소셜 로그인의 명과 암

JiranSecurity

소셜 로그인의 등장으로 우리는 서비스 이용을 위해 항상 수행해야 했던 귀찮은 회원가입 절차를 거의 생략할 수 있었습니다. 그러나 최근 발생한 소셜 로그인 계정의 해킹 소식은 소셜 로그인의 어두운 면에 대하여 우리에게 큰 경고를 주고 있기도 합니다. 소셜 로그인의 명과 암을 살펴보겠습니다.

 

소셜 로그인의 확산

소셜 로그인은 페이스북, 트위터, 구글과 같은 소셜 네트워크 서비스와 카카오, 네이버와 같은 메신저, 포털 서비스의 가입 정보를 사용하여 새로운 로그인 계정을 만들지 않고 타사 서비스에 로그인하는 방식을 말합니다. 사용자에게는 번거로운 회원가입 절차 없이 기존 가입정보를 통해 로그인을 할 수 있다는 점과 서비스를 이용하는데 있어서 로그인 정보(ID/PW)를 추가로 입력하지 않고 연동된 소셜 로그인으로 이용 가능하다는 측면에서 편의성을 제공하기 때문에 소셜 네트워크 서비스의 등장 이후 빠르게 확산되어 왔습니다. 또한 ID/PW를 계속 기억해야 하는 불편함과 생각이 나지 않을 경우 이를 찾기 위해 진행해야 했던 번거로운 프로세스를 생략 가능하다는 것도 소셜 로그인의 확산 배경이라고 할 수 있습니다. (모바일 디바이스의 확산과 함께 언제, 어디서나 인터넷에 접속할 수 있기 되면서 대다수의 사용자들이 소셜 네트워크 서비스를 이용함에 따라 소셜 로그인 이용 역시 증가했다고 볼 수 있습니다.)

국내 역시 소셜 로그인을 제공하는 벤더들이 존재하며 많은 기업들이 이를 이용하고 있습니다. 방송통신위원회에서 2018년 8월 발표한 ‘소셜 로그인 운영 현황 점검 결과’에 따르면 국내에서 소셜 로그인을 제공하는 벤더는 크게 네이버, 카카오, 페이스북, 구글이 있으며, 이들이 제공하는 소셜 로그인을 이용하는 기업은 네이버 16,000여개, 카카오 8,400여개, 페이스북 285,000여개로 추정될 정도 국내에서도 이용 비중이 높다고 할 수 있습니다. 위에서 언급한 사용자 입장에서 소셜 로그인이 주는 이점이 기업에게도 서비스 접근 장벽을 낮출 수 있기 때문에 기업의 입장에서도 소셜 로그인 지원을 확대하게 된 것이죠.

결과적으로 소셜 로그인의 확산은 사용자와 기업 그리고 인터넷 이용 환경의 변화가 모두 복합적으로 작용했다고 할 수 있습니다.

 

소셜 로그인의 위협

 

반면 소셜 로그인 이용에 있어 부정적인 측면 역시 존재합니다. 대표적인 이슈는 개인정보 과다 제공소셜 네트워크 서비스 계정 해킹으로  발생할 수 있는 각각의 위협은 다음과 같습니다.

1. 개인정보 과다 제공

개인정보 과다 제공은 일반적인 회원 가입 과정에서 요구하는 정보에 비해 과다한 개인정보가 제공되는 경우를 의미합니다. 예를 들어 해당 사이트에서 직접 회원 가입을 할 경우 요구하는 정보가 ID, 비밀번호 이메일, 연락처라면 소셜 로그인으로 이용 시 소셜 로그인에서 기본적으로 제공하는 정보 이외에도 사이트 운영사가 요구하는 추가 정보가 함께 제공될 수 있습니다.

방송통신위원회의 발표 자료에 따르면 네이버 소셜 로그인을 이용할 경우 별명, 프로필 사진, 생일, 성별, 연령대 등의 정보가 페이스북 소셜 로그인의 경우 성별, 연령대, 학력, 타임라인, 혈액형, 고향, 경력 등 70여개 정보가 서비스 업체의 정책에 의해 수집되고 있는 것으로 나타났습니다. (서비스 업체가 소셜 로그인의 모든 정보를 수집하는 것은 아니며, 업체 별 정책에 따라 수집하는 정보는 상이할 수 있습니다.)

