한 보안 전문가, 자신의 계정 정보 다운로드 받다가 이상한 점 발견해
지난 해 10월에 제보...해결된 건 올 8월초...GDPR 위반까지도 의심되는 상황

[보안뉴스 문가용 기자] 인스타그램이 사용자가 삭제한 그림과 비밀 메시지들을 서버에 간직하고 있다는 사실이 드러났다. 페이스북 측은 이것이 실수였다고 주장했으며, 이 ‘실수’를 발견한 보안 전문가에게 감사의 뜻으로 6천 달러를 전달했다.


[이미지 = utoimage]

페이스북으로부터 상금을 받은 보안 전문가는 소갓 포카렐(Saugat Pokharel)로, 인스타그램에 개설된 자신의 계정으로부터 지난 데이터를 다운로드 받다가, 자신이 분명히 지운 사진과 메시지가 함께 다운로드 되는 것을 보고 이상한 점을 느꼈다고 한다. 이에 대해 해외 IT 매체인 테크크런치(TechCrunch)가 보도했다.

포카렐은 자신이 발견하고 조사한 내용을 2019년 10월 인스타그램 측에 알렸다. 인스타그램이 버그바운티 프로그램을 운영 중에 있었기 때문에, 그 채널을 통하여 제보할 수 있었다고 한다. 하지만 이 문제가 해결된 건 이번 달 초의 일이었다. 근 1년여 만의 일이었다.

문제는 인스타그램이 2018년 도입한 새로운 기능에서부터 발현한 것으로 파악됐다. GDPR에 의거해 사용자가 자신의 데이터에 얼마든지 다운로드 및 접근할 수 있도록 한 기능이 바로 그것이다. 그러나 그렇기 때문에(GDPR 이후 도입되었기 때문에) 데이터 유출 사건이 발생할 경우 72시간 안에 유관 기관에 알리라는 내용의 GDPR 규정 위반이 의심되고 있는 상황이기도 하다.

게다가 인스타그램이 사용자가 삭제한 데이터를 저장하고 있다는 사실 자체가 발견된 건 이번이 처음이 아니다. 작년에도 보안 전문가 카란 사이니(Karan Saini)가 “인스타그램이 사용자들의 비밀 메시지들을 수년 간 저장하고 있다”고 발표한 바 있다. “사용자가 피드로부터 해당 메시지를 지워낸다 해도 소용이 없다”고 사이니는 주장했었다. 심지어 비활성화 되거나 정지된 계정들로부터 데이터를 주고받는 것도 확인됐다고 했었다.

인스타그램은 대변인을 통해 “취약점을 확인했고, 실제 피해가 없었음이 확인되었다”고 발표했다.

소셜미디어의 사용자 데이터 남용 문제는 끊임없이 불거지고 있다. 인스타그램의 모기업인 페이스북은 악명 높은 캠브리지 애널리티카(Cambridge Analytica) 사건 때문에 연방거래위원회로부터 50억 달러의 벌금형을 받은 상태다. 페이스북은 사용자의 동의 없이 자사 플랫폼을 통해 모은 정보를 퍼트렸었다.

트위터의 경우에도 사용자의 정보를 수집하고 활용하는 것 때문에 홍역을 치룬 바 있다. 작년 사용자 이메일과 전화번호를 수집해 표적형 광고 캠페인에 활용했다는 것을 인정했고, 이 때문에 FTC와의 협의를 진행 중에 있다. 외신에 의하면 트위터가 받을 벌금형의 규모는 최대 2억 5천만 달러가 될 예정이라고 한다.

최근 가장 뜨거운 관심을 받고 있는 소셜미디어는 틱톡(TikTok)이다. 북경의 모회사인 바이트댄스(ByteDance)가 소유하고 있으며, 최근 여러 차례 프라이버시 관련 문제로 여러 뉴스의 헤드라인에 오른 바 있다. 사용자의 비디오 데이터, 고유 식별자 정보 등을 중국에 있는 서버로 전송했다는 의혹을 받고 있다. 이 때 사용자에게 전혀 알리지 않았다고 한다. 구글은 플레이 스토어를 통해 이러한 행위를 금지하고 있기 때문에 틱톡 측은 암호화 기술을 활용해 구글을 속이며 이러한 행위를 해왔다.

심지어 틱톡은 애플 아이폰 사용자들의 클립보드 데이터까지도 훔쳐낸 것으로 밝혀졌다. 틱톡은 이러한 행위를 근절시키겠다고 지난 3월 약속했지만, 6월에까지도 이 일이 여전히 진행되고 있음이 밝혀졌다.

3줄 요약
1. 인스타그램, 사용자가 지운 정보들을 그대로 보유하고 있었음.
2. 페이스북 측은 단순 실수라며 문제를 발견한 사람에게 6천 달러를 지급함.
3. 소셜미디어에서 끊임없이 발생하는 프라이버시 문제, 근절될 수 있으려나.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>