가이 로젠(Guy Rosen), 제품 총괄 부사장
저희는 2주 전 발견해 시정 조치한 보안 이슈에 대한 조사를 지속하고, 이를 통해 공격자들이 접근했을 가능성이 있는 정보들을 파악하도록 도움을 드릴 수 있었습니다. 오늘은 해당 취약성을 악용했던 공격과 관련한 보다 자세한 내용을 전달 드리려 합니다. 더불어, 더 작은 규모로도 이뤄질 지 모르는 보안 공격에 대한 가능성 역시 배제하지 않고, 계속해서 조사를 이어 나가고 있다는 사실도 전해 드립니다.
이미 말씀드린 바와 같이 공격자들은 2017년 7월부터 2018년 9월까지 존재했던 페이스북 코드 상의 취약점을 악용했습니다. 이러한 취약점은 3개의 개별 소프트웨어 버그가 복잡하게 상호작용한 데 따른 결과였으며, 페이스북 이용자가 자신의 프로필이 다른 이용자들에게 어떻게 보이는지 확인할 수 있는 기능인 ‘타임라인 미리 보기(View As)’에 영향을 미쳤습니다. 이를 통해 공격자들은 이용자들의 계정에 접근할 수 있는 페이스북 액세스 토큰을 도용할 수 있었습니다. 액세스 토큰은 이용자가 매번 페이스북 앱을 이용할 때마다 암호를 재입력할 필요 없이 계속 로그인 상태를 유지할 수 있도록 하는 디지털 키와 같습니다.
이러한 취약점을 악용한 공격을 저희가 발견하게 된 것은 다음과 같습니다. 저희는 2018년 9월 14일부터 시작된 비정상적인 활동량 폭증을 확인하고 조사에 착수했습니다. 9월 25일, 저희는 이러한 폭증이 보안 공격에 인한 것이라 판단하고 취약점을 확인했습니다. 이틀이 되지 않는 시간 동안, 저희는 해당 취약점을 제거하고, 공격을 차단시켰으며, 노출 됐을 가능성이 있는 이용자의 액세스 토큰을 리셋하는 방식으로 이용자 계정의 보안을 복구시켰습니다. 예방 차원에서 ‘타임라인 미리 보기’ 기능도 중단시켰습니다. FBI와도 협력하고 있으며, FBI는 현재 이번 공격에 대한 적극적인 조사를 진행 중으로, 누가 이번 공격의 배후로 의심 되는지 밝히지 말아 달라고 요청했습니다.
당초 우려했던 것보다는 더 적은 수의 이용자가 영향을 받은 것으로 파악하고 있습니다. 액세스 토큰이 영향을 받았을 것으로 생각했던 5,000만 명의 이용자들 중 약 3,000만 명이 실제로 토큰을 도용 당했습니다. 이는 다음과 같은 방법으로 이루어졌습니다.
먼저, 공격자들은 페이스북 친구를 보유하고 있는 일부 계정의 통제 권한을 이미 가지고 있었습니다. 자동화 기법을 이용하여 한 개의 계정에서 다른 계정으로 계속 이동하면서, 먼저 해당 계정의 친구들, 그 친구들의 친구들로 확장하는 형태로 총 약 40만 명의 액세스 토큰을 도용했습니다. 이 과정에서 해당 계정의 페이스북 프로필이 자동으로 로딩되면서, 이들 40만 명의 이용자들이 자신의 프로필을 볼 때 나타나는 내용이 미러링(mirroring) 되었습니다. 여기에는 이용자들의 타임라인에 게시된 게시물, 친구 목록, 소속 그룹, 최근 메신저 대화의 이름이 포함됩니다. 메시지 콘텐츠는 다음의 예외를 제외하고는 공격자들에게 노출되지 않았습니다. 그 예외는, 이번에 영향을 받은 분 중 페이스북 페이지(Page) 관리자인 경우 공격자들이 해당 페이지로 전송된 메시지 콘텐츠를 확인할 수 있었습니다.
공격자들은 이들 40만 이용자들의 친구 목록 중 일부를 이용하여 약 3천만 명의 액세스 토큰을 도용했습니다. 약 1,500만 명의 경우, 공격자들은 이름과 연락처(이용자 프로필에 어떤 정보가 있는지에 따라 전화번호, 이메일, 또는 둘 다)의 두 종류 정보에 접근했습니다. 약 1,400만 명의 경우, 공격자들은 위의 두 종류 정보뿐만 아니라 이용자의 프로필에 있는 다른 정보에도 접근했습니다. 여기에는 사용자 이름, 성별, 지역/언어, 관계 상태, 종교, 고향, 현재 거주지, 생년월일, 페이스북 접속 시 사용되는 기기 종류, 교육, 직업, 최근에 체크인 또는 태깅한 10개 장소, 이용자가 팔로우하는 사이트, 사람 또는 페이지, 15건의 가장 최근 검색이 포함됩니다. 나머지 100만 명에 대해서는 공격자들이 어떠한 정보에도 접근하지 않았습니다.
이용자들은 고객 센터에서 자신의 계정이 영향을 받았는지 확인할 수 있습니다. 저희는 빠른 시일 내에 보안 공격의 영향을 받은 3,000만 명의 이용자들에게 개별 메시지를 전송할 계획이며, 공격자들이 어떤 정보에 접근했을 가능성이 있는 지와 의심스러운 이메일, 문자, 전화로부터 스스로 보호하기 위해 취할 수 있는 조치들을 설명드릴 예정입니다.
이번 보안 공격에는 메신저, 메신저 키즈, 인스타그램, 왓츠앱, 오큘러스, 워크플레이스, 페이지, 결제, 서드파티 앱, 광고 또는 개발자 계정에는 영향을 미치지 않았습니다. 저희는 이번 공격의 배후 인물들이 페이스북을 사용한 다른 방법들이나 더 작은 규모의 공격을 행했을 가능성에 대해 조사함과 동시에, FBI, 미국 연방거래위원회(FTC), 아일랜드 데이터보호위원회(IDPC) 등 관련 당국과 계속 협력해 나갈 것입니다.