페이스북 앱 네임테스트 취약점 때문에 1억 2천만 정보 유출

성격 테스트 앱인 네임테스트, 개인정보를 자바스크립트로 감싸
방문자가 특정 사이트에 방문 한 번만 하면 온갖 개인정보 유출

[보안뉴스 문가용 기자] 페이스북의 앱 중 하나인 네임테스트(Nametests.com)에서 대형 개인정보 유출사고가 발생했다. 네임테스트는 일종의 퀴즈형 성격 테스트 앱으로, 문제를 푼 사용자들 1억 2천만 명의 개인정보가 외부로 공개됐다고 한다. 이 문제는 페이스북이 실시한 데이터 남용 바운티 프로그램(Data Abuse Bounty Program)을 통해 패치된 상태다.

[이미지 = iclickart]

페이스북은 캠브리지 애널리티카(Cambridge Analytica) 스캔들이 터지고 홍역을 치르고 난 후 데이터 남용 바운티 프로그램을 4월부터 실시했다. 또한 프라이버시 및 데이터 공유와 관련된 회사 정책도 수정했으며, 인터넷을 통해 페이스북 사용자가 아니더라도 추적했다는 사실을 인정했다.

이번 네임테스트 관련 문제를 제일 먼저 발견해 보고한 건 인티 디 슈클레어(Inti De Ceukelaire)라는 전문가로 성격 테스트 앱을 시작하면 nametests.com가 http://nametests.com/appconfig_user로부터 개인정보를 전부 가져와 페이지 위에 노출시킨다고 밝혔다.

웹사이트가 개인정보를 자체적으로 가져와 노출시키는 사례는 흔치 않은 일이다. 웹 브라우저들 내에도 안전장치가 있어 이러한 사태를 미리부터 막을 수 있다. 하지만 네임테스트 웹사이트에서 요청된 정보들은 자바스크립트로 감싸져 있어, 다른 웹사이트들과도 공유가 가능한 상태였다. “네임테스트가 사용자의 개인정보를 자바스크립트 파일로 공개하고 있어, 사실 상 모든 웹사이트를 통해 이 정보에 접근하는 게 가능해집니다.”

슈클레어는 이러한 이론이 정말로 실현 가능한지 실험하려 웹사이트를 하나 만들어 Nametests.com과 연결시켰다. 그리고 방문자의 정보를 가져오도록 설정했다. 그 결과 Nametests.com이 제공하고 있던 접근 토큰을 사용해 방문자의 포스트, 사진, 친구 목록 등에도 접근할 수 있음을 확인할 수 있었다고 한다. “누군가의 최근 두 달까지의 개인정보를 열람하려면, 그 사람이 딱 한 번만 특정 사이트에 방문하도록 유도하면 됩니다.”

문제는 이것만이 아니었다. 사용자가 네임테스트 앱을 지워낸 후에도 개인정보가 계속해서 노출된 상태로 남아있다는 것이다. 로그아웃 기능이 없어서였다. 사용자가 수동적으로 장비 내 저장된 쿠키들을 삭제해야만 정보의 유출을 막을 수 있다. “사용자가 쿠키 삭제까지 하지 않는 한 제3자가 사실상 자유롭게 개인정보를 열람할 수 있었다는 겁니다.”

이 사실은 지난 4월 22일 페이스북으로 보고됐다. 픽스가 발표된 건 6월 25일의 일이다. 페이스북은 픽스를 발표하며 “사용자들의 안전을 위해 네임테스트 앱을 사용하기로 등록한 모든 사람들의 접근 토큰을 폐지시켰다”고 설명했다. 그러므로 네임테스트를 계속 사용하고자 한다면 새롭게 인증 과정을 거쳐야 한다.

슈클레어는 바운티 상금으로 4천 달러를 받았으나 이를 전부 자선 단체에 기부하고자 하는 의사를 전달했다. 그래서 페이스북은 이를 두 배로 늘려(8천 달러) 언론자유재단에 기부했다.

“한편 네임테스트 측에서도 연락이 왔습니다. 홍보팀에서 말하길 아직까지 해당 문제로 인한 범죄나 사기 행각이 발견된 사례가 없다고 했습니다. 또한 비슷한 종류의 버그가 다른 곳에도 존재하는지 알아내기 위해 자체 조사에 착수했다고 합니다.” 슈클레어의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)