페이스북 보안부문 총괄 임원이 이용자들의 온라인 안전을 보장하려면 미국과 유럽연합(EU) 정부의 도움이 필요하다고 강조했다. 시민 감시나 온라인 검열에 열을 올리기보다는 프라이버시와 정보보호 자체에 힘써 달라는 주문이다.
미국 지디넷은 9일(현지시각) 알렉스 스타모스 페이스북 최고보안책임자(CSO)가 서비스 이용자들의 온라인 활동을 안전하게 지키기 위해 어떤 노력을 기울이고 있는지 제시하며 정부가 이를 방해할 게 아니라 도와야 하는 이유에 대해 설명했다고 보도했다. 그는 이날 포르투갈 리스본에서 진행된 '웹서밋2016' 컨퍼런스에 참석해 페이스북의 각종 이용자 안전 및 보안 전략 활동 사례들을 열거하며 온라인 서비스에 대한 미국과 EU정부의 인식 변화를 촉구했다.
[☞참조링크: Facebook: EU, US governments should 'set the example' for citizen safety online]
세계를 열리고 연결된 곳으로 만드는 회사의 기본 목적을 달성하기 위해 안전해져야 할 필요가 있는데, 이는 단지 보안성을 높게 만들어야 하는 것과는 다른 의미라고 한다. 페이스북 사전에서 보안(securIty)은 공격자가 악용할 수 있는 취약점을 거의 또는 아예 없도록 강력하고 공격에 견딜 수 있는 소프트웨어를 만드는 데 집중한다는 의미다. 페이스북은 자사 서비스 네트워크를 이용하기에 안전(safe)하도록 만드는 데에도 집중하고 있다고 한다.
어도비 플래시나 오라클의 솔루션이나 마이크로소프트의 윈도 운영체제같은 인기 소프트웨어와 여러 브라우저는 사이버공격자들에게 악용될 취약점을 찾아내기 좋은 목표물이다. 스타모스는 이런 현대 위협 환경에서 개발업체들이 더이상 소프트웨어를 내놓고 이용자들이 그와 상호작용하는 방식을 한 발 물러나 지켜보며 기다리도록 놔두지 못하게 만든다고 지적했다.
스타모스 CSO는 페이스북이 취약점과 버그를 악용하려는 공격 시도를 막기 위해 '안전 지향 개발문화'를 도입했다고 밝혔다. 개발 사후가 아니라 시작 단계부터 안전을 고려한 문화라는 설명이다. 페이스북은 이용자명과 비밀번호를 통한 인증 절차에 처음으로 이런 문화를 반영했다. 그 결과 낡고 단순한 로그인 대신 이중요소인증 옵션을 도입헸다. 계정 도용 가능성을 탐지하기 위해 이용자 데이터의 일부분을 활용하는 소셜그래프 알고리즘도 적용했다.
페이스북은 또 계정 복구 절차에서 공격자에게 약점이 될 수 있는, 이메일 계정에 통상적인 비밀번호 링크를 보내는 방식 대신, 비밀번호를 분실했을 때 이용자 계정 잠금을 해제하기 위해 당사자의 신원을 확인하는 소셜커넥션을 도입하기로 했다. 즉 계정 인증 목적에 쓸 정보를 제공하기 위해 이메일 대신 이용자의 가까운 연고자들에게 접촉하는 방식을 도입하려 한다는 설명이다.
페이스북은 또 온라인에 유출된 비밀번호 파일 덤프를 얻어내는 수많은 파트너들과 협력 중이라고 밝혔다. 덤프를 통해 페이스북 서비스에 비밀번호를 재사용하고 있는 사례를 파악하고 만일 발견되면 그에게 계정이 위험에 노출됐다는 점을 경고하는 식으로 활용한다는 설명이다. 몇년간 페이스북은 비밀번호 10억건을 테스트해 왔으며 그 결과 수천만 이용자에게 그들의 계정이 블랙마켓에서 거래되고 있다는 점을 경고했다고 한다.
■ "개방성-투명성 위한 선례 만들 필요 있다"
페이스북은 이용자 안전을 염두에 둔 또 다른 프로젝트로 '쓰릿 익스체인지(Threat Exchange)'를 진행 중이다. 스팸 발송부터 APT 공격까지 아우르는 위협 데이터가 공유되기 전에 페이스북 소셜네트워크를 아우르는 수상한 활동과 패턴을 탐지하는 머신러닝 플랫폼을 운영하는 프로젝트다. 여기에 참여하는 기업이 450곳을 넘었다.
페이스북은 또 자사 시스템에서 SQL쿼리를 빠르게 전달하면서 네트워크에 손상을 가할 수 있는 위협적인 행동을 적발해 즉각적으로 대응할 수 있도록 하는 데 사용되는 소프트웨어를 만드는 오픈소스 프로젝트 'OS쿼리(osquery)'를 운영 중이다.
이와 별개로 페이스북 메신저와 왓츠앱의 종단간 암호화를 통해 이용자 통신을 중간자공격(MiTM threat)과 감시같은 위협으로부터 보호하고 있다. 정부 감청 및 서비스 차단 정책을 적용받고 있는 지역의 이용자를 위해 표준 페이스북 도메인에 토르(Tor) 네트워크 지원 기능을 추가하기도 했다. 토르 브라우저 이용자들이 어니언(.onion) 도메인을 통해 페이스북 서비스에 접속할 수 있게 했단 얘기다.
이밖에도 페이스북은 이용자들에게 온라인 안전과 함께 제공하는 서비스의 프라이버시 및 보안 설정 분야 기초지식 및 숙련 요소를 제공하도록 고안된 세이프티센터를 다시 출범시키기도 했다.
스타모스 CSO는 온라인 이용자들이 향후 몇년간 보안 및 안전 수준을 적정하게 유지하려고 한다면 더 많은 소프트웨어 개발업체가 "처음부터 보안에 대해 고려해야 할" 것이라고 지적했다. 다만 EU와 미국을 비롯한 각국 정부 역시 암호화를 비롯한 그들의 보안 절차 관련 태도를 재고해야 할 필요가 있다고 덧붙였다.
관련기사
- 中서 인터넷사업 하려면 데이터 역내 저장해야2016.11.10
- "페이스북, 당신을 '빅브라더'로 임명합니다"2016.11.10
- MS에 힘 싣는 美 IT업계 "수사사실 공지 허용해라"2016.11.10
- 신경민 의원 '개인 통신자료 보호법' 발의2016.11.10
정부기관 및 사법조직과 기술업계 거인들간에는 지난 몇년간 암호화와 관련된 여러 다툼이 있었다. 암호화 자체는 세계 시민들의 통신을 사이버공격과 감시로부터 보호할 수 있지만, 정부 조직들은 서비스 제공자가 감시나 모바일 기기 접근과 같은 이유로 의도적인 백도어부터 암호화 해제 소프트웨어까지 모든 것을 제공하길 원했다.
스타모스 CSO는 "우리가 시민들을 위해 안전, 보안, 신뢰를 갖춘 소프트웨어를 만들 필요가 있는 사례를 만들 수 있도록 도움을 받아야 한다"면서 "우리에겐 EU와 미국 정부가 감시와 검열을 위한 게 아니라, 사람들이 현실에서 계속 안전할 수 있게 해줄 개방성과 투명성을 위한 선례를 만들어 줄 필요가 있다고 본다"고도 강조했다.