Meta

비밀번호 보안 관련 업데이트

페드로 카나후아티(Pedro Canahuati), 보안 및 개인정보 보호 엔지니어링 담당 부사장

지난 1월, 규칙적으로 진행하는 보안 검토과정 중 저희는 일부 이용자의 암호가 내부 데이터 저장 시스템에 읽을 수 있는 형식으로 보관된 사실을 확인했습니다. 통상 Facebook의 로그인 시스템은 암호를 알아볼 수 없도록 설계되었기 때문에, 이러한 현상이 정상적이지 않다고 판단했습니다. 현재 모든 이슈들은 해결되었지만, 만일의 경우를 대비해 영향을 받은 이용자에게는 따로 공지를 드릴 방침입니다.

한 가지 분명히 말씀 드리고 싶은 부분은 해당 비밀번호는 Facebook 외부로 노출되지 않았으며, 내부적으로 악용하거나 부적절하게 로그인 했다는 증거 또한 발견되지 않았습니다. 저희는 영향을 받은 수억 명의 Facebook Lite 이용자, 수천만 명의 Facebook 이용자와 더불어 수만 명의 Instagram 이용자들에게 알람을 드릴 예정입니다. 참고로 Facebook Lite는 인터넷 연결성이 낮은 지역에서 주로 사용되는 Facebook 버전입니다.

검토 과정에서 액세스 토큰과 같이 특정 카테고리의 정보를 저장할 수 있는 방법들을 면밀히 살펴 보았으며, 새롭게 발견한 문제들을 해결할 수 있었습니다. Facebook은 이용자 정보 보호를 그 무엇보다 우선시하고 있으며, 보안 강화를 위해 진행하고 있는 다양한 노력의 일환으로 관련 업무도 지속적으로 개선을 이루어나갈 것입니다.

Facebook 이용자 비밀번호를 보호하는 방법

Facebook은 성공적인 보안 사례에 기반하여 이용자들이 계정을 생성할 때 회사 내부의 그 누구도 확인할 수 없도록 암호를 가리는 작업을 합니다. 보안 용어로 설명하자면 이용자들의 비밀번호에 ‘해시(Hash)’와 ‘솔트(Salt)’ 처리를 합니다. 이 과정에서 ‘스크립트(scrypt)’라는 함수를 적용하고, 암호키를 사용해 이용자의 비밀번호를 원래대로 되돌릴 수 없는 무작위한 글자 배열로 변경시킵니다. 이러한 기술을 통해 비밀번호를 일반 텍스트 형태로 저장하지 않더라도 이용자가 알맞은 비밀번호로 로그인하는 과정을 입증할 수 있는 것입니다.

이용자들이 때때로 비밀번호를 공유하거나 재사용하고, 도난을 당하는 경우도 있기 때문에 Facebook은 계정을 보호하기 위한 보안조치를 아래와 같이 취하고 있습니다.

자신의 계정을 보호하는

어떠한 비밀번호도 외부로 노출되지 않았으며, 내부적으로 악용한 사례도 없었음을 다시 한 번 말씀 드리며, 계정을 안전하게 관리할 수 있는 방법을 아래와 같이 안내 드립니다.

보다 안전한 Facebook 계정을 위한 관련 정보는 facebook.com/about/security에서 확인할 수 있습니다.