최대 6억명 계정, 암호화 과정없이 내부 직원들에게 공개

전 세계 22억명이 사용하는 페이스북이 고객 정보 노출로 도마에 올랐다.

페이스북 사용자 최대 6억명의 계정 비밀번호가 암호화되지 않고 상당 기간 노출돼 있었다고 미 언론들이 보도했다.

보도에 인용된 사이버보안 탐사 전문 블로그인 ‘크레브스 온 시큐리티’에 따르면, 페이스북 라이트, 공식 페이스북 애플리케이션, 인스타그램 이용자 중 2억명에서 최대 6억명의 비밀번호가 노출됐다.

이 블로그에 따르면, 페이스북 사용자 비밀번호는 ‘해싱’(hashing)으로 불리는 특정 암호화 장치에 의해 보호돼야 하는데 어떤 오류로 인해 비밀번호가 비암호화 문서 형태로 약 2만 명의 페이스북 직원에게 노출됐다.

블로거 브라이언 크레브스는 "비밀번호가 암호화되지 않은 채 노출돼 있어 페이스북 내부 직원들이 검색하거나 열람할 수 있었다"며 "심지어 어떤 비밀번호는 7년 동안 일반 문서 상태로 저장돼 있다"고 공개했다.

보호받지 못한 비밀번호를 쓴 사용자 계정은 2억-6억 개에 이르는 것으로 알려졌다. 페이스북 사용자는 전 세계적으로 22억 명이다.

이에 대해 페이스북측은 ‘패스워드 안전 지키기’라는 글을 올려 지난 1월 보안 점검의 결과로 이런 오류를 발견했음을 시인했다.

이어 페이스북은 오류를 모두 시정했으며, 비암호화 패스워드 파일은 오로지 내부 직원들에게만 노출된 상태였고, 회사 외부로 노출된 증거는 없다면서 영향을 받은 사용자가 패스워드를 바꿀 필요는 없다고 말했다.

한편, 이에 앞서 페이스북은 지난 13일 자정부터 페이스북, 인스타그램, 왓츠앱 등이 전세계적으로 작동 불능 상태에 빠져 사용자의 원성을 산 바 있다. 

또한 지난해 9월, 해커들이 페이스북 사용자의 전화번호와 이메일 주소 등을 무차별 수집한 사실이 밝혀지기도 했다.