3월21일 Facebook은 사용자의 암호를 암호화되지 않은 원시 형식의 텍스트 파일로 저장해 왔으며, 이를 직원들이 쉽게 확인할 수 있었던 것으로 확인됐다고 인정했습니다.
암호 저장 시 암호가 379f153–1753a7c43–ab4f4faace-212451과 같은 해시 형식으로 검색되는 대신 저장된 데이터를 보는 모든 사용자가 실제 텍스트 형식의 암호를 볼 수 있는 123456789 또는 mypassword99 와 같은 형식으로 저장되어 왔던 것입니다.
수십 년 전만 해도 일반 텍스트 암호는 흔했지만, 현재 사회에서는 기술적으로, 사회적으로, 심지어 도덕적으로 문제가 되고 있는 것인 만큼 이번 사건은 용인될 수 없는 일이 되었습니다.
어떻게 페이스북이 그렇게 기본적인 실수를 했을까요?
좋은 소식은 잘못 저장된 암호가 Facebook의 외부에서 액세스할 수 있는 인증 시스템의 일부로 보이지 않는다는 것입니다. 즉, 외부 사용자가 로그인할 수 있는 Facebook 게이트웨이 서버는 모든 사용자의 암호의 원시 복사본으로 구성되지 않습니다.
대신 일부 Facebook 프로그래머는 2012년으로 거슬러 올라가, 로그 파일 항목을 작성할 때 부주의했던 것으로 보인다고 Brian Krebs는 말합니다.
즉, 로그인 확인을 위해 암호 데이터가 사용된 후 메모리로부터 안전하게 폐기되는 대신, 데이터를 잠시 동안 보관할 수 있도록 허용했습니다. 이 경우 데이터를 기록할 필요가 없고, 기록하지 말았어야 하는 로그 파일이 기록된 것입니다.
사용자 이름, 타임스탬프, 브라우저 유형, 국가 등과 같은 액세스 데이터는 유지해도 괜찮지만, 프로그래머는 데이터를 보관하지 않으면 비밀번호와 같은 경우 즉시 폐기 등 신중하게 처리할 의무가 있습니다.
이 방법은 간단합니다. 더 이상 절대적으로 필요하지 않은 순간 메모리로부터 암호 데이터를 제거하면 나중에 아무도 실수로 암호를 누설할 수 없습니다.
Facebook의 상세한 감사 결과, 수십억 대의 서버에 있는 기가바이트의 데이터 사이에 흩어져 있는 수백만 개의 암호가 의도치 않게 Disk에 저장되었습니다.
페이스북이 KrebsOnSecurity에 제공한 서면 진술서에 따르면, 회사는 "Facebook Lite 사용자 수억 명, 다른 페이스북 사용자 수천만 명, 그리고 수만 명의 인스타그램 사용자들에게 패스워드를 변경하라고 통지할 것”이라고 밝혔습니다.
Facebook Lite는 모바일 데이터 플랜을 사용하기 어렵고 비용이 많이 드는 국가에서 사용되는 Facebook버전입니다.
페이스북 이대로 아전할까? 계정을 닫아야 하나?
잘못 저장된 암호가 한 데이터베이스에서 쉽게 액세스할 수 없거나 로그인하는 동안 일상적인 사용을 위해 의도적으로 저장되지 않았다는 점을 고려할 때, 이러한 위반만으로는 계정을 종료할 충분한 이유가 되지 않는다는 의견입니다.
반면에, 최근에도 페이스북과 인스타그램등의 로그인 문제가 발생한 만큼 페이스북은 개발 초기와달리 보안에 대해 상당히 취약하고 초라한 모습입니다.
결국 은행계좌를 해지하는 대신 스스로 패스워드를 자주 변경해야 한다는 불편함을 갖게 됬습니다.
현재로선, 패스워드가 해커에게 넘어간 암호는 전혀 없을 가능성이 있습니다. 그러나, 내부 직원들 중 시스템에 액세스가 가능경우는 쉽게 볼 수 있다는 의미인 만큼, 패스워드를 자주 변경해 주는 것이 좋습니다.
패스워드 변경은 페이스북 로그인 후, 메뉴 상단 우측의 “아래 화살표 ▼” 를 선책 후, “설정”으로 들어갑니다.
이후, 좌측 메뉴에서 “보안 및 로그인” 선택 후, 화면 중간의 “비밀번호 변경”을 통해서 현재 사용 중인 비밀번호를 입력 후, 새로 사용할 비밀 번호를 입력하고 변경내용을 저장하면 다음 입력 시부터 새로운 비밀번호로 사용하게 됩니다.
비밀번호는 가능한 쉬운 것 예를 들어 A1234567 과 같은 경우 보다는 대소문자를 각 1자씩 입력 하고 특수문자등을 포함해 8자리 이상으로 해 주는 것이 좋습니다.
예를 들어 “Ab13579@”등과 같이 말입니다.
또한, 2단계 인증을 사용하도록 설정하는 것을 권장합니다.
Facebook에 전화 번호를 지정하기를 꺼리는 경우 로그인할 때마다 휴대폰이 일회성 코드를 생성하는 앱 기반 인증을 사용할 수 있습니다.
'미래산업 ICT > 컴퓨터사용팁' 카테고리의 다른 글
| '인스타그램 계정해킹' 당해 '인스타그램 계정삭제' 해버렸다. 인스타그램 탈퇴방법 (0) | 2019.02.11 |
|---|---|
| 스냅메일(Snapmail)-보낸지메일(Gmail)을 일정시간 후 자동삭제하는 유용한 확장프로그램 (0) | 2019.01.15 |
| “2019년 북한신년사평가” 내용파일 APT 악성코드 주의보 (0) | 2019.01.07 |
| 네이버naver.com 구글google.com 도데체 너의 정체는 뭐냐??? (2) | 2016.05.13 |
| Facebook사용법 | 페이스북의 숨겨진기능 | 기념계정관리자 (0) | 2016.05.12 |
| 페이스북(Facebook)계정비활성화 와 페이스북(Facebook)계정삭제 (0) | 2016.04.26 |
| 세계 추세와 거꾸로 가는 IT강국 대한민국 (0) | 2016.03.07 |
| [기획] 우리도 하스웰 리프레시, 인텔 펜티엄-셀러론 형제들 (0) | 2014.09.17 |