2018년 9월 28일, 페이스북(현 Meta) 해킹 피해로 ‘위치·검색기록’까지 유출돼
해커는 엑세스 토큰 도용해 접근하는 방식으로 이용자 계정 탈취
새롭게 ‘메타’로 탈바꿈한 이후에도 개인정보 이슈 여전히 발생
[보안뉴스 이소미 기자] 개인정보 유출사고는 언제부터 시작됐을까? 본격적인 온라인 공간이 마련되기 전부터 이미 시작되지 않았을까 싶다. 눈에 보이지 않지만, 누구든 만날 수 있는 사이버 공간이 활성화되면서 소셜네트워크서비스(Social Network Service, 이하 SNS)는 급속히 발전해 온라인 소통 무대가 됐다. 그 무대의 중심에는 ‘페이스북’이 있었다. 그러나 과거부터 ‘메타’라는 새 옷을 입고 있는 현재까지 크고 작은 개인정보 이슈들은 계속되고 있다.
[이미지=gettyimagesbank]
지난 2018년 10월, 언론을 통해 보도된 ‘페이스북 2,900만명 개인정보 유출사건’은 보안인들의 기억에 남을 만큼 꽤 심각한 사건이었다. 2018년도만 해도 전 세계 월간 이용자 수가 22억 명을 웃돌던 세계적인 소셜미디어 플랫폼이었다. 당시 페이스북 해킹으로 유출된 개인정보에는 △페이스북 아이디 △이름 △성별 △종교 △전화번호 △이메일 주소 △위치 △학력 △경력 △거주지 △생년월일 등이 포함돼 있었다.
이 가운데 최소한의 기본 정보 외에 추가적으로 유출된 개인정보에 ‘위치 정보’와 ‘사용 기기 정보’ 그리고 ‘검색기록’까지 포함됐다는 사실에 적잖은 충격을 남겼다. 해킹 정보 사이트에서 ‘페이스북 유출 개인정보’를 판매한다는 사실이 알려지기도 했다. 이에 <보안뉴스>는 보안 관련 주요 사건 및 이슈 중 ‘페이스북 이용자 2,900만 명 개인정보 유출 사건’을 재조명했다.
▲2018년 페이스북 이용자 계정 해킹 이슈 발생 이후 로그인 시 개인정보 유출에 따른 알림화면[이미지=페이스북]
2018년 9월 14일, 이날을 시작으로 페이스북 이용자들을 상대로 해커들의 대규모 해킹이 시작됐다. 약 12일에 걸쳐 이루어졌던 해킹은 페이스북이 이틀간 자체적인 조사를 진행한 결과 사실로 밝혀지면서 그해 9월 28일(현지시각)에 공식 발표됐다. 당시 페이스북 해킹 사건의 세부 조사를 위해 미국 FBI와 함께 미 연방거래위원회(FTC), 아일랜드 데이터보호위원회(IDPC) 등이 함께 공조했다.
당시 사용된 공격 수법은 ‘엑세스 토큰 도용’
페이스북 이용자 계정을 해킹했던 해커들이 사용한 수법은 ‘엑세스 토큰 도용 공격’이었다. 이 공격은 페이스북 네트워크에 침투해 엑세스 토큰(Access token)이라는 계정 접근권을 덮어쓰는 수법으로 약 40만 개 계정을 그들의 통제 아래 두고, 이용자 계정에 접근해 개인·민감정보를 탈취했다.
해커들은 페이스북이 제공하던 미리보기 기능인 ‘뷰 애즈(View As)’의 기능적인 취약점을 악용했다. 뷰 애즈는 사용자가 자신의 계정이 다른 사람에게 어떻게 보이는지 미리 확인할 수 있는 기능이다. 여기서 해커는 타임라인 미리보기 등을 할 때 HTML에 그대로 노출된다는 점을 이용했다. 해커들은 40만 개에 달하는 이용자 계정을 해킹한 다음, 친구·지인 등 꼬리 물기식으로 접근해 최대 3,000만 명까지 액세스 가능한 디지털 키를 얻어냈다.
