트위터, 기업 고객들에 “요금 정보 새나갔을 수 있다” 경고

브라우저에 민감한 정보가 저장되는 방식 때문에 생긴 일...실제 피해자는 아직
문제가 해결된 건 한 달 전...공용 컴퓨터로 정보 열람한 후에는 쿠키 삭제 필수

[보안뉴스 문가용 기자] 트위터가 기업 고객들에게 “데이터 보안 사고로 인해 요금 관련 정보가 노출되었을 수 있다”는 사실을 이메일로 고지하기 시작했다. analytics.twitter.com과 ads.twitter.com 서비스와 연루된 개인정보 문제라고 트위터는 설명했다. “이 서비스를 통해서 요금 정보를 열람했다면, 해당 정보가 웹 브라우저를 통해 캐시되었을 수 있다”는 것.

[이미지 = utoimage]

“만약 공용 컴퓨터로 요금 정보를 열람했다면 브라우저의 캐시에 저장된 것을 누군가 열람했을 가능성이 있습니다. 캐시 데이터는 보통 30일 정도만 저장되어 있습니다만, 그 30일 안에 누군가 정보를 열람할 수 있습니다.” 그러면서 트위터는 “이메일 주소, 전화번호, 청구서 발송 주소, 지불카드 마지막 네 자리 수가 노출되었을 수 있지만 카드 만료일과 보안 코드는 안전하다”고 강조했다.

문제는 이미 5월 20일 경에 해결된 상태다. 트위터 측은 “아직 정보가 실제로 침해되었다는 사례나 증거는 찾을 수 없었다”고 주장했다. “요금 정보가 침해되었다고 보기는 힘들지만, 그래도 이러한 문제가 있었다는 걸 고객이 알면 앞으로 스스로를 보호할 대책을 강구하는 데 도움이 될 것입니다. 앞으로도 공용 컴퓨터에서 민감한 정보를 열람한다면 반드시 브라우저 캐시를 삭제하시기 바랍니다.”

하지만 트위터에서 브라우저 캐시와 관련된 문제가 불거진 건 이번이 처음이 아니다. 지난 4월 초, 파이어폭스 브라우저의 캐시 저장 방식 때문에 일부 트위터 사용자들의 개인정보가 새나갔을 수 있다는 가능성이 제기됐다. 각종 메시지와 다운로드 아카이브가 유출됐을 수 있다고 당시 트위터는 경고했다.

“브라우저 쿠키들은 양날의 검과 같습니다.” 보안 업체 시놉시스(Synopsys)의 수석 보안 전략가인 팀 맥키(Tim Mackey)가 외신인 시큐리티위크와의 인터뷰를 통해 언급한 내용이다. 사용자 식별 과정을 간소화 해준다는 점에서는 대단히 편리한 기능이지만, 동시에 그 간소화를 위해 여러 정보를 노출시킬 수 있다는 위험성을 내포하고도 있기 때문이다.

이번에 불거진 문제는 기업용 트위터 서비스인 트위터 비즈니스(Twitter Business)의 브라우저 쿠키 저장 방식으로부터 나온 것으로 보인다. 특히 민감한 개인정보가 담긴 브라우저 쿠키를 데이터베이스 캐시로 변환시킨다는 발상이 문제였던 것으로 지적되고 있다.

이러한 방식은 사용자가 계속 같은 장비로만 트위터 비즈니스에 접속한다면 괜찮을 수 있지만, 그렇지 않은 환경에서는 큰 문제로 발전할 수 있다. 보안 전문가들은 안전하게 데이터가 저장된 데이터베이스에서 필요할 때만 민감한 정보를 호출해 쓰고, 로컬에서는 데이터 복제본을 마련하지 않는 게 안전한 방법이라고 권장한다.

3줄 요약
1. 트위터 비즈니스 서비스 사용하는 사람들, 일부 정보 노출됐을 수도.
2. 민감한 요금 관련 정보를 열람할 때 민감한 정보가 브라우저에 저장되기 때문.
3. 공용 컴퓨터 등 통해 정보 열람한 후에는 브라우저 캐시 삭제 필수.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)