 비밀번호를 남용하거나 부적절하게 액세스한 경우가 없었다”고 말했다.

또한, 페이스북은 비밀번호가 이렇게 저장되게 된 경로를 파악하고 문제를 수정했다고 전했다. 카나후아티는 “우리에겐 사용자의 정보를 보호하는 것보다 중요한 것은 없으며, 계속해서 보안을 증진하기 위한 노력을 할 것”이라고 말했다.
 

“직원 2만 명이 비밀번호 봤다” 연구원의 주장

크렙스의 주장은 조금 다르다. 크렙스는 페이스북 직원이 사용자 비밀번호에 접근해 남용했다는 정보는 없으나, 제보자에 따르면 직원들이 페이스북 사용자의 암호화되지 않은 비밀번호를 로깅하는 애플리케이션을 만들어서 내부 서버에 평문으로 저장했다고 주장했다.

이로 인해 2012년 이후부터 저장된 비암호화된 2억~6억에 이르는 페이스북 사용자의 비밀번호를 검색할 수 있었던 페이스북 직원이 2만 명 이상이라는 것이 크렙스의 설명이다. 스캇 렌프로라는 페이스북 엔지니어가 크렙스에게 “비밀번호가 부주의하게 기록되었지만 이로 인한 실질적인 위협은 없었다”고 말했다.

위협 여부와 상관없이, 만일 페이스북으로부터 비밀번호가 노출됐다는 안내를 받았다면 즉시 비밀번호를 변경하는 것이 좋다.

한편, 이번 사고는 페이스북이 겪고 있는 일련의 문제 중 하나다. 최근 뉴질랜드의 한 테러리스트가 페이스북 라이브를 통해 교회를 공격하는 모습을 생중계하기도 했고, 주택 및 신용 광고의 차별 방지를 위한 광고 정책도 변경했다. 이 모든 것이 단 이틀 만에 일어난 일이다. editor@itworld.co.kr


2019.03.22

업데이트 : 페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출

Mark Hachman | PCWorld
페이스북 직원들이 사용자 수억 명의 비밀번호를 열람할 수 있었던 것으로 밝혀졌다. 페이스북은 이 사실을 인지하고 있으며 관련된 문제를 수정했고, 비밀번호가 노출된 사용자에게 비밀번호 변경 안내문이 나갔다고 전했다
 
ⓒ Getty Images Bank

페이스북의 이같은 발표는 연구원 브라이언 크렙스가 이 문제에 대해 직접 공개한 직후에 이뤄졌다. 흥미롭게도 페이스북의 발표에는 이 문제를 별 것 아닌 것으로 보이게 하려는 노력이 드러났다. 페이스북의 보안 및 프라이버시 엔지니어링 부사장인 페드로 카나후아티는 성명 앞부분에서 “일부” 사용자의 비밀번호에 페이스북 직원들이 액세스할 수 있었다고 밝혔다. 하지만 이후 문단에서 그는 수억 명의 페이스북 라이트(Facebook Lite) 사용자와 수백만 명의 페이스북 사용자, 그리고 수만 명의 인스타그램 사용자”에게 이 문제에 대한 알림이 갔다고 설명했다.

지난 4월 18일 페이스북은 인스타그램 계정의 비밀번호도 보안 위험에 노출됐다고 확인했다. 페이스북은 "현재 수백만 명의 인스타그램 사용자가 영향을 받은 것으로 추산한다. 페이스북의 경우처럼 영향 받은 사용자에게는 개별적으로 알릴 것이며, 저장된 비밀번호가 내부적으로 악용되거나 부적절하게 액세스된 경우는 발견하지 못했다"고 밝혔다.

참고로 페이스북 라이트는 2009년 출시된 것으로, 처음에는 미국과 인도에서 초고속 인터넷 서비스를 사용하지 못하는 사용자들을 위한 간소화된 버전의 페이스북이다. 현재는 여러 국가에서 서비스되고 있다.

페이스북의 설명에 따르면 이 문제는 내부에서만 일어난 것이다. 카나후아티는 “분명히 말하면, 이 비밀번호들은 페이스북 외부인 누구도 볼 수 없었으며, 현재까지 내부의 누구도 비밀번호를 남용하거나 부적절하게 액세스한 경우가 없었다”고 말했다.

또한, 페이스북은 비밀번호가 이렇게 저장되게 된 경로를 파악하고 문제를 수정했다고 전했다. 카나후아티는 “우리에겐 사용자의 정보를 보호하는 것보다 중요한 것은 없으며, 계속해서 보안을 증진하기 위한 노력을 할 것”이라고 말했다.
 

“직원 2만 명이 비밀번호 봤다” 연구원의 주장

크렙스의 주장은 조금 다르다. 크렙스는 페이스북 직원이 사용자 비밀번호에 접근해 남용했다는 정보는 없으나, 제보자에 따르면 직원들이 페이스북 사용자의 암호화되지 않은 비밀번호를 로깅하는 애플리케이션을 만들어서 내부 서버에 평문으로 저장했다고 주장했다.

이로 인해 2012년 이후부터 저장된 비암호화된 2억~6억에 이르는 페이스북 사용자의 비밀번호를 검색할 수 있었던 페이스북 직원이 2만 명 이상이라는 것이 크렙스의 설명이다. 스캇 렌프로라는 페이스북 엔지니어가 크렙스에게 “비밀번호가 부주의하게 기록되었지만 이로 인한 실질적인 위협은 없었다”고 말했다.

위협 여부와 상관없이, 만일 페이스북으로부터 비밀번호가 노출됐다는 안내를 받았다면 즉시 비밀번호를 변경하는 것이 좋다.

한편, 이번 사고는 페이스북이 겪고 있는 일련의 문제 중 하나다. 최근 뉴질랜드의 한 테러리스트가 페이스북 라이브를 통해 교회를 공격하는 모습을 생중계하기도 했고, 주택 및 신용 광고의 차별 방지를 위한 광고 정책도 변경했다. 이 모든 것이 단 이틀 만에 일어난 일이다. editor@itworld.co.kr


X