침해사고/위협동향

페이스북에서 내 정보가 새고있다…막을 방법은?

이민형 기자
[IT전문 미디어 블로그=딜라이트닷넷]


최근 페이스북의 최고경영자인 마크 저커버그의 사생활이 담긴 사진이 유출되면서 페이스북의 보안 취약점이 또 수면위로 떠오르고 있습니다.
페이스북은 공식블로그를 통해 이번 유출사고는 코드 푸시로 인한 결과이며 특정 시간대에서만 가능했다고 밝혔습니다. 페이스북의 상징적인 존재인 저커버그의 사진이 유출됐을 정도이니 다른 사용자들의 개인정보도 새나갔을 가능성이 매우 높습니다.

페이스북은 최근에 연이은 악재로 인해 보안인프라 투자를 더욱 강화하겠다고 밝히기도 했습니다.

페이스북의 보안투자와는 별개로 개인사용자들도 자신의 정보를 지키기위해 노력해야 합니다.

페이스북의 경우 웹브라우저에 한번 로그인을 하면 쿠키가 브라우저에 남아있어 로그아웃을 하기전까지 계속 로그인 상태가 지속됩니다. 공용피시에서 페이스북을 사용한 다음 로그아웃하지 않으면 자신의 개인정보를 그대로 다른 사람에게 보여주는 격입니다.

특히 최근에는 페이스북 oAuth(오픈 API인증) 방식을 이용한 서비스들이 다수 존재하는 것도 문제입니다. 로그아웃을 하지 않을 경우, 페이스북 아이디와 연동된 다른 서비스의 정보도 탈취당할 수 있다는 것을 인지해야할 것입니다.

너무 많은 개인정보를 ‘전체공개’로 해두는 것도 매우 위험합니다. 자신이 자주 가는 곳, 가족관계, 생일과 같은 정보는 새로운 정보로 재탄생 돼 해커들의 좋은 먹잇감이 될 수 있기 때문입니다.


민감한 정보는 친구, 친구의 친구에게만 공개하는 옵션도 최근 페이스북 업데이트로 사용할 수 있게 됐으니 이를 적극 활용하는 게 좋을 것 같습니다.

또한 페이스북 애플리케이션(앱) 설치, 사용에도 주의를 기울여야합니다.

페이스북 사용자라면 한번쯤은 ‘이번 주 내게 가장 방문 누구’라는 페이스북 앱이 자신의 담벼락에 게시된 것을 보셨을 것입니다.


‘이번 주 내게 가장 방문 누구’는 자신의 담벼락에 가장 많이 방문한 사용자가 누구인지를 알려주는 앱인 것 ‘처럼’ 속이는 앱입니다.

속인다고 표현한 것은 페이스북에서는 사용자 담벽락에 어떤 사람이 많이 접속했는지 카운트하는 API가 존재하지 않기 때문입니다.

즉 ‘이번 주 내게 가장 방문 누가’라는 앱은 단순히 사용자의 친구리스트를 확인하고 랜덤으로 추려서 게시물을 만드는 것으로 볼 수 있습니다.

해당 앱은 사용자의 ▲이름 ▲프로필 사진 ▲성별 ▲네트워크 ▲사용자 ID ▲친구 리스트 ▲내가 전체 공개로 설정한 다른 정보 ▲내 사진에 접근 ▲나를 게시자로 해 담벼락에 게시물 작성 등의 권한을 요구합니다.

앱 개발자가 마음만 먹으면 나쁜 쪽으로 사용할 수도 있습니다. (물론 해당 앱이 그렇다는 것은 아닙니다)

실제로 이 같은 권한을 이용해 악성코드를 확산시킨 사례도 존재한다고 하니 주의를 기울여야겠습니다. 특히나 수천명의 친구를 가진 사용자가 담벼락에 악성코드가 탑재된 게시물을 저도 모르는 사이에 공유될 경우 치명적인 결과를 초래할 수도 있습니다.


제일 좋은 방법은 페이스북에 올라온 앱들을 이용하지 않는 것이지만, 실제로 그렇게 하긴 어려우므로 해당 앱을 실행하기 전 어떠한 권한을 요구하는지 잘 살펴봐야 할 것입니다.

만약 설치한 앱을 더 이상 사용하지 않을 경우에는 계정설정-앱 에서 해당 앱을 삭제하는 것도 좋은 방법입니다.

[이민형 기자 블로그=인터넷 일상다반사]

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널