페이스북 개인정보 유출 사례

예전 같았으면 이맘때 아침은 완전한 봄 날씨였던 것 같은데, 아직은 일교차가 커서 이러다 감기 걸리는 거 아닌지 걱정이 됩니다. 빨리 완전한 봄 날씨로 돌아와서 이른 아침, 밤에도 따뜻하길 바라며 오늘의 에세이를 시작해보도록 하죠. 오늘 소개할 기사는 페이스북 개인정보 유출 사례로 사고 내용에 대해 간단하게 언급하면서, 이전 글에서 나중에 설명드리겠다고 했던 사회공학적 기법에 대해서도 말씀드릴까 합니다.

​

최근 페이스북에서 5억명 가량의 개인정보가 유출되었다고 합니다. 예전에도 페이스북에서 개인정보 유출로 논란이 되었는데 다시 사건을 터뜨리는군요. 5억명이라는 숫자가 얼마나 큰거냐 하면, 한국 인구가 5천만명 정도인데 그에 10배이니 정말 어마어마 하다고 봐야겠죠. 한국인 12만명도 포함되어 있다고 하는데 안그래도 요즘 GDPR이다 뭐다해서 개인정보보호법이 강화되는 마당에, 페이스북 같은 어마어마한 대기업에서 유출 사례가 발생했다고 하니 마냥 큰 기업이라고 해서 안전한 것도 아니다..라고 느낄 수 있는 대목인 것 같습니다.

​

페이스북에서는 해당 문제가 2019년 8월에 패치한 취약점과 관련한 유출이라고 하면서도, 유출된 개인정보가 아주 오래된 것이니 크게 문제될 것이 없다..라고 하는데 이게 사실 말이 안되죠. 유출된 개인정보 항목만 보더라도 전화번호, 아이디, 이름, 이메일, 생일 등이 포함되어 있는데, 보통 이건 저희가 페이스북 프로필에 적어놓는 내용이기도 합니다. 저희가 개명을 해서 이름을 바꾸는 것도 아니고, 전화번호나 이메일도 웬만하면 쓰던걸 쓰겠죠. 아마도 유출된 정보는 프로필을 비공개로 돌린 사람들 또한 포함되어 있을 것이라 생각되는데, 이러한 정보는 범죄에 악용하기 딱 좋습니다. 이메일 주소만 유출된다고 하더라도 이는 충분히 피싱 메일 위험으로 이어질 수 있고, 전화번호가 유출되었다면 스미싱이나 보이스피싱 피해로 이어질 수 있겠죠.

​

해커는 이렇게 유출된 정보를 기반으로 사회공학적 기법의 2차 공격을 시도할 수 있습니다. 그럼 사회공학적 기법(Soical Engineering)이 대체 무엇인지 설명드리겠습니다. 여기서 공학이라는 단어가 들어갔다고 해서 어려운 말은 아니고, 그냥 쉽게 말해 기술적인 방법이 아닌 사람들 사이의 관계, 신뢰를 바탕으로 사람을 속여서 정보를 얻어내는 수법이다..라고 생각하시면 됩니다.

​

예를 들어보죠. 페이스북에서 제 이름과 아이디, 그리고 지금 어느 대학을 다니는지 이런 정보들이 유출되었다고 가정합시다. 해커가 제 페이스북에서 교류가 활발한 대학 친구로 위장을 해서 페이스북 메시지로 급하다고 돈을 빌려달라고 합니다. 여기서 친구라는 '신뢰 관계'를 가지고 속이고 있죠? 최근 유행하는 사기들이 대부분 이렇습니다. 워낙 뉴스에 자주 언급되서 한번 쯤 의심하겠지만 수법이 워낙 나날이 교묘해지기 때문에 당할 가능성도 있다라고 보셔야 할 것 같습니다.

​

저번에도 말씀드렸다시피 기업에서 이런 기술적인 결함 또는 취약점으로 인한 개인정보 유출은 저희가 어떻게 할 수 있는 방법이 없습니다. 단지 이런 개인정보가 유출되었을 때 피해를 최소화하기 위한 방법이 존재할 뿐이죠. 페이스북과 같은 SNS에 많은 내용을 올리게 되면 이런 사고가 터졌을 때 고생(?)하게 됩니다. 그래서 웹 사이트에 회원가입할 때 필수 개인정보 외에는 최대한 동의하지 마라..라는 말을 하는 겁니다. 오늘 설명한 내용은 아래 기사를 참고 했고, 언급한 내용을 다시 한번 정리한다는 생각으로 읽으시면 될 것 같습니다.

 

페이스북 5억명 개인정보 유출... 한국인 12만명도 포함, 사용자 보안대책은?

 

기술적인 내용이나 법과 관련된 내용도 함께 말씀드릴 수 있으면 좋을 것 같은데, 제가 아직 거기까지 설명드리기엔 부족해서 섣부르게 말씀드리면 안될 것 같아 좀 더 공부한 후에 같이 써보도록 하겠습니다. 그래도 이 글을 읽고 개인정보에 대해 경각심을 가지셨다면 이 글의 가치는 충분할 것 같네요. 그럼 오늘은 여기까지 말씀드리고 내일은 더 흥미로운 주제로 찾아뵙겠습니다. 감사합니다.