페이스북은 단순한 사회관계망서비스(SNS)가 아니다. 월 20억 명을 헤아리는 전 세계 사용자들이 매일 수억 건의 사진과 동영상을 비롯해 엄청난 양의 정보와 일상의 기록들을 공유하는 ‘버추얼 제국’이다.

페이스북 이용자 중에는 위치 정보 서비스와 ‘페이스북 라이브’ 동영상 서비스 등을 통해 ‘페친(페이스북 친구)’들과 사생활을 기꺼이 공유하는 경우가 많다. 따라서 허술한 보안은 자칫 페이스북의 사업 기반을 뒤흔들 수 있다.

알렉스 스타모스 페이스북 최고보안책임자(CSO)는 누구보다 이를 잘 인식하고 있다. 그는 ‘이코노미조선’과의 이메일 인터뷰에서 “사용자의 개인 정보를 안전하게 보호하는 것이 페이스북이 관여하는 모든 활동의 중심”이라고 강조했다. 페이스북은 보안 강화를 위해 야후의 최고정보보호책임자(CSIO)로 있던 스타모스를 2015년 6월 영입했다.



안전한 페이스북 사용 위한 2단계 인증 로그인. <자료 : 페이스북>

페이스북을 사이버 공격으로부터 보호하기 위해 어떤 노력을 하나.
“페이스북을 안전한 공간으로 만들기 위해 우리는 매일 총 80조 회 넘게 점검한다. 매초 수백만 건의 위험을 감지해 위험 요소를 사전에 차단하고 있다. 회원이 한 번 로그인할 때마다 IP 주소(컴퓨터의 위치), 기기 정보 등 접속 환경에 관한 80여 항목을 실시간으로 저장한다. 회원별로 이런 기록을 축적해, 다음 접속 시 저장  기록과 비교해 수상한 접근을 잡아낸다. 예를 들면 한국에서 줄곧 접속했던 사용자가 갑자기 다른 나라에서 새로운 휴대전화로 페이스북에 접속할 경우 본인이 아닐 가능성이 크다고 판단해 즉각 회원에게 알려준다. 수상한 접근을 파악한 후 회원 본인에게 통지하기까지 30초도 안 걸린다.”

기술적 한계를 뒷받침하기 위한 제도적 노력은.
“2011년 도입한 ‘버그 바운티 프로그램’이 대표적이다. 페이스북에서 버그(bug·프로그램 오류) 등 보안상 취약점을 발견해 신고하면 포상금을 지급한다. 지금까지 지급한 포상금이 수백만달러에 이른다. 이와 함께 페이스북을 통해 악성코드를 퍼뜨리려 하거나 기타 사용자에게 위해를 가하려 했던 이들에 대해 지금까지 총 20억달러(약 2조2500억원) 규모의 법적 소송을 진행했다.”

다른 기업이나 기관과도 협력하나.
“기업 간 협력에도 힘을 쏟고 있다. 마이크로소프트(MS), 드롭박스, 야후, 텀블러, 핀터레스트 등과 ‘스레트익스체인지(ThreatExchange)’라는 보안 정보 공유 플랫폼을 운영 중이다. 이 밖에도 다양한 방법으로 20억 사용자의 개인 정보 보호를 위한 기술 개발에 지속해서 투자하고 있다.”

페이스북 보안팀의 구성과 특징은.
“페이스북의 보안팀은 미국 국방성에서 최첨단 해킹 공격을 막아냈던 전문가들로 구성돼 있다. 페이스북 직원들은 부서와 관계없이 입사 후 6주간에 걸친 집중 보안 교육을 받는다. 매주 20가지가 넘는 언어로 접수되는 수백만 건의 신고 내용을 검토하는 별도의 팀도 있다. 최근에는 보안용 인공지능(AI) 프로그램으로 방대한 로그인 정보를 사전에 분석·학습해 미세한 변화만으로도 수상한 접근을 잡아낸다. 페이스북을 향한 공격 징후가 발견되거나 보안 위험 상황이 발생했을 때 모니터링 실무자는 윗선에 보고할 필요 없이 즉각 문제를 처리한다. 보안은 기술도 중요하지만, 신속한 대응이 생명이다.”

