본문으로 바로가기
51349380 0352019032251349380 08 0801001 6.0.14-RELEASE 35 한겨레 0

수억명 비밀번호 암호화 없이 저장한 페이스북

글자크기
사이버보안 탐사블로그 폭로에

페이스북, 블로그 통해 사실 시인

“1월에 확인…유출·남용 증거없어”



한겨레

<이미지를 클릭하시면 크게 보실 수 있습니다>


페이스북이 수억명의 페이스북·인스타그램 사용자의 비밀번호를 암호화하지 않은 채 보관해온 것으로 확인됐다. 지난해 10월 페이스북 로그인을 위한 ‘액세스 토큰’이 탈취된 사실이 밝혀져 보안에 취약하다는 비판을 받아온 페이스북이 또다시 개인정보를 허술하게 다뤘다는 사실이 확인된 셈이어서 파장이 크다.

페드로 카나후아티 페이스북 보안·개인정보보호 담당 부사장은 21일(현지시각) 자사 블로그에 “이용자 수억명의 비밀번호가 암호화되지 않은 채 보관되고 있었던 사실을 확인했다”고 밝혔다. 앞서 사이버보안 탐사전문 블로그 ‘크렙스 온 시큐리티'는 “페이스북 직원들이 이용자 비밀번호를 기록한 애플리케이션을 만들어 일반 텍스트로 사내 서버에 저장해왔다”고 폭로했는데, 이 사실을 시인한 것이다. 페이스북이 밝힌 암호화 되지 않은 채 저장된 비밀번호의 숫자는 페이스북 라이트버전 이용자 수억명, 페이스북 이용자 수천만명, 인스타그램 이용자 수만명에 달한다. 비밀번호를 암호화해 저장하는 것은 보안의 기초에 해당한다.

카나후아티 부사장은 “지난 1월 정기보안 검토 과정에서 이런 사실을 확인했다”고 밝혔다. 그러나 그는 “이런 비밀번호는 페이스북 외부의 누구에게도 보이지 않았으며, 내부에서도 이를 남용하서나 부적절하게 접근했다는 증거를 발견하지 못했다”며 “현재는 문제를 해결했고 보안노력의 일환으로 계속 개선해 나갈 것”이라고 밝혔다.

페이스북은 지난해부터 허술한 개인정보보호로 숱한 위기를 겪고 있다. 지난해 초 미국 정치 컨설팅·데이터분석 업체인 캠브리티 애널리티카에 8700만명의 이용자 데이터를 공유하고, 이 데이터들이 트럼프 대통령의 선거를 위해 쓰였다는 사실이 불거져 논란이 된 바 있다. 지난해 10월에도 계정 5천만개의 ‘액세스 토큰’(사용자가 접속할 때마다 비밀번호를 입력하지 않아도 로그인할 수 있게 해주는 ‘디지털 열쇠’)이 탈취 당해, 이름·전자우편·전화번호·프로필정보 등이 유출되기도 했다.

박태우 기자 ehot@hani.co.kr

◎ Weconomy 홈페이지 바로가기: http://www.hani.co.kr/arti/economy
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani

[▶네이버 메인에서 한겨레 받아보기]
[▶한겨레 정기구독] [▶영상 그 이상 ‘영상+’]

[ⓒ한겨레신문 : 무단전재 및 재배포 금지]