Irish Data Protection Commission fined Meta €91 million for storing passwords in readable format
- 사건 개요
- Meta Platforms Ireland Limited는 수억 명의 사용자 비밀번호를 평문(plaintext) 형식으로 저장하여 데이터 보호 규정을 위반한 혐의로 €9100만(약 $1억)의 벌금을 부과받음
- 2019년, Meta는 일부 사용자의 비밀번호를 내부 시스템에 암호화 없이 평문으로 저장했다는 사실을 공개함
- Meta는 이 문제를 수정했으며, 영향을 받은 사용자들에게 예방적 조치로 통지를 할 계획이라고 발표함
- 조사 및 결과
- Meta는 2019년 1월 정기 보안 점검 중 일부 사용자 비밀번호가 읽을 수 있는 형식으로 저장된 것을 발견
- Facebook Lite, Facebook, Instagram 사용자 중 수백만 명이 영향을 받았으며, 내부적으로만 접근 가능했으나 오용 증거는 발견되지 않음
- DPC는 2019년 4월 Meta의 신고를 받아 데이터 저장 관행에 대한 조사를 시작함
- 2024년 9월 26일, DPC는 Meta에 대해 €9100만 벌금과 공식 경고를 통보함
- 비밀번호 평문 저장의 문제점
- 평문으로 비밀번호를 저장하는 것은 암호화되지 않은 비밀번호에 접근할 수 있는 위험이 발생하기 때문에 보안상 매우 위험
- 특히 소셜 미디어 계정에 접근할 수 있는 비밀번호는 매우 민감한 정보로 취급되어야 함
- DPC는 이 사건이 특히 사용자 소셜 미디어 계정 보안에 심각한 영향을 미칠 수 있다는 점을 강조
- 향후 계획
- DPC는 이번 사건에 대한 최종 결정 및 추가 세부사항을 추후 발표할 예정
- 시사점
- 이번 사건은 비밀번호 보안의 중요성과 기업의 데이터 보호 책임에 대한 경각심을 다시 한번 일깨우는 사례
- 기업들은 비밀번호 암호화 및 데이터 보호 절차를 강화할 필요가 있음을 시사
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
클라우드 내비게이터: CNAPP와 보안태세관리 트렌드 (0) | 2024.10.02 |
---|---|
성공적인 제로 트러스트 네트워크 액세스(ZTNA) 구현을 위한 제언 (1) | 2024.10.02 |
KT와 MS의 AI·클라우드 5개년 파트너십 (4) | 2024.10.01 |
2024년 9월 4주차 보안 소식: ‘노답’ (1) | 2024.10.01 |
2024년 전반기 랜섬웨어 산업 현황 분석 (1) | 2024.10.01 |