메타, 2,510만 유로의 2018년 데이터 유출로 2억 5,100만 유로 벌금 부과

메타, 페이스북의 모회사, 는 아일랜드 데이터 보호 위원회(DPC)로부터 2018년에 발견된 데이터 유출과 관련하여 일반 데이터 보호 규정(GDPR)을 위반한 혐의로 2억 5,100만 유로(약 2억 6,300만 달러)의 벌금을 부과받았습니다.

아일랜드 규제 기관에 따르면, 이 유출 사건은 2017년 7월로 거슬러 올라가며, 페이스북이 “다른 사용자로 보기(View As)” 기능을 포함한 비디오 업로드 기능을 배포했을 때 발생했습니다.

이 기능은 사용자가 자신의 페이스북 페이지를 다른 사용자가 보는 것처럼 볼 수 있게 해주었습니다.

사이버 공격자들은 페이스북의 “다른 사용자로 보기(View As)” 기능의 취약점을 악용하여 비디오 업로더와 페이스북의 “생일 축하 작곡기(Happy Birthday Composer)” 기능을 결합하여 호출할 수 있었습니다.

비디오 업로더는 공격자에게 다른 사용자의 페이스북 프로필에 대한 전체 액세스를 제공하는 사용자 토큰을 생성했습니다.

DPC에 따르면, 공격자들은 도난당한 토큰을 사용하여 다른 계정에서 유사한 기능을 악용하여 여러 사용자 프로필과 관련된 데이터에 접근했습니다.

이 기관은 2018년 9월 14일부터 9월 28일 사이에 무단으로 접근한 사람들이 이 취약점을 악용하여 전 세계적으로 약 2,900만 개의 페이스북 계정에 접근했으며, 그 중 300만 개는 유럽 연합(EU) 및 유럽 경제 지역(EEA) 내에 포함된다고 추가했습니다.

유출된 개인 데이터에는 사용자의 전체 이름, 이메일 주소, 전화번호, 위치, 직장, 생년월일, 종교, 성별, 타임라인 게시물, 사용자가 가입한 그룹 및 자녀의 개인 데이터가 포함되었습니다.

페이스북은 “다른 사용자로 보기(View As)” 기능에서 버그를 발견한 직후 보안 직원이 즉각적인 수정 조치를 취하고 기능을 제거했습니다.

아일랜드 DPC는 2018년 데이터 유출과 관련하여 다음과 같은 GDPR 위반 사항을 구체적으로 확인했습니다:

• 제33조(3): 유출 통지 세부정보 제공 실패 –> 800만 유로 벌금
• 제33조(5): 유출 사실 및 해결책에 대한 문서화 부족 –> 300만 유로 벌금
• 제25조(1): 시스템 설계에 데이터 보호 통합 실패 –> 1억 3천만 유로 벌금
• 제25조(2): 특정 목적에 필요한 개인 데이터만 기본적으로 처리되도록 보장하지 못함 –> 1억 1천만 유로 벌금 **

“이 집행 조치는 설계 및 개발 주기 전반에 걸쳐 데이터 보호 요구 사항을 구축하지 못하는 것이 개인에게 매우 심각한 위험과 해를 초래할 수 있음을 강조합니다. 이는 개인의 기본적인 권리와 자유에 대한 위험을 포함합니다.”라고 DPC의 부위원장인 그레이엄 도일(Graham Doyle)이 언급했습니다.

“프로필 정보의 무단 노출을 허용함으로써 이 유출의 배후에 있는 취약점은 이러한 유형의 데이터 오용에 대한 심각한 위험을 초래했습니다.”

DPC의 발표에 대한 응답으로, 메타의 대변인은 BleepingComputer에 대한 성명에서 “이 결정은 2018년의 사건과 관련이 있습니다. 우리는 문제가 확인되자마자 즉각적인 조치를 취했으며, 영향을 받은 사람들과 아일랜드 데이터 보호 위원회에 사전적으로 알렸습니다. 우리는 플랫폼 전반에 걸쳐 사람들을 보호하기 위해 다양한 업계 선도적인 조치를 마련하고 있습니다.”라고 밝혔습니다.