• 최종편집 2024-07-15(월)
 
페이스북1.png▲ 해킹 공격을 당해 5천만 명의 사용자 개인정보가 유출된 페이스북. ⓒ 연합뉴스
 

'뷰 애즈' 기능 허점 공격, 피해 확산 막으려 9천만 개 계정 강제로 로그아웃

페이스북, FBI에 신고했지만 아직 해킹 공격 주체나 피해 규모 등 파악 못해

(시큐리티팩트=김한경 총괄 에디터)

세계 최대의 소셜미디어 페이스북이 해킹 공격을 받아 사용자 약 5천만 명의 개인정보가 유출됐다. 미국 뉴욕타임즈(NYT)는 “페이스북 창사 이래 최대 규모의 해킹 사건”이라고 보도했다.

금년 3월 영국 데이터 회사 케임브리지 애널리카(CA)가 페이스북 사용자 8천7백만 명의 정보를 무단 도용한 사실이 드러난데 이어 또 다시 페이스북의 허술한 사용자 정보관리 문제가 터진 것이다.

지난달 28일(현지시각) 페이스북은 공식 성명을 통해 “지난해 7월부터 약 5천만 명의 사용자 계정에 대한 해킹이 발생한 사실을 최근 파악했다”고 밝혔다.

마크 저커버그 페이스북 최고경영자(CEO)는 취재진과 콘퍼런스콜에서 "이 문제를 매우 심각하게 취급하고 있다. 회사 차원에서 주요 보안 조처를 모두 취하고 있다"고 말했다.

페이스북은 CA 사태 이후 진행해온 보안시스템 점검 과정에서 해킹 사실을 파악했다. AP·로이터통신은 페이스북을 노린 해커들이 '뷰 애즈'(View As) 기능에 침입했다고 전했다.

사용자가 자신의 계정이 다른 사용자들에게 어떻게 보이는지 미리 확인할 수 있는 기능인 '뷰 애즈'는 사용자 본인뿐 아니라 제3자도 접근할 수 있게 만들어져 있다.

해커들은 '뷰 애즈'에 다량 복제가 가능한 버그를 심는 수법으로 계정의 보안 장벽을 뚫은 것으로 보인다. 페이스북은 "해커들이 뷰 애즈 기능을 통해 계정에 접근할 수 있는 토큰을 훔친 걸로 보인다"면서 "현재 조사의 초기 단계에 있다"고 말했다.

접근 토큰은 사용자들의 로그인 상태를 유지하는 데 있어 ‘디지털 열쇠’ 역할을 한다. 이것 때문에 사용자들은 페이스북을 켤 때마다 로그인을 하지 않아도 된다.

해커들은 뷰 애즈를 해킹 루트로 활용해 사용자들의 계정 접속 정보를 통째로 빼냈다. 따라서 업계에서는 페이스북 계정으로 이용할 수 있는 인스타그램(사진 공유), 왓츠앱(메신저), 스포티파이(음원 서비스)에서도 피해가 발생할 우려가 있다고 보고 있다. 

페이스북은 피해 확산을 막기 위해 개인정보가 유출된 약 5천만 명의 계정을 강제로 로그아웃했다. 또 지난해 7월부터 뷰 애즈 기능을 한 번이라도 사용한 4천만 개 계정도 강제 로그아웃했다. 

페이스북은 미 연방수사국(FBI)과 유럽지사가 있는 아일랜드 데이터보호위원회(DPC)에 해킹 사실을 신고했다. 하지만 아직까지 해킹공격 주체 및 배후, 피해 규모, 유출된 정보 종류를 파악하지 못하고 있다.

페이스북 이용자 수는 전 세계적으로 22억 명에 달한다. 페이스북은 각각 수억 명의 이용자를 거느린 '왓츠앱'과 '인스타그램'을 자회사로 두고 있다.

김한경 총괄 에디터 겸 연구소장 기자 khopes58@securityfact.co.kr 이 기자의 다른 기사 보기
태그

전체댓글 0

  • 80844
비밀번호 :
메일보내기닫기
기사제목
또 뚫린 페이스북 해킹…사용자 5천만 명 개인정보 유출
보내는 분 이메일
받는 분 이메일