"실수해도 뚫리는 페이스북"…아이디·비번 좀 틀려도 로그인 된다?
2020.03.02 06:30
수정 : 2020.03.02 17:57기사원문
(서울=뉴스1) 권혁준 기자 = "페이스북은 아이디가 좀 틀려도 로그인이 된다고?"
최근 세계 최대 소셜미디어인 페이스북과 관련해 일부 이용자들 사이에서 논란이 불거졌다. 아이디를 입력하는 과정에서 '오타'가 발생했는데도 로그인이 가능했다는 것이다. 한 이용자가 최초로 글을 올린 이후 '실험'해 본 다른 이용자들도 놀랍다는 반응을 보였다.
이에 대해 페이스북 측은 '버그' 등의 오류가 아닌 사용자 편의를 위한 알고리듬이라고 설명했다. 그리고 이는 아이디뿐 아니라 비밀번호에도 동일하게 작용된다고 덧붙였다.
현재까지 알려진 페이스북의 오타 허용 사례는 크게 세 가지다. Δ'캡스락'(Capslock)키가 눌려져 있어 비밀번호의 대·소문자가 반대로 입력된 경우 Δ아이디·비번의 시작 혹은 끝에 추가 문자·혹은 다른 문자를 입력한 경우 Δ아이디·비번의 첫 문자가 소문자인데 대문자로 입력된 경우다. 세 번째 사례의 경우 휴대폰에서 한글·영어를 변환할 때 첫 문자가 대문자로 자동 설정되는 것을 감안한 것이다.
이외에도 다른 오타 허용 사례가 있을 것으로 추정되지만, 페이스북에서 해당 알고리듬을 정확히 공개한 바는 없다.
페이스북 측은 "사용자의 편의성을 위해 아이디나 비밀번호의 오타 발생에 대해서 어느 정도 수준을 두고 허용하게 하는 것"이라면서도 "오타의 범위를 엄격히 제한하고 있고 단순한 오타 실수가 아닌 비밀번호 입력 방법을 확인하기 때문에 해킹 등의 보안 문제는 안전하다"고 설명했다.
미국의 한 개발자도 페이스북의 이같은 알고리듬에 대해 보안 문제는 안전하다고 설명했다. 이 개발자는 웹사이트 '하우 투 긱'(how to geek)에서 "오타 허용 범위에 있는 비밀번호를 메모장에서 복사해 붙여넣었을 때 로그인이 허용되지 않았다"면서 "이같은 오타 허용을 이용해 해킹하기 위해서는 해커가 기존의 올바른 비밀번호를 이미 알고 있어야만 가능할 것"이라고 설명했다.
반면 국내 보안업계 관계자들의 의견은 다소 달랐다. 한 관계자는 "페이스북이 보안보다 사용자의 편의성을 중시한 것으로 보인다"면서도 "아이디뿐 아니라 비밀번호가 틀려도 로그인이 가능하다면 의심의 여지가 없이 보안 취약이라고 봐야한다"고 지적했다.
또 다른 관계자도 "페이스북의 말대로 당장 보안 위협이 불거지지는 않을 수도 있다"면서도 "다만 통과할 수 있는 암호가 여럿이라는 점이 큰 문제이고, 비슷한 아이디와 비슷한 암호를 쓰는 다른 사용자가 존재하는 등의 다양한 사례를 대비할 수 있는지도 의문"이라고 밝혔다.
더구나 페이스북은 지난 2018년 최대 5000만명에 이르는 개인 정보가 유출되는 등 여러차례 보안 사고로 문제가 된 적이 있다. 대부분의 SNS와 웹사이트 등과 다르게 오타를 허용하는 부분이 있다는 자체만으로 이용자들에게는 불안감이 느껴질 수밖에 없다.
더 큰 문제는 이같은 알고리듬에 대해 대부분의 이용자들이 알지 못하고 있다는 것이다. 외신 등에 따르면 페이스북의 '오타 허용'은 2011년부터 적용됐다. 그러나 국내 이용자들에게는 이같은 내용이 알려진 바 없다. 이번 논란 이전에도 몇 차례 일었고, 이를 정확히 알지 못하는 이용자들이 '버그'로 오인하기도 했다.
페이스북 측은 "사용자의 편의를 위한 것"이라며 '선의'를 강조하고 있지만, 이용자들이 해당 내용을 알지 못한 채로 '오타 허용'을 경험하게 되면 혼란함만 가중될 수밖에 없다.
김휘강 고려대 정보보호대학원 교수는 "페이스북에서 해당 알고리듬에 대해 정확히 공개한 적이 없기 때문에 해킹 가능성에 대해서도 확답을 하긴 어렵다"면서도 "원칙상으로는 비번에 대해서는 오타를 허용하지 않는 것이 확실하고, 변경된 알고리즘이 적용됐다면 이용자들에게 확실히 공지를 해야만 서비스 신뢰도 저하를 막을 수 있을 것"이라고 말했다.
보안업계 관계자도 "페이스북이 말하는 편의성이 정말 이용자들에게 '편의'로 다가오는 지 의문"이라면서 "페북에서만 통용되는 알고리듬으로 인해 각 사이트별로 계정과 암호를 다 다르게 설정해야 한다면 그 자체로 '불편'일 수밖에 없다"고 강조했다.