(+:컴퓨터잠복)
18일(현지 시간)미국 경제 신문 월 스트리트 저널(The Wall Street Journal)보도에 따르면 페이스북(Facebook)모회사 메타(Meta)는 이 1년 동안 사용자 계정 정보를 유출한 20여명의 정규직과 계약 업체 직원을 해고했다고 발표했다. 해당 직원들은 메타의 정규직 직원들과 보안 계약 용역 업체 직원들로 알려졌다. 해고된 직원이 단순히 사용자 정보 유출만 한 것은 아니다. 사용자 계정 정보를 유출하기 전에 계정을 훼손한 뒤 사용자 정보를 유출시켰기 때문에 메타의 입장에서 더 강경하게 대응할 수밖에 없었다. 월 스트리트 저널은 이 1년간 사용자 정보 유출 사건의 일부는 뇌물 수수와 관련이 있다고 보도했다. 외부 해커가 메타 내부 직원에 접근한 뒤 수천달러의 뇌물을 건넸다. 그리고 뇌물을 받은 내부 직원은 페이스북의 여러 사용자 계정에 접근하고 외부 해커에 계정 정보를 유출하는 방식으로 이뤄졌다.
메타의 계약직으로 고용된 보안 직원은 엄밀히 말하면 메타 소속 직원은 아니다. 메타의 보안 용역 업체인 아라이드 유니버설(Allied Universal)소속의 계약직 신분이었다. 아라이드·유니버설의 대변인은 월가·저널의 보도”소속 직원이 저지른 행위를 심각하게 받아들이고 있다”고 말했다. 먼저 말했듯이 해고된 사람 중에 계약직 보안 직원이 존재한다. 그들은 내부 직원이 자신의 패스워드를 잊고 자신의 계정이 잠기면 직원의 “지인”이 직원의 계정에 로그인하도록 지원하는 내부 도구 관리 권한이 주어졌다. 해당 권한을 이용하고 사용자 계정 정보를 유출할 수 있었다. 여기서 말하는 내부 도구는 OOPS시스템이다. 메타는 최근 온라인 운영(Online Operations)의 줄임말인 “Oops시스템”의 사용을 금지했다. OOPS시스템은 통상 일반적으로 친구와 가족, VIP계정이 특정의 유저에게 전달된 뒤 계정을 재설정하는 데 사용되는 시스템이다. 이번 불법 행위 혐의로 연루된 메타 보안 계약직 직원은 온 보딩(On-Boarding)과정의 일환으로 Oops시스템에 접속할 수 있었다. 온 보딩은 외국계 기업 신규 입사자가 메타 회사에 잘 적응할 수 있도록 회사 차원에서 입사자에 여러가지 활동을 지원하는 과정이다.
메타가 해당 시스템을 금지한 이유는 금지하기 전에 시스템 사용량이 급증하면서 일부 누리꾼이 시스템을 남용하는 것을 확인했기 때문이다. 남용 방식은 중개자를 이용한다. 먼저 말한 보안 계약직 직원의 사례처럼 해커가 사용자에게 수천달러를 청구하고 계정을 재설정하려는 내부 직원에 중개자가 연락하는 방식이다. 이 방식의 핵심은 내부 직원이 꼭 필요하다는 점이다. 그러므로 내부 직원이 해커에 사용자 계정 정보를 한번 마련하는 순간, 연쇄적인 정보 유출이 불가피하다. 최근 이처럼 중개자를 이용하고 사용자 계정 정보를 탈취하는 방식이 떠오른 만큼 메타는 시스템을 금지할 수밖에 없었다. 월 스트리트 저널은 메타가 2017년에 직원, 친구, 가족 협력 회사 공천 계정 복구 처리 총 2만 2000건을 진행했지만 2020년에는 총 5만 270건을 진행했다고 보도했다. 2017년 대비 처리하는 유저 정보량이 훨씬 많은 만큼 유출시킬 수 있는 정보량도 늘어난 것이다. 또한 사용자 정보량을 추산했을 때 다크 웹과 암시장 등 개인 정보를 매매하는 곳에서 충분히 거래가 진행된 것으로 예상된다. Ops시스템을 활용한 유저 정보 유출 사례가 존재한다. 한 보안 계약직 직원은 익명의 제3자가 불법으로 다른 사용자의 인스타그램을 갖도록 도운 것이 있다. 해당 직원은 자의적이지 않았다. 보안 요원은 해커가 시스템 내에서 관련 업무를 처리하도록 해당 직원을 속였다고 말했다.
