문제의 발단은 2013년 영국 케임브리지대학 연구진이 페이스북에서 사용할 수 있는 성격 진단 퀴즈 앱을 개발한 것이다. 연구진은 약관에 따라 사용자 동의를 얻었다고 밝혔다. 그러나 이들은 규칙을 어기고 영국 리서치업체 케임브리지애널리티카(CA)에 데이터를 유출했다는 사실이 발각됐다.
페이스북 회원 27만 명이 퀴즈 앱을 다운로드 했으며 이들의 친구를 포함해 무려 8700만 명의 데이터가 CA에 넘어갔다. 문제의 이 앱이 사용했던 것이 ‘자동 로그인’ 기능이다.
인터넷 서비스를 이용하려면 ID와 비밀번호를 입력해야 한다. 서비스마다 ID와 비밀번호를 바꾸는 것이 안전하지만 사용자로서는 매우 귀찮다. 이에 SNS에 로그인한 정보를 사용해 다른 서비스에 접속할 수 있도록 하는 기능이 ‘자동 로그인’이다.
사용자가 페이스북을 통해 자동 로그인을 이용하면 ‘액세스 토큰’이 생성된다. 앱 운영자는 이를 통해 서비스 제공에 필요한 정보를 페이스북에서 얻을 수 있다. 이런 절차 자체는 IT 업계에서 보편화했지만 페이스북은 액세스 토큰을 사용해 얻을 수 있는 정보가 다른 서비스보다 광범위했다고 신문은 지적했다.
페이스북이 손을 놓고 있던 것은 아니다. 페이스북은 자동 로그인을 사용하는 다른 업체 서비스가 어떤 정보를 요구하는지 로그인 화면에 표시하고 있다. 여기서 본래는 서비스 이용에 필요 없는 정보까지 요구하고 있는지 사용자들이 확인해야 한다. 성격 진단 앱도 이 화면이 나왔지만 대부분 이용자가 이를 잘 확인하지 않고 ‘계속하기’ 버튼을 누르고 말았다.
로그인 화면에 ‘편집하기’라는 버튼이 있었는데 이를 간과한 것도 문제였다. 이 버튼을 누르면 앱이 어떤 정보를 취득하고 그것을 허가할지를 이용자 자신이 결정할 수 있는 화면으로 옮긴다. 다만 이용자 대부분은 이것도 모르고 그냥 지나갔다.
페이스북은 지난 4일 사용자 정보 보호를 강화하기 위한 대책을 발표했다. 앱 개발자가 페이스북의 승인 없이 입수할 수 있는 정보를 이름과 프로필 사진, 메일 주소만으로 제한했다. 기타 정보를 입수하려면 사전 심사를 반드시 거쳐야 한다. 또 성격 진단 앱과 유사한 앱도 거의 내렸다. 10일에는 외부 앱에 의한 개인정보 부정 이용을 발견한 신고자에게 포상금을 제공하는 제도도 시작했다.
전문가들은 외부 서비스와 연계된 앱이나 사이트에는 확인 화면이 나오는데 사용자들이 꼼꼼하게 이를 살펴봐 자신의 중요한 정보가 유출되는 것을 막아야 한다고 권고했다.
일단 정보가 유출되면 자료화돼 다양한 사람들에게 넘어간다. 사이버 범죄자가 입수하면 스팸 메일과 바이러스 발송에 쓰이고 명의도용 사기에 사용될 위험도 있다.