새로운 기능과 서비스를 추가할 때 보안 문제는.
“지난해 말 론칭한 ‘워크플레이스(Workplace)’를 포함해 페이스북의 새로운 서비스와 제품 개발 시 보안을 최우선에 두고 진행한다. 페이스북 전체 직원 1만7500명 중 약 10%가 보안 인력이다. 대부분 인터넷 업체들은 신규 서비스 설계가 끝나면 마지막에 보안 엔지니어가 참여해 이상 여부를 확인하지만, 페이스북은 코딩 설계 때부터 보안 인력을 투입해 사고를 최소화한다. 거의 매일 새로운 코드가 추가되지만, 보안과 관련한 큰 사고가 나지 않는 것도 이 덕분이다.”

‘워크플레이스’를 이용하면 외근 중인 직원도 동료와 그룹을 설정해 실시간으로 채팅이나 기획 회의를 진행할 수 있다. ‘페이스북 라이브’ 동영상 서비스를 통해 실시간 프레젠테이션 중계와 시청도 가능하다. 이미 1만4000개사가 넘는 기업들이 워크플레이스를 사용 중이다.

안전한 페이스북 활동을 위해 사용자가 할 일은.
“페이스북은 사용자 스스로 계정을 안전하게 관리할 수 있는 도구와 리소스를 제공하고 있다. ‘2단계 로그인’ 설정으로 보안을 강화할 수 있고, 공개 범위 확인 기능을 이용해 게시물의 공개 범위를 변경할 수도 있다. 활동 로그를 살펴보면, 지금까지 내가 페이스북상에서 공유했던 모든 게시물의 공개 범위를 검토할 수 있다. 페이스북상에서 더는 이야기를 나누고 싶지 않은 사람이나 스팸을 뿌리는 계정은 2~3번의 클릭만으로 신고하거나 차단할 수 있다. 보안 확인(Security Checkup) 역시 쉽고 간편하게 내 계정을 보호할 수 있는 도구 중 하나다.”


▒ 알렉스 스타모스(Alex Stamos)
아이섹파트너스(iSec Partners) 공동 창업, 야후 최고정보보호책임자(CSIO)


plus point

노트북 카메라에 테이프 붙인 페이스북 창업자 저커버그


마크 저커버그 CEO가 페이스북에 올린 사진. 오른쪽 노트북의 카메라와 스피커(원안)에 테이프가 붙어있다. <사진 : 유튜브 캡처>

지난해 여름 페이스북의 최고경영자(CEO) 마크 저커버그의 아날로그식 해킹 방지법이 공개됐다.

당시 그가 찍어 자신의 페이스북 계정에 올린 ‘셀카’ 한쪽에 카메라와 마이크 부분에 테이프가 붙어 있는 노트북이 포착된 것(사진)이다. 카메라와 마이크를 틀어막아 주변 소리나 사진, 또는 영상이 외부로 유출되는 것을 막으려 한 것이지만, 첨단 기술 기업의 최고경영자가 뜻밖에 아날로그적인 방식을 쓰고 있어 큰 화제가 됐다.

노트북을 이용한 도청이나 사진·동영상 탈취는 의외로 간단하다. 사용자 몰래 컴퓨터를 조작할 악성코드만 설치할 수 있다면 아무런 흔적도 남지 않게 소리를 녹음하거나, 사진을 찍을 수 있다.

결론적으로 저커버그의 ‘테이프 보안’ 기법은 나쁘지 않은 선택이다. 첨단기술을 이용해 수시로 자신의 컴퓨터를 점검할 수 있다 해도 빈틈이 생길 수 있는 상황에서 소리나 영상을 전달하는 센서 자체를 틀어막아 두는 건 효과가 확실한 해킹 예방법이다.

이용성 차장

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com