메타가 비밀번호 수억 건을 암호화하지 않고 서버에 보관한 문제로 조사를 진행하던 아일랜드 데이터보호위원회(DPC)가 9월 27일 메타에 9,100만 유로 제재금을 부과한다고 발표했다.
이 문제는 보안 연구자 브라이언 크렙스가 2019년 당시 사명이 페이스북이던 메타 서버에 페이스북 사용자 수억 명 계정 비밀번호가 평문으로 저장되어 있었고 페이스북 직원 수천 명이 검색할 수 있는 상태였다고 보도하면서 발각됐다.
메타는 영향을 받은 사용자에 대한 구체적인 수를 밝히지 않았지만 페이스북 라이트 사용자 수억 명, 다른 페이스북 사용자 수천만 명, 인스타그램 사용자 수백만 명에게 비밀번호 문제에 대한 공지를 할 예정이라고 보고했다.
이에 대해 5년간 조사를 진행해온 DPC는 9월 27일 메타 아일랜드 자회사인 MPIL(Meta Platforms Ireland Limited)에 대해 경고와 제재금 9,100만 유로를 부과한다고 발표했다.
1990년대 이후 사용자 데이터를 다루는 업계에서는 비밀번호를 암호화하여 해시화하는 게 일반적인 관행이었다. 해시화란 평문 각 입력마다 고유한 긴 문자열을 할당하는 일방향 암호 알고리즘을 통해 비밀번호를 다루는 방식을 말한다. 이런 모범 사례는 최근 많은 지역 법률과 규정에서 의무화되고 있다.
그럼에도 불구하고 메타는 사용자 비밀번호를 안전하게 처리하지 않았다는 게 당국 조사로 밝혀졌다.
DPC 그레이엄 도일 부위원장은 성명에서 사용자 데이터에 접근되어 부정 사용될 위험을 고려하면 비밀번호를 평문으로 저장해서는 안 된다는 건 널리 인정되고 있다며 그 중에서도 이번 조사 대상이 된 비밀번호는 사용자 소셜 미디어 계정에 대한 접근을 가능하게 하는 것이므로 그 중에서도 기밀성이 높다는 점에 유의해야 한다고 언급했다.
이런 문제로 인해 메타는 데이터 유출에 대해 DPC에 보고할 걸 규정한 EU 일반 데이터 보호 규정(GDPR) 제33조와 비밀번호 기밀성을 확보하기 위한 대책을 강구할 걸 의무화한 동 제32조를 위반했다고 DPC는 지적했다.
발표에 대해 메타 측은 자사는 2019년 보안 검토 중 이 오류를 식별한 뒤 즉시 시정 조치를 취했으며 비밀번호가 악용되거나 부적절하게 접근된 증거는 없다고 말했다. DPC는 추후 이 문제에 관한 조사 결과 세부 내용을 공개할 예정이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.