19P by neo 16일전 | favorite | 댓글 7개
  • 아일랜드 데이터 보호 위원회(DPC)는 2019년 보안 침해 사건에 대한 조사를 마친 후 Meta에 1억 1백 5십만 달러(9천 1백만 유로)의 벌금을 부과함
  • Meta는 원래 2019년 1월 자사 서버에 일부 사용자 비밀번호가 평문으로 저장된 사실을 발표했음
  • 한 달 후, 수백만 개의 Instagram 비밀번호도 쉽게 읽을 수 있는 형식으로 저장되었다고 업데이트함
  • Meta는 몇 개의 계정이 영향을 받았는지 밝히지 않았으나, 당시 한 고위 직원은 _Krebs on Security_에 최대 6억 개의 비밀번호가 관련되었다고 언급함
  • 일부 비밀번호는 2012년부터 회사 서버에 평문으로 저장되었으며, 2만 명 이상의 Facebook 직원이 검색할 수 있었음
  • DPC는 외부 당사자에게는 비밀번호가 제공되지 않았음을 확인함
  • DPC는 Meta가 여러 GDPR 규칙을 위반했다고 판단함
    • 사용자 비밀번호 평문 저장과 관련된 개인 데이터 침해를 지체 없이 DPC에 통보하지 않음
    • 사용자 비밀번호 평문 저장과 관련된 개인 데이터 침해를 문서화하지 않음
    • 사용자 비밀번호의 무단 처리에 대한 보안을 보장하기 위한 적절한 기술적 조치를 사용하지 않음
  • DPC의 부국장 Graham Doyle은 "사용자 비밀번호는 평문으로 저장되지 않아야 하며, 이는 특히 소셜 미디어 계정 접근을 가능하게 하는 민감한 정보임을 고려해야 한다"고 언급함
  • DPC는 벌금 외에도 Meta에 경고를 주었으며, 위원회가 최종 결정을 발표할 때 Meta에 어떤 영향을 미칠지 더 알 수 있을 것임

GN⁺의 의견

  • 이번 사건은 대형 기술 기업들의 개인정보 보호 관행에 경종을 울리는 계기가 될 것임. 사용자 데이터를 안전하게 관리하는 것이 얼마나 중요한지를 다시 한번 일깨워줌
  • 메타는 이번 일을 계기로 보안 시스템을 대대적으로 점검하고 개선해야 할 것임. 암호화 등 기술적 조치 뿐 아니라 직원 교육, 내부 감사 등 조직적 차원의 노력도 필요해 보임
  • GDPR 위반에 대한 과징금 수준이 갈수록 높아지고 있음. 기업들은 GDPR을 비롯한 각국의 개인정보보호법을 철저히 준수하는 것이 리스크 관리 차원에서도 중요함을 인식해야 함
  • 한편, 이번 사건에서 드러난 보안 취약점이 실제 악용된 정황은 확인되지 않았음. 그럼에도 메타가 거액의 과징금을 물게 된 것은, 문제의 심각성과 관련 규정 위반의 정도가 크다고 판단되었기 때문으로 보임
  • 암호 관리와 관련해서는 평문 저장 외에도 솔트/해시 사용, 강력한 암호 정책 적용 등 다양한 보안 조치가 요구됨. 기업들은 전사적 차원에서 체계적인 암호 관리 정책을 마련하고 엄격히 적용할 필요가 있음

FAANG 에서 평문이라니.. 말도 안되는 뉴스네요..

Hacker News 의견
  • Meta가 비밀번호를 평문으로 저장하지 않으려 했으나, 버그로 인해 평문 비밀번호가 로그에 기록된 사건이 있었음

    • 2012년부터 6억 개의 비밀번호가 쉽게 읽을 수 있는 형식으로 저장되었고, 2만 명 이상의 Facebook 직원이 접근 가능했음
    • 이는 단순한 실수가 아니라 심각한 문제임
  • 현재 매출의 0.1% 벌금

    • 연 매출 10억 달러인 회사는 10만 달러를 벌금으로 내야 함
    • 이는 제대로 된 보안을 유지할 동기부여가 되지 않음
    • 로그를 통해 디버깅을 개선하여 효율성을 0.1% 이상 높인다면, 회사에게는 좋은 거래임
  • Meta 인터뷰에서 해싱과 레인보우 테이블 공격 질문은 일종의 도움 요청일 수 있음

  • 1억 2백만 달러의 벌금은 큰 금액처럼 들리지만, 유출된 평문 비밀번호 하나당 벌금은 1달러도 되지 않음

    • 벌금은 당국에 제때 알리지 않은 것에 대해 부과됨
    • 피해 사용자에 대한 평가가 흥미로움
  • 2019년 데이터 유출 사건은 2012년에 만들어진 시스템에서 발생

    • GDPR은 2018년에 도입되었고, Meta는 2019년 데이터 유출을 제대로 공개하지 않아 벌금을 부과받음
  • 큰 회사가 이런 실수를 저지르는 것이 이해되지 않음

    • 비밀번호 해싱과 솔팅은 기본적인 보안 절차임
    • Meta/Facebook 같은 대기업이 이런 실수를 저지르는 것은 상상할 수 없음
  • 인증 팀의 시스템이 비밀번호를 포함한 페이로드를 로그에 기록하지 않았기를 바람

    • 이는 다른 팀이 소유한 인프라 구성 요소에서 발생했을 가능성이 있음
  • 중복된 논의: 링크

서버에 저장할때 의도적으로 평문 저장한게 아니라 로그가 기록되는 과정에서 입력받은 평문 비밀번호가 저장된 경우가 있었나보네요
국내외를 가리지 않고 은근히 많죠...(로그파일에 비밀번호 저장되고 있는 경우...)

와... 이건 좀 충격인데요.

페이스북이 페이스북했네요

한국이라면 매출액의 0.1%가 아니라 0.001%만 벌금으로 내기만 하면 되는데 아깝네요(?)