페드로 카나후아티(Pedro Canahuati), 보안 및 개인정보 보호 엔지니어링 담당 부사장

지난 1월, 규칙적으로 진행하는 보안 검토과정 중 저희는 일부 이용자의 암호가 내부 데이터 저장 시스템에 읽을 수 있는 형식으로 보관된 사실을 확인했습니다. 통상 Facebook의 로그인 시스템은 암호를 알아볼 수 없도록 설계되었기 때문에, 이러한 현상이 정상적이지 않다고 판단했습니다. 현재 모든 이슈들은 해결되었지만, 만일의 경우를 대비해 영향을 받은 이용자에게는 따로 공지를 드릴 방침입니다.

한 가지 분명히 말씀 드리고 싶은 부분은 해당 비밀번호는 Facebook 외부로 노출되지 않았으며, 내부적으로 악용하거나 부적절하게 로그인 했다는 증거 또한 발견되지 않았습니다. 저희는 영향을 받은 수억 명의 Facebook Lite 이용자, 수천만 명의 Facebook 이용자와 더불어 수만 명의 Instagram 이용자들에게 알람을 드릴 예정입니다. 참고로 Facebook Lite는 인터넷 연결성이 낮은 지역에서 주로 사용되는 Facebook 버전입니다.

검토 과정에서 액세스 토큰과 같이 특정 카테고리의 정보를 저장할 수 있는 방법들을 면밀히 살펴 보았으며, 새롭게 발견한 문제들을 해결할 수 있었습니다. Facebook은 이용자 정보 보호를 그 무엇보다 우선시하고 있으며, 보안 강화를 위해 진행하고 있는 다양한 노력의 일환으로 관련 업무도 지속적으로 개선을 이루어나갈 것입니다.

Facebook 이용자 비밀번호를 보호하는 방법

Facebook은 성공적인 보안 사례에 기반하여 이용자들이 계정을 생성할 때 회사 내부의 그 누구도 확인할 수 없도록 암호를 가리는 작업을 합니다. 보안 용어로 설명하자면 이용자들의 비밀번호에 ‘해시(Hash)’와 ‘솔트(Salt)’ 처리를 합니다. 이 과정에서 ‘스크립트(scrypt)’라는 함수를 적용하고, 암호키를 사용해 이용자의 비밀번호를 원래대로 되돌릴 수 없는 무작위한 글자 배열로 변경시킵니다. 이러한 기술을 통해 비밀번호를 일반 텍스트 형태로 저장하지 않더라도 이용자가 알맞은 비밀번호로 로그인하는 과정을 입증할 수 있는 것입니다.

이용자들이 때때로 비밀번호를 공유하거나 재사용하고, 도난을 당하는 경우도 있기 때문에 Facebook은 계정을 보호하기 위한 보안조치를 아래와 같이 취하고 있습니다.

  • 의심스러운 활동을 감지하기 위해 다양한 신호를 확인합니다. 예를 들어, 올바른 비밀 번호가 입력되었다고 할지라도, 다른 기기에서 혹은 평소와 다른 장소에서 로그인 했을 경우 정상적이지 않다고 판단합니다. 의심스러운 로그인 시도를 감지하였을 때 이용자가 실제 계정의 주인인지 확인하기 위한 추가 인증과정을 거칩니다
  • 이용자들은 확인되지 않는 로그인 시도에 대한 알림을 받을 수 있습니다
  • 이용자가 다른 서비스에서도 동일한 비밀번호를 사용하는 경우도 있음을 인지하고 있기 때문에 타 기관의 정보 유출 공지나 도난당한 인증서 데이터베이스를 면밀하게 주시하고 있습니다. 도난당한 이메일 주소와 비밀번호의 조합이 Facebook에서 사용되는 인증서와 일치하는지 확인하고, 문제가 있을 경우 로그인 과정에서 비밀번호 변경에 대한 알림을 드립니다
  • 비밀번호에 대한 의존도를 최소화하기 위해, 컴퓨터 USB 드라이브에 작은 하드웨어 기기를 삽입해 로그인이 가능하도록 한 물리적인 방식도 고안했습니다. 이와 같은 방법은 기자, 사회활동가, 정치인, 유명인 등 보안에 민감한 이용자에게 권장하고 있습니다

자신의 계정을 보호하는

어떠한 비밀번호도 외부로 노출되지 않았으며, 내부적으로 악용한 사례도 없었음을 다시 한 번 말씀 드리며, 계정을 안전하게 관리할 수 있는 방법을 아래와 같이 안내 드립니다.

  • FacebookInstagram의 환경설정에서 비밀번호를 변경할 수 있습니다. 서로 다른 서비스에서의 동일한 비밀번호 사용은 지양해 주시길 바랍니다
  • 강력하고 복잡한 비밀번호 설정을 권장하며, 비밀번호 관리 애플리케이션을 활용할 수 있습니다
  • 인증키(Security Key)나 2단계 인증을 활성화해 타사 인증 앱의 코드를 이용하는 Facebook 계정을 보호할 수 있습니다. 비밀번호로 로그인 할 경우, 이용자들은 신원을 증명하기 위해 보안 코드를 입력하거나 인증키를 삽입해야 합니다

보다 안전한 Facebook 계정을 위한 관련 정보는 facebook.com/about/security에서 확인할 수 있습니다.