소셜로그인 제공업체의 운영 현황, 방송통신위원회
소셜로그인 제공업체의 운영 현황, 방송통신위원회

그리고 2018년 3월에 발생한 페이스북 소셜 로그인을 통한 개인정보 과다 수집 및 판매 사건이 과다 제공에 따른 문제를 보여주는 예라고 할 수 있습니다.

– 한 서비스 업체가 페이스북 소셜 로그인을 통해 5,000만명의 사용자 개인 정보를 수집, 이를 다른 기관에게 판매한 사건으로 판매 정보가 선거에 활용되면서 논란

※ 관련기사 : 민감 정보 마구잡이로 넘긴 페이스북의 배신, 한겨레21

 

2. 소셜 네트워크 서비스 계정 해킹

소셜 네트워크 서비스 계정 해킹은 소셜 네트워크 서비스 이용 정보의 탈취, 연결된 사람들을 위협하는 공격 채널 그리고  해킹된 정보를 바탕으로 또 다른 피해를 야기시킬 수 있는 ‘열쇠’라는 측면에서 실질적인 피해를 초래할 수 있는 위협이라고 할 수 있습니다. 해킹의 피해가 자신 뿐만 아니라 주변 사람들에게까지 확대될 수 있는 것이죠. 해킹된 계정으로 연결되어 있는 지인들에게 돈을 요구하거나 악성 URL을 전파하는 사회공학 공격은 쉽게 접할 수 있는 사례입니다. 소셜 네트워크 서비스를 통해 중요한 메시지를 주고 받았을 경우 해당 정보 공개를 빌미로 돈을 요구할 수도 있습니다. 또 다른 피해는 소셜 로그인을 이용해 다른 서비스에 접근하는 것 입니다. 소셜 로그인을 이용하여 에어비앤비에 접근, 여행 정보, 결제 정보, 메시지 등을 탈취하거나 이를 다른 범죄에 이용할 수도 있는 것이죠. 에어비앤비뿐만 아니라 인스타그램, 스포티파이, 틴더, 클라우드 스토리지, 모바일 게임 등 소셜 로그인으로 이용 중인 모든 서비스가 공격 대상이 될 수 있습니다.

소셜 로그인 위협
소셜 로그인 위협

2018년 9월 발생한 페이스북 계정 유출 사건은 소셜 로그인에 대한 위협을 경고하고 있습니다.

– 페이스북의 ‘뷰 애즈’ 기능의 취약점을 이용해 약 3,000만명의 사용자 계정이 유출된 사건

※ 관련기사 : 페이스북 해킹으로 3천만명 개인정보 유출, ZDNet Korea

 

이처럼 소셜 로그인의 편리함 이면에는 어두운 면도 존재합니다. 그리고 최근 발생한 사건들은 우리가 놓치고 있던 어두운 면을 바라볼 수 있는 계기를 만들어 주었습니다. 방송통신위원회가 이번 소셜 로그인 운영 현황 점검을 통해 각 소셜 로그인 벤더들에게 개선 조치를 권고한 만큼 개인정보 과다 제공 문제는 축소될 것으로 보입니다. 그러나 스스로 자신의 정보를 지키려는 노력도 필요합니다. 소셜 로그인으로 서비스 이용 시 요구하는 정보에 대한 체크, 소셜 로그인을 이용하고 있는 소셜 네트워크 서비스 계정에 대한 보안(패스워드 관리, 이중 인증 등)이 우리가 할 수 있는 대표적인 노력이라고 할 수 있습니다.

 

레퍼런스

– 소셜 로그인 운영 현황 점검 결과 자료 및 보고 자료, 방송통신위원회

Pros and Cons of Facebook Social Login on eCommerce Website, nopAccelerate

Social login, WIKIPEDIA


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록