[디지털투데이 석대건 기자] 페이스북의 사용자 5000만 명의 개인정보가 해커에게 탈취될 위험에 놓은 것으로 드러났다.

지난 29일 페이스북은 뉴스룸을 통해 “9월 25일 오후(미국시각), 페이스북의 엔지니어링 팀은 약 5000만 개의 계정에 영향을 줄 수 있는 보안 이슈를 발견”했다고 밝혔다.

페드로 카나후아티(Pedro Canahuati) 페이스북 보안 및 개인정보 보호 엔지니어링 담당 부사장은 “타임라인 미리보기와 관련된 특정 구성요소를 만들 때, 이용자 계정의 페이스북 액세스 토큰이 HTML에 노출되는 취약점을 악용해 이뤄졌다”고 설명했다.

액세스 토큰은 이용자가 매번 페이스북 앱을 이용할 때마다 암호를 입력할 필요가 없이 계속 로그인 상태로 만드는 디지털 키와 같은 역할을 한다. 이 액세스 토큰은 페이스북뿐만 아니라, 페이스북 계정을 통해 로그인하는 다른 ‘소셜 로그인’에도 사용된다.

페이스북에 따르면, 해커는 이 액세스 토큰을 통해 사용자 계정에 로그인했으며, 연쇄적으로 또다른 페이스북 사용자의 액세스 토큰을 탈취했다고 밝혔다.

유출 이유로는 지난해 7월 동영상 업로드 기능 개편 당시, 발생한 버그를 액세스 토큰 유출 경로라고 페이스북은 밝혔다. 

페이스북 타임라인의 미리보기 기능에서 동영상 게시가 가능한데, 이때 동영상 업로더가 페이스북 모바일 앱에 대한 권한을 가진 액세스 토큰을 잘못 생성하는 버그가 만들어진 것이다. 

액세스 토큰이 생성될 때 해당 이용자가 아니라 그 이용자가 검색한 이용자를 위한 액세스 토큰이 생성되었고, 이렇게 생성된 액세스 토큰이 해당 페이지의 HTML에 존재해 공격자들이 이를 추출해 다른 이용자로 로그인이 가능케 됐다.

이에 따라 페이스북은 약 5000만 명의 사용자 계정 보호 차원에서 액세스 토큰과 지난 1년 동안 ‘타임라인 미리보기’ 기능의 검색 대상이 된 적이 있는 4000만 개의 추가 계정의 액세스 토큰도 초기화했다. 이에 따라 사용자는 페이스북에 다시 로그인해야 한다. 더불어 ‘타임라인 미리보기’ 기능도 중단된다.

페이스북은 “(탈취된) 계정들이 악용되었는지, 혹은 이용자 정보에 대한 접근이 있었는지는 아직 확인이 필요하다”며, “영향을 받은 계정이 더 발견되면, 그 계정들의 액세스 토큰도 리셋할 예정”이라고 밝혔다.

또 “(사용자의) 페이스북의 암호를 바꿀 필요는 없다”면서도, “추가적인 조치를 원한다면 ‘보안 및 로그인’ 설정을 통해 페이스북과 관련된 모든 계정을 로그아웃할 것”을 제안했다.