개인정보 유출 피해를 입었던 사용자 2,900만 명 중 절반가량에 달하는 1,400만 명은 민감정보를 탈취당했으며, 그 외 나머지 사용자 1,500만 명은 이름·전화번호·이메일 주소 등의 기본 정보만 노출됐다. 정보 유출 피해자 가운데 한국인 계정 3만 4,891개도 포함된 것으로 밝혀졌다. 일부 사용자의 경우, 금융정보인 카드번호 마지막 4자리까지 접근한 사실이 드러났는데, 이와 관련해 가이 로젠(Guy Rosen) 당시 페이스북 부사장은 “금융 관련 데이터가 다른 곳에 사용된 흔적은 없었다”고 해명했다.
곧이어 페이스북 측은 취약점 패치를 진행하고, 문제 해결 창구로 ‘헬프 센터’를 운영했다. 또한, 유출 피해자들의 액세스 토큰 리셋 절차와 함께 혹시 모를 영향을 받았을 가능성이 있는 9천만 명의 이용자 계정을 강제 로그아웃시키는 조처를 취했다.
해당 개인정보 유출 이슈로 페이스북은 다시금 ‘보안 위협’과 ‘안전성 문제’로 도마 위에 오르기도 했다. 페이스북을 악용한 계정 도용, 무차별적인 악성·성인 광고 등 크고 작은 보안 이슈들이 이어졌기 때문이다. 이러한 가운데 페이스북 계정정보를 탈취하는 악성코드까지 발견되는데, 해당 악성코드에 감염된 이용자 PC에서 모든 종류의 웹 브라우저를 탐색해 웹사이트 계정 데이터베이스를 수집했다. 해커는 이를 이용해 사용자 PC에 존재하는 페이스북 인증 정보를 확인하고 페이스북 계정정보를 쉽게 탈취할 수 있었던 것이다. 해커들은 도용된 페이스북 계정으로 허위 계정을 만들고 사용자가 허용하지 않은 무차별적인 친구 요청 및 스팸 광고·댓글 등을 지속적으로 올려 피해를 양산했다.
그날 이후에도 페이스북의 개인정보 이슈는 여전히 진행중
2004년 설립 당시 페이스북은 서비스명과 동일한 페이스북이라는 사명으로 출발했지만, 2021년 10월 28일에 ‘메타(Meta)’로 사명을 변경했다. 페이스북은 사명 변경 이전, 그리고 이후에도 개인정보 유출 이슈가 계속해서 터져 나왔다. 2021년 1월에는 전 세계 100개국의 페이스북 이용자 5억 명 이상의 개인정보가 유출됐는데, 국내 이용자만도 약 12만 명으로 추정됐다.
이와 함께 메타는 개인정보보호법 위반으로 인해 과징금을 부과받은 이력도 화려해졌다. 올해 메타는 전 세계 각국으로부터 잇따라 높은 금액의 과징금을 부과받았다. EU는 유럽의 이용자 정보를 미국에 전송한 메타를 상대로 GDPR(유럽 일반 개인정보보호법) 제정 이래 가장 무거운 과징금으로 12억 유로(13억 달러)를, 호주는 약 172억 원에 달하는 과징금을 부과했으며, 우리나라의 개인정보보호위원회도 약 65억 원에 달하는 금액을 최종적으로 부과했다.
2018년 페이스북의 개인정보 유출사건이 발생한 지 약 6년이라는 시간이 흘렀다. 코로나 팬데믹 시대를 지나면서 SNS가 소통의 주요 통로가 되고 있다. 그만큼 이용자 개인정보보호의 중요성이 높아졌고, 기업들의 개인정보 수집·이용·관리·보호에 대한 기준도 강화됐다. 그러나 무엇보다 중요한 건 이용자들의 개인정보보호 수칙 준수다. 안전한 SNS 이용을 위해서는 △주기적인 비밀번호 변경 △이중 인증 설정 △타인의 로그인 시도 여부를 알 수 있는 ‘로그인 알림 기능’ 활성화 △불필요한 로그인 연동 계정 삭제 등이 무엇보다 중요하다.
