인스타그램의 '데이터 다운로드' 기능을 통해 내려받은 정보에 비밀번호가 그대로 적혀있어 해킹시 대규모 피해로 이어졌을 수 있다는 지적이 제기됐다.
17일(현지시간) 미국 IT 전문 매체 디인포메이션 등 외신에 따르면 인스타그램은 지난 5월 유럽의 개인정보보호 규정(GDPR) 발효에 따라 한 달 앞서 데이터 다운로드 기능을 추가했다.
하지만 이 기능을 통해 내려받은 인스타그램 활동 내역 등 개인정보에 비밀번호가 암호화 되지 않은 채 노출돼 문제가 됐다.
이 기능을 사용한 몇몇 회원들은 해당 내용에 웹브라우저 URL과 인스타그램 모회사인 페이스북 서버에 저장된 비밀번호를 확인할 수 있었다고 인스타그램 측은 설명했다.
디인포메이션이 취재한 한 보안 전문가는 "인스타그램이 비밀번호를 입력값 그대로 저장할 경우에만 데이터 다운로드 시 비밀번호가 그대로 노출된다"며 "하마터면 대형 보안 문제로 이어질 수 있었다"고 지적했다.
인스타그램 측은 "인스타그램은 저장된 비밀번호를 해시로 변환하고 무작위로 문자열을 바꾸는 방법을 사용한다(hashes and salts)"고 반박했다.
관련기사
- 인스타그램 "마음에 드는 제품 저장하세요"2018.11.19
- 인스타그램, 엑소 카메라 효과 출시2018.11.19
- 니콘이미징코리아, 인스타그램 포토 콘테스트 개최2018.11.19
- 인스타그램, 신임 대표 '아담 모세리' 선임2018.11.19
이어 "데이터 다운로드를 통해 받아 본 정보는 아무에게도 노출되지 않으며, 더이상 이 같은 일이 발생하지 않도록 해당 기능을 수정했다"고 덧붙였다.
또한 인스타그램은 "데이터 다운로드 기능을 이용해 비밀번호 노출을 경험한 회원들에게는 미연의 사고를 방지하기 위해 비밀번호를 바꾸는 것을 권고했다"고 밝혔다.
