[해설]개인정보 유출에서 해킹까지...페이스북 어떻게 당했나

개인 사생활이 기록되는 페이스북을 둘러싼 보안 사고가 끊이지 않는다. 페이스북은 올 초 캠브리지 애널리티카(CA)에 개인정보를 판매 한데 이어 해킹까지 당했다. 이번 해킹은 페이스북과 연동한 다른 웹사이트, 앱 등도 모두 위험에 처했다.

페이스북은 네트워크 해킹 공격을 당해 최소 5000만 명 이상 개인 정보가 유출될 상황에 놓였다. 정구홍 그레이해쉬 수석연구원은 “해커가 이용한 취약점은 매우 단순한 수준”이라고 분석했다. 페이스북은 화이트해커를 활용해 서비스에서 보안 취약점을 찾는 '버그 바운티'를 운영한다. 페이스북은 버그 바운티 모범 사례로 언급되는 기업이다. 김용대 KAIST 사이버보안연구센터장(교수)은 “버그 바운티를 운영하며 취약점 보완에 힘쓰는 기업도 언제든 해커 표적이 될 수 있다”면서 “공격과 방어에 끝이 없다”고 말했다.

페이스북이 해킹을 당했다. 서울 강남구에 위치한 페이스북코리아. 이동근기자 foto@etnews.com
페이스북이 해킹을 당했다. 서울 강남구에 위치한 페이스북코리아. 이동근기자 foto@etnews.com

해커는 페이스북 '공개범위 설정(뷰 애즈)' 기능 취약점을 노렸다. 뷰 애즈 기능은 이용자가 개인 정보 공개 노출 범위를 설정하는 기능이다. 해커는 액세스 토큰 코드 특정 기능을 공격해 계정을 덮어쓰는 방식으로 침투했다. 액세스 토큰은 암호 자체는 아니지만 계정에 로그인 가능한 정보를 담고 있다. 해당 액세스 토큰을 가져가면 비밀번호 없이 계정에 로그인한다.

이번 해킹은 페이스북 '뷰 애즈' 기능 내 3가지 취약점이 공통적으로 맞물리면서 벌어졌다. 먼저 '뷰 애즈'는 페이스북 내에서 다른 사람이 자신 타임라인을 볼 때 화면을 가상 체험하게 하는 기능이다. 페이스북에 '나만보기' 등과 같이 자신이 올린 게시물이 제대로 적용이 됐는지 확인하고자 하는 이들을 위해 제공하는 서비스다. '뷰 애즈' 기능 안에서 타인이 보는 화면을 가정했한다. '게시물 올리기' '그룹만들기' 등 인터페이스가 남아있으면 안 된다. 하지만 페이스북은 실수로 생일축하하기 버튼에 동영상을 업로드하게 했다.

해커는 페이스북 공개범위 설정(뷰 애즈) 기능 취약점을 노렸다. 뷰 애즈 기능은 이용자가 개인 정보 공개 노출 범위를 설정하는 기능이다.
해커는 페이스북 공개범위 설정(뷰 애즈) 기능 취약점을 노렸다. 뷰 애즈 기능은 이용자가 개인 정보 공개 노출 범위를 설정하는 기능이다.

외부 공격자는 특정 방법을 이용해 동영상 업로더에 접근했고 페이스북 모바일 애플리케이션(앱) 로그인 가능한 '액세스 토큰'을 탈취했다. 여기서 생성된 액세스 토큰을 공격자가 확인 후 계정에 접근 가능한 '키'를 가져갔다.

이번 해킹으로 페이스북 비밀번호가 노출된 것은 아니지만 탈취한 액세스 토큰을 이용해 비밀번호나 2단계 인증을 사용하지 않고도 API를 이용해 계정 정보 탈취 가능하다.

해킹 사실이 알려진 후 미국 현지에서는 집단소송에 대한 움직임까지 포착되고 있다. 캘리포니아 북부 지방법원에는 28일 페이스북을 상대로 한 고소장이 접수됐다. 소송을 제기한 이들은 페이스북이 적절한 보안조치를 취하지 않아 개인데이터 보호에 실패했다고 주장했다.

정영일기자 jung01@etnews.com