가이 로젠(Guy Rosen) 제품 총괄 부사장
지난주 말씀드렸던 보안 공격에 대한 업데이트를 전해드립니다. 저희는 본 건을 매우 엄중하게 받아들이고 이용자 계정 보호를 위한 정황 조사 등을 포함한 즉각적인 조치를 취했습니다. 시스템의 보안 취약성을 바로잡았으며, 공격에 영향을 받은 약 5천만 계정과 ‘타임라인 미리 보기’ 기능에서 검색 대상이 된 적이 있는 4천만 계정을 포함한 총 9천만 계정의 액세스 토큰을 초기화했습니다. 이를 통해 여러분 계정의 보안을 다시 보호했으며, 해당 이용자들은 페이스북이나 페이스북 로그인을 사용했던 앱에 다시 로그인 하도록 했습니다.
이번 공격이 페이스북 로그인을 사용하는 앱에 정확히 어떠한 영향을 미치는가에 대한 질문들이 있었습니다. 저희는 지난주 발견한 공격이 있던 시기에 설치되거나 로그인된 모든 제삼자 앱의 로그 분석을 마쳤으며, 조사 결과, 공격자들이 페이스북 로그인 기능을 이용하는 다른 앱에 접근했다는 증거는 발견되지 않았습니다.
페이스북의 공식 SDK를 사용하고 이용자 액세스 토큰의 유효성을 주기적으로 점검하는 개발자들의 앱은 액세스 토큰 초기화와 동시에 자동으로 보호되었습니다. 그러나, 일부 개발자들이 공식 SDK를 사용하지 않거나 페이스북 토큰의 유효성을 주기적으로 점검하지 않았을 가능성도 존재하기 때문에, 더욱 면밀한 주의를 기울이는 차원에서 저희는 개발자들이 영향을 받았을 가능성이 있는 이용자들을 직접 확인하고 앱에서 직접 로그아웃 시킬 수 있도록 하는 도구를 현재 개발 중입니다.
보안은 페이스북이 매우 중요하게 생각하는 요소입니다. 저희가 개발자들이 페이스북 로그인 보안을 위한 다음의 가이드라인에 따르도록 권고하는 것도 이 때문입니다.
- 안드로이드, iOS, 자바스크립트를 위한 페이스북 공식 페이스북 SDK를 사용하십시오. 페이스북 SDK는 매일 자동으로 액세스 토큰의 유효성을 확인하고, 페이스북이 계정 로그인을 초기화할 경우, 이용자들을 강제로 로그아웃 시켜 계정의 보안성을 지킵니다.
- 그래프 API를 활용해 주기적으로 정보를 업데이트하십시오. 페이스북 세션이 유효하지 않다는 오류가 발생할 경우, 반드시 이용자들을 앱에서 로그아웃 시키십시오.
다시 한번 이번 공격이 발생한 것에 대해 무척 유감스러운 마음을 전합니다. 앞으로도 새로운 내용이 있으면, 업데이트 드리겠습니다.