What you need to know about the Facebook data leak

페이스북 데이터 유출에 대해 알아야 할 사항

보안연구자 알론 갤이 발견한 유출 정보에는 전화번호와 이메일주소, 출신지, 성명, 생년월일 등이 포함돼 있다.

뉴스: 지난 4월 3일, 106개국 이상 5억3,300만 명의 페이스북 이용자들의 개인정보가 온라인에서 자유롭게 이용 가능하다는 사실이 밝혀졌다. 보안전문가 알론 갤(Alon Gal)이 발견한 유출 데이터에는 연락처와 이메일주소, 출신지, 이름, 생년월일 등이 포함돼 있다. 처음에 페이스북은 이 데이터 유출이 2019년에 보고된 것이며, 회사는 그해 8월 이를 유발한 취약점에 대해 이미 패치를 적용했다고 주장했다. 그러나 사실상 페이스북은 이 사실을 당시에 제대로 공개하지 않았던 것으로 보인다. 회사는 4월 6일 화요일, 제품관리 책임자 마이크 클라크(Mike Clark)가 작성한 블로그 게시물에서 마침내 이 사실을 인정했다.

어떻게 된 일인가: 블로그 글에서 페이스북은 이 데이터가 ‘악의적 행위자들’이 연락처 가져오기 도구(사용자들이 연락처 목록을 이용해 페이스북에서 친구를 찾도록 도와주는 기능)를 악용해 회원들의 프로필에서 긁어모은 정보라고 믿고 있다고 클라크는 밝혔다. 이 데이터를 정확히 언제 모았는지는 확실하지 않지만, 페이스북은 “2019년 9월 이전”이라고 주장한다. 한 가지 복잡한 요인은 사이버 범죄자들이 서로 다른 데이터세트를 결합해 갖가지 조합으로 팔아넘기는 일이 매우 흔하다는 사실이며, 페이스북은 지난 몇 년에 걸쳐 여러 많은 데이터 유출사건을 겪어왔다(가장 유명한 사례로는 캠브리지애널리티카 정보유출 사건(Cambridge Analytica scandal)을 들 수 있다).

왜 데이터 유출의 시점이 중요한가: 유럽연합의 일반개인정보보호법(General Data Protection Regulation, GDPR)은 2018년 5월에 발효됐다. 만일 GDPR 발효 이후 이 유출이 발생했다면, 페이스북은 관련 규제기관에 72시간 이내에 유출 사실을 공개해야 하는 GDPR의 규정을 따르지 않은 셈이 되어 과징금 및 제재조치에 대해 책임을 질 수도 있다. 게다가 아일랜드 데이터보호위원회(Ireland’s Data Protection Commission)도 이번 사건에 대해 조사하고 있다. 미국에서는 2년 전에 페이스북이 2019년 6월 이전의 위반사항에 대해서는 연방거래위원회(Federal Trade Commission)의 과태료를 면제 받는 계약을 체결했기 때문에 만약 그 이후 데이터 도난이 발생했다면 페이스북은 연방거래위원회에서도 시정조치를 받을 수 있다.

본인 데이터의 유출 여부를 확인하는 방법: 비밀번호가 유출되진 않았어도 사기범들은 여전히 스팸메일이나 로보콜(robocall, 미리 녹음된 내용을 무차별적으로 발송하는 스팸전화)에 이 정보를 사용할 수 있다. (미국인의 경우) 본인이 이런 위험에 처했는지 알아보려면, haveibeenpwned.com에 들어가서 본인의 이메일주소나 전화번호가 유출되었는지 확인해보면 된다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.