Kant's IT/Issue on IT&Security

Meta에 대한 아일랜드 데이터 보호 위원회(DPC)의 €9100만 벌금 부과

Kant Jo 2024. 10. 1. 23:19

Irish Data Protection Commission fined Meta €91 million for storing passwords in readable format

 

Irish Data Protection Commission fined Meta €91 million for storing passwords in readable format

The Irish Data Protection Commission (DPC) fined Meta €91 million for storing the passwords of hundreds of millions of users in plaintext.

securityaffairs.com

 

  • 사건 개요
    • Meta Platforms Ireland Limited수억 명의 사용자 비밀번호를 평문(plaintext) 형식으로 저장하여 데이터 보호 규정을 위반한 혐의로 €9100만(약 $1억)의 벌금을 부과받음
    • 2019년, Meta는 일부 사용자의 비밀번호를 내부 시스템에 암호화 없이 평문으로 저장했다는 사실을 공개함
    • Meta는 이 문제를 수정했으며, 영향을 받은 사용자들에게 예방적 조치로 통지를 할 계획이라고 발표함
  • 조사 및 결과
    • Meta는 2019년 1월 정기 보안 점검 중 일부 사용자 비밀번호가 읽을 수 있는 형식으로 저장된 것을 발견
    • Facebook Lite, Facebook, Instagram 사용자 중 수백만 명이 영향을 받았으며, 내부적으로만 접근 가능했으나 오용 증거는 발견되지 않음
    • DPC는 2019년 4월 Meta의 신고를 받아 데이터 저장 관행에 대한 조사를 시작함
    • 2024년 9월 26일, DPC는 Meta에 대해 €9100만 벌금공식 경고를 통보함
  • 비밀번호 평문 저장의 문제점
    • 평문으로 비밀번호를 저장하는 것은 암호화되지 않은 비밀번호에 접근할 수 있는 위험이 발생하기 때문에 보안상 매우 위험
    • 특히 소셜 미디어 계정에 접근할 수 있는 비밀번호는 매우 민감한 정보로 취급되어야 함
    • DPC는 이 사건이 특히 사용자 소셜 미디어 계정 보안에 심각한 영향을 미칠 수 있다는 점을 강조
  • 향후 계획
    • DPC는 이번 사건에 대한 최종 결정추가 세부사항을 추후 발표할 예정
  • 시사점
    • 이번 사건은 비밀번호 보안의 중요성기업의 데이터 보호 책임에 대한 경각심을 다시 한번 일깨우는 사례
    • 기업들은 비밀번호 암호화 및 데이터 보호 절차를 강화할 필요가 있음을 시사