[이소미 기자(boan4@boannews.com)]
해커는 엑세스 토큰 도용해 접근하는 방식으로 이용자 계정 탈취
새롭게 ‘메타’로 탈바꿈한 이후에도 개인정보 이슈 여전히 발생
[보안뉴스 이소미 기자] 개인정보 유출사고는 언제부터 시작됐을까? 본격적인 온라인 공간이 마련되기 전부터 이미 시작되지 않았을까 싶다. 눈에 보이지 않지만, 누구든 만날 수 있는 사이버 공간이 활성화되면서 소셜네트워크서비스(Social Network Service, 이하 SNS)는 급속히 발전해 온라인 소통 무대가 됐다. 그 무대의 중심에는 ‘페이스북’이 있었다. 그러나 과거부터 ‘메타’라는 새 옷을 입고 있는 현재까지 크고 작은 개인정보 이슈들은 계속되고 있다.
[이미지=gettyimagesbank]
지난 2018년 10월, 언론을 통해 보도된 ‘페이스북 2,900만명 개인정보 유출사건’은 보안인들의 기억에 남을 만큼 꽤 심각한 사건이었다. 2018년도만 해도 전 세계 월간 이용자 수가 22억 명을 웃돌던 세계적인 소셜미디어 플랫폼이었다. 당시 페이스북 해킹으로 유출된 개인정보에는 △페이스북 아이디 △이름 △성별 △종교 △전화번호 △이메일 주소 △위치 △학력 △경력 △거주지 △생년월일 등이 포함돼 있었다.
이 가운데 최소한의 기본 정보 외에 추가적으로 유출된 개인정보에 ‘위치 정보’와 ‘사용 기기 정보’ 그리고 ‘검색기록’까지 포함됐다는 사실에 적잖은 충격을 남겼다. 해킹 정보 사이트에서 ‘페이스북 유출 개인정보’를 판매한다는 사실이 알려지기도 했다. 이에 <보안뉴스>는 보안 관련 주요 사건 및 이슈 중 ‘페이스북 이용자 2,900만 명 개인정보 유출 사건’을 재조명했다.
▲2018년 페이스북 이용자 계정 해킹 이슈 발생 이후 로그인 시 개인정보 유출에 따른 알림화면[이미지=페이스북]
2018년 9월 14일, 이날을 시작으로 페이스북 이용자들을 상대로 해커들의 대규모 해킹이 시작됐다. 약 12일에 걸쳐 이루어졌던 해킹은 페이스북이 이틀간 자체적인 조사를 진행한 결과 사실로 밝혀지면서 그해 9월 28일(현지시각)에 공식 발표됐다. 당시 페이스북 해킹 사건의 세부 조사를 위해 미국 FBI와 함께 미 연방거래위원회(FTC), 아일랜드 데이터보호위원회(IDPC) 등이 함께 공조했다.
당시 사용된 공격 수법은 ‘엑세스 토큰 도용’
페이스북 이용자 계정을 해킹했던 해커들이 사용한 수법은 ‘엑세스 토큰 도용 공격’이었다. 이 공격은 페이스북 네트워크에 침투해 엑세스 토큰(Access token)이라는 계정 접근권을 덮어쓰는 수법으로 약 40만 개 계정을 그들의 통제 아래 두고, 이용자 계정에 접근해 개인·민감정보를 탈취했다.
해커들은 페이스북이 제공하던 미리보기 기능인 ‘뷰 애즈(View As)’의 기능적인 취약점을 악용했다. 뷰 애즈는 사용자가 자신의 계정이 다른 사람에게 어떻게 보이는지 미리 확인할 수 있는 기능이다. 여기서 해커는 타임라인 미리보기 등을 할 때 HTML에 그대로 노출된다는 점을 이용했다. 해커들은 40만 개에 달하는 이용자 계정을 해킹한 다음, 친구·지인 등 꼬리 물기식으로 접근해 최대 3,000만 명까지 액세스 가능한 디지털 키를 얻어냈다.
