세계 최대 소셜미디어 페이스북에서 5억명이 넘는 이용자들의 개인정보가 줄줄 새 나갔다. 이 중에는 페이스북 최고경영자(CEO) 마크 저커버그를 비롯해 국내 이용자 12만여명도 포함됐다. 유출된 정보는 이름과 거주지, 연락처, 이메일 등 개인을 특정할 수 있는 민감한 내용이다.
페이스북 측은 오래전 데이터(This is old data)라고 일축했지만, 이름과 전화번호는 쉽게 바뀌지 않는 만큼 악용될 가능성이 높다고 보안 전문가들은 지적했다. 한마디로 개인정보에 유통기한은 없다는 뜻이다. 이번 페이스북 개인정보 대량 유출로 이용자들 사이에 불안감이 커지자 본인이 유출 피해자인지를 확인하는 사이트들도 속속 등장하고 있다.
페이스북은 6일(현지시간) 뉴스룸에서 최근 불거진 개인정보 유출과 관련해 시스템 해킹이 아닌 추출(스크래핑·scraping)된 것이라고 밝혔다. 앞서 경제매체 비즈니스인사이더가 한 해킹 온라인 게시판에 페이스북 이용자 5억3300만명의 개인정보가 공개됐다고 보도한 것에 대한 설명이다.
페이스북은 "악성 행위자들이 지난 2019년 9월 이전에 페이스북 프로필 데이터를 통해 이용자들의 개인정보를 긁어갔다"며 이미 당시에 보고된 사항이라고 해명했다. 페이스북 대변인 앤디 스톤도 CNN에 "(최근 언급된 개인정보는) 오래된 데이터다. 이미 해당 문제를 발견해 수정했다"고 발뺌했다.
하지만 보안 전문가들은 정보를 빼돌리려는 사이버 범죄자에게는 오래된 데이터도 여전히 가치 있는 정보라고 꼬집었다. 예를 들어, 전화번호는 오랜 기간 바뀌지 않을 가능성이 높고, 생년월일과 출신지도 변하지 않기 때문이다.
이스라엘의 사이버 범죄 정보업체 허드슨록의 공동 창업자 겸 최고기술책임자(CTO)인 앨런 갤은 "최근 해킹 온라인 게시판에 올라온 데이터를 보면 올해 1월 해커들 사이에 돌던 페이스북 관련 전화번호들과 똑같은 것으로 보인다.
이런 사적 정보는 분명히 나쁜 이들이 사회공학적 공격이나 해킹 시도를 하는 데 이용할 것"이라고 우려했다. 사회공학적 공격은 기술적 해킹이 아닌 사람 심리를 악용해 권한을 탈취하는 방법으로, 사람들이 관심 있어 할 만한 제목의 메일을 보내 읽게 만들어 PC나 스마트폰의 빈틈을 노리는 기법이다.
갤 CTO는 "페이스북이 지금까지 개인정보 유출 사고와 관련해 과실을 인정한 걸 아직 본 적이 없다. 이미 정보가 유출된 만큼 보안 측면에서 페이스북이 할 수 있는 일은 별로 없지만, 이용자들에게 잠재적 피싱이나 사기에 당하지 않도록 주의하라고 통지할 수는 있다"고 덧붙였다.
혹시 내 개인정보도? 유출 여부 궁금하다면 이메일·연락처로 간단하게 확인
페이스북의 개인정보 대량 유출로 인해 이용자들 사이에 잠재적 피싱과 사기 우려가 커지자 본인 정보의 유출 여부를 확인하는 사이트도 등장했다. 호주의 보안 전문가 트로이 헌트가 운영하는 블로그 '해브아이빈폰드'에 접속하면 손쉽게 유출 여부를 알아볼 수 있다.
먼저 블로그 검색창에 자신의 이메일을 입력한 뒤 'pwned' 버튼을 누르면 된다. 개인정보가 유출된 경우, 붉은색 표시와 함께 비밀번호를 바꾸고, 2단계 인증을 실행하라는 경고창이 뜬다. 반면, 유출 대상자가 아닐 경우에는 초록색 표시와 함께 유출 내역이 없다는 내용이 나온다.
하지만 유출된 개인정보 5억3300만건 중 이메일 주소가 포함된 건 250만개에 그쳐 피해사례 중 일부만 확인할 수 있는 한계가 있다. 헌트는 자신의 트위터에 "이메일 주소로 개인정보 유출을 확인하는 건 극히 일부에만 해당한다"고 밝혔다.
전화번호를 입력해 찾는 방법도 있다. '뉴스이치데이' 홈페이지에 접속한 뒤 자신의 전화번호를 검색하기만 하면 된다. 전자제품 전문 웹사이트인 기즈모도는 실제로 유출된 데이터를 기반으로 테스트한 결과 간단하게 유출 여부를 확인했다고 전했다.
한편, 페이스북이 유럽 본사를 둔 아일랜드의 데이터보호위원회(IDPC)는 최근 보도를 통해 알려진 개인정보 유출 사고가 지난 2019년 당시 개인정보와 동일한 내용인지 확인하고 있다고 밝혔다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지