[서울이코노미뉴스 최현정 시민기자] 글로벌 최대 사회관계망서비스(SNS) 페이스북이 보안 논란에 다시 휩싸였다.

아이디를 입력하는 과정에서 '오타'가 발생했음에도 로그인이 되는 현상이 발견된 것이다.

페이스북은 "사용자 편의를 위한 알고리즘에서 비롯된 현상"이라고 해명했지만, 이용자들의 불안을 잠식시키기엔 충분치 못한 해명이라는 지적이 제기되고 있다.

페이스북은 2018년 최대 5000만명에 이르는 개인 정보가 유출되는 등 수차례에 걸쳐 보안 사고로 문제가 된 적 있다.

이번 논란은 로그인과 관련한 문제를 발견한 이용자가 최초로 글을 올린 후 이를 동일하게 실험해 본 다른 이용자들이 잇따라 등장하면서 불거졌다.

페이스북은 이러한 문제에 대해 '버그' 등의 오류가 아닌 '사용자 편의'를 위해 의도적으로 만든 알고리즘에 의해 발생한 현상이라고 설명했다.

또 이러한 오타 허용 문제가 아이디뿐만 아니라 비밀번호에도 동일하게 작용된다고 밝혔다.

현재까지 알려진 페이스북의 오타 허용 사례는 크게 세 가지다. △'캡스락'(Capslock) 키가 눌러져 있어 비밀번호의 대·소문자가 반대로 입력된 경우 △아이디·비번의 시작 혹은 끝에 추가 문자 혹은 다른 문자를 입력한 경우 △아이디·비번이 첫 문자가 소문자인데 대문자로 입력된 경우다. 세 번째 사례의 경우는 휴대폰에서 한글·영어 자판으로 변환할 때 첫 문자가 대문자로 자동 설정되는 것을 감안한 설정이다.

이외에도 다른 오타 허용 사례가 있을 것으로 추정되지만, 페이스북 측은 정확히 해당 알고리즘에 대해 공개하지 않고 있는 상황이다.

페이스북은 "'사용자의 편의성'을 위해 아이디나 비밀번호의 오타 발생에 대해서 어느 정도 수준을 두고 허용하게 하는 것"이라면서 "오타의 범위를 엄격히 제한하고 있고 단순한 오타 실수가 아닌 비밀번호 입력 방법을 확인하기 때문에 해킹 등에 대한 보안 문제는 안전하다"고 설명했다.

미국의 한 개발자도 페이스북의 이 같은 알고리즘과 관련해 보안에 문제는 없다고 거들었다. 이 개발자는 웹사이트 '하우 투 긱'(how to geek)에서 "오타 허용 범위에 있는 비밀번호를 메모장에서 복사해 붙여넣었을 때 로그인이 허용되지 않았다"면서 "이같은 오타 허용을 이용해 해킹하기 위해서는 해커가 기존의 올바른 비밀번호를 이미 알고 있어야만 가능할 것"이라고 설명했다.

반면 국내 보안업계 관계자들은 아이디뿐 아니라 비밀번호가 틀려도 로그인이 가능하다면 의심의 여지없이 보안 취약이라는 입장이다.

한 관계자는 "페이스북이 보안보다 사용자의 편의성을 중시한 것으로 보인다"고 지적하기도 했다.

또 다른 관계자도 "페이스북의 말대로 당장 보안 위협이 불거지지는 않을 수도 있다"면서 "다만 통과할 수 있는 암호가 여럿이라는 점이 큰 문제이고, 비슷한 아이디와 비슷한 암호를 쓰는 다른 사용자가 존재하는 등의 다양한 사례를 대비할 수 있는지도 의문"이라고 밝혔다.

그러나 더 큰 문제는 페이스북의 이러한 '오타 허용'이 2011년부터 시작됐음에도 해당 알고리즘에 대해 명확히 알려진 게 없다는 사실이다. 특히 국내 이용자들에게는 더욱 그렇다. 이로 인해 지금껏 알고리즘 문제를 단순히 '버그'로 오인하는 경우가 많았다.

페이스북 측은 "사용자의 편의를 위한 것"이라며 '선의'를 강조하고 있지만, 이용자들이 해당 내용을 알지 못한 채로 '오타 허용'을 경험하게 되면 혼란만 가중될 뿐이라는 지적이 제기되고 있다. 

김휘강 고려대 정보보호대학원 교수는 "페이스북에서 해당 알고리즘에 대해 정확히 공개한 적이 없기 때문에 해킹 가능성에 대해서도 확답을 하긴 어렵다"면서도 "원칙상으로는 비번에 대해서는 오타를 허용하지 않는 것이 확실하고, 변경된 알고리즘이 적용됐다면 이용자들에게 확실히 공지해야지만 서비스 신뢰도 저하를 막을 수 있을 것"이라고 말했다.

페이스북은 지난해 12월 서비스 이용자 약 2억6700만명의 개인정보를 유출해 비판을 받기도 했다.

최현정 시민기자 다른기사 보기