개인정보 유출 피해를 입었던 사용자 2,900만 명 중 절반가량에 달하는 1,400만 명은 민감정보를 탈취당했으며, 그 외 나머지 사용자 1,500만 명은 이름·전화번호·이메일 주소 등의 기본 정보만 노출됐다. 정보 유출 피해자 가운데 한국인 계정 3만 4,891개도 포함된 것으로 밝혀졌다. 일부 사용자의 경우, 금융정보인 카드번호 마지막 4자리까지 접근한 사실이 드러났는데, 이와 관련해 가이 로젠(Guy Rosen) 당시 페이스북 부사장은 “금융 관련 데이터가 다른 곳에 사용된 흔적은 없었다”고 해명했다.
곧이어 페이스북 측은 취약점 패치를 진행하고, 문제 해결 창구로 ‘헬프 센터’를 운영했다. 또한, 유출 피해자들의 액세스 토큰 리셋 절차와 함께 혹시 모를 영향을 받았을 가능성이 있는 9천만 명의 이용자 계정을 강제 로그아웃시키는 조처를 취했다.
해당 개인정보 유출 이슈로 페이스북은 다시금 ‘보안 위협’과 ‘안전성 문제’로 도마 위에 오르기도 했다. 페이스북을 악용한 계정 도용, 무차별적인 악성·성인 광고 등 크고 작은 보안 이슈들이 이어졌기 때문이다. 이러한 가운데 페이스북 계정정보를 탈취하는 악성코드까지 발견되는데, 해당 악성코드에 감염된 이용자 PC에서 모든 종류의 웹 브라우저를 탐색해 웹사이트 계정 데이터베이스를 수집했다. 해커는 이를 이용해 사용자 PC에 존재하는 페이스북 인증 정보를 확인하고 페이스북 계정정보를 쉽게 탈취할 수 있었던 것이다. 해커들은 도용된 페이스북 계정으로 허위 계정을 만들고 사용자가 허용하지 않은 무차별적인 친구 요청 및 스팸 광고·댓글 등을 지속적으로 올려 피해를 양산했다.
그날 이후에도 페이스북의 개인정보 이슈는 여전히 진행중
2004년 설립 당시 페이스북은 서비스명과 동일한 페이스북이라는 사명으로 출발했지만, 2021년 10월 28일에 ‘메타(Meta)’로 사명을 변경했다. 페이스북은 사명 변경 이전, 그리고 이후에도 개인정보 유출 이슈가 계속해서 터져 나왔다. 2021년 1월에는 전 세계 100개국의 페이스북 이용자 5억 명 이상의 개인정보가 유출됐는데, 국내 이용자만도 약 12만 명으로 추정됐다.
이와 함께 메타는 개인정보보호법 위반으로 인해 과징금을 부과받은 이력도 화려해졌다. 올해 메타는 전 세계 각국으로부터 잇따라 높은 금액의 과징금을 부과받았다. EU는 유럽의 이용자 정보를 미국에 전송한 메타를 상대로 GDPR(유럽 일반 개인정보보호법) 제정 이래 가장 무거운 과징금으로 12억 유로(13억 달러)를, 호주는 약 172억 원에 달하는 과징금을 부과했으며, 우리나라의 개인정보보호위원회도 약 65억 원에 달하는 금액을 최종적으로 부과했다.
2018년 페이스북의 개인정보 유출사건이 발생한 지 약 6년이라는 시간이 흘렀다. 코로나 팬데믹 시대를 지나면서 SNS가 소통의 주요 통로가 되고 있다. 그만큼 이용자 개인정보보호의 중요성이 높아졌고, 기업들의 개인정보 수집·이용·관리·보호에 대한 기준도 강화됐다. 그러나 무엇보다 중요한 건 이용자들의 개인정보보호 수칙 준수다. 안전한 SNS 이용을 위해서는 △주기적인 비밀번호 변경 △이중 인증 설정 △타인의 로그인 시도 여부를 알 수 있는 ‘로그인 알림 기능’ 활성화 △불필요한 로그인 연동 계정 삭제 등이 무엇보다 중요하다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 THJ.jpg)
 TH.png)
 TH.jpg)
.jpg)
 TH.jpg)
 th.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