다른 사례도 존재한다. 한 보안 직원이 해커에게 이용 가능한 서비스를 제공하는 직원은 비트 코인으로 대가를 받았다는 사실이 내부 조사에서 밝혀졌다. 해당 직원은 현재 해고된 상태이다. 메타는 월 스트리트 저널 보도”계정을 매매하는 것으로 계정 복구 서비스를 이용하기 때문에 유료로 돈을 지불하는 것은, 메타 서비스 이용 약관에 위반하는 것이다”라고 말했다. 실제로 메타 데이터 정책과 서비스 이용 약관을 제공하는 사이트에서, 메타는 사용자 개인 정보와 관련 데이터를 일절 팔지 않는다고 안내하고 있다. 그러므로 불법 행위를 저지른 직원은 메타 서비스 약관에 위반한 만큼 해고 절차가 당연했다. 한편 메타 대변인의 앤디·스톤(Andy Stone)는 “사용 정보를 유출하려는 공격자는 메타와 같은 온라인 서비스 플랫폼을 목표로 하고 있다”라고 말했다. 그래서 메타는 업계에서 일반적으로 사용되는 탐지 방법을 통해서 지속적으로 대응할 예정이다. 현재, 엄단을 추진하고 있다. 적발시에는 위반 행위에 연루된 사람에 대해서 계속 이번 사건과 같은 조치를 취할 계획이다. 텍 플러스 에디터 박·양, 나·유 그오은 [email protected][fv0012]
곧 한국에 온다는 ‘스타링크’를 많이 쓰면 속도 제한을 한다던데…왜?-테크플러스-테크플러스 일론마스크(Elon Musk) 스페이스X는 ‘스타링크’라는 서비스를 제공한다. 스타링크는 저궤도 위성을 이용한 인터넷 서비스다. 이용료는 적지 않은 편이지만 인프라가 부족한 지역에서도 인터넷을 사용할 수 있다는 장점이 있다. 스페이스X는 이처럼 장소에 제약을 받지 않는 스타링크의 장점을 부각하는 방향으로 외연을 확장해왔다.tech-plus.co.kr
곧 한국에 온다는 ‘스타링크’를 많이 쓰면 속도 제한을 한다던데…왜?-테크플러스-테크플러스 일론마스크(Elon Musk) 스페이스X는 ‘스타링크’라는 서비스를 제공한다. 스타링크는 저궤도 위성을 이용한 인터넷 서비스다. 이용료는 적지 않은 편이지만 인프라가 부족한 지역에서도 인터넷을 사용할 수 있다는 장점이 있다. 스페이스X는 이처럼 장소에 제약을 받지 않는 스타링크의 장점을 부각하는 방향으로 외연을 확장해왔다.tech-plus.co.kr
곧 한국에 온다는 ‘스타링크’를 많이 쓰면 속도 제한을 한다던데…왜?-테크플러스-테크플러스 일론마스크(Elon Musk) 스페이스X는 ‘스타링크’라는 서비스를 제공한다. 스타링크는 저궤도 위성을 이용한 인터넷 서비스다. 이용료는 적지 않은 편이지만 인프라가 부족한 지역에서도 인터넷을 사용할 수 있다는 장점이 있다. 스페이스X는 이처럼 장소에 제약을 받지 않는 스타링크의 장점을 부각하는 방향으로 외연을 확장해왔다.tech-plus.co.kr
