트위터의 황당한 보안이 빚은 해킹…”사전 정황도 있었다”

가 +
가 -

지난 15일(현지시간)은 트위터 역사상 최악의 날이다. 빌 게이츠와 버락 오바마 미국 전 대통령 등 수많은 트위터 유명 인사들의 계정이 동시다발적으로 해킹되는 초유의 사건이 벌어졌다. 이들 이들 계정에는 “비트코인을 입금하면 2배로 돌려주겠다”는 게시글이 수차례 올라왔으며, 실제 피해자도 발생해 해커들은 약 1억 2000만원 상당의 비트코인을 갈취한 것으로 알려졌다.

이에 트위터는 지난 주말 공식 블로그에 사고에 대한 해명 게시물을 올렸지만 <비즈니스인사이더>는 “해킹과 관련된 추가적인 정황들이 드러나고 있다”며 “또 해킹이 발생하기 전 ‘OGusers’라는 해커 커뮤니티에서는 트위터 해킹과 관련된 사전 정보도 올라왔던 것으로 확인됐다”고 보도했다.

보도에 따르면 이번 사고는 트위터 내부의 ‘트위터 서비스 UI’란 대시보드에 해커들이 접속하면서 발생했다. 해당 대시보드에는 트위터가 계정 소유주에게 알리지 않고도 이메일 주소를 변경할 수 있는 기능이 있다. 해커들도 바로 이 기능을 악용해 원하는 계정을 손쉽게 탈취한 것이다.

이 인터뷰한 트위터 전 직원은 “트위터 서비스 UI는 트위터 사용자들의 휴대전화 번호는 물론, 계정에 접속한 이들의 위치 정보와 IP 주소도 확인할 수 있는 강력한 플랫폼”이라고 말했다. 황당한 점은 이 대시보드에 접근할 수 있는 트위터 직원이 무려 수백명에 달했다는 점이다. 즉, 기업 내 중요 시스템을 관리함에 있어 사용 권한이 합리적으로 설정되지 않은 셈이다.

트위터의 보안 시스템을 점검하고 개선할 임원도 없었다. <실리콘앵글>에 따르면 트위터의 최고정보보안책임자(CISO) 자리는 작년 12월 담당자가 회사를 떠난 이후 7개월간 공석으로 남아 있었다.

게다가 사고 발생 전 이미 해커 커뮤니티에는 트위터 계정 탈취 가능성에 관한 글이 게시된 바 있다. 보안 클라이언트 전문업체 ‘허드슨 록’은 OGusers에서 Chaewon(채원)이란 사용자가 “약 250달러면 트위터 계정의 이메일 주소를 바꿀 수 있고, 3000달러 정도면 계정에 대한 완전한 접근을 허용할 수 있다”고 주장하는 글을 올렸던 것이 확인됐다고 전했다. 트위터 해킹범과 채원이 동일인물인지는 아직 확인되지 않았으나 트위터 정도의 대형 서비스라면 빠른 모니터링 후 선제적 대응이 필요했던 시점이다.

허드슨 록이 공개한 트위터 계정 판매 시도 게시물

아직 경찰이 수사 중이지만, 전반적인 상황을 둘러볼 때 이번 사건은 트위터 내부 시스템의 허술한 보안과 해이한 관리 태도가 빚어낸 결과물로 정리되는 분위기다. 트위터는 “이번 해킹은 기술적인 문제가 아니라 시스템 접근 권한을 가진 일부 직원들을 대상으로 한 사회공학적 공격으로 추측된다”고 스스로 밝혔다. 사회공학적 해킹은 공격 대상자의 신뢰를 얻어 그들에게 직접 계정 접근 정보 등을 제공받는 식의 공격으로, 트위터 사용자 입장에서는 더 허탈하게 느껴질 수 있는 대목이다.

트위터는 “이번 사건을 계기로 직원들에 대한 피싱 대응 훈련을 강화하고, 사회공학적 공격으로부터 보호하기 위한 회사 전체의 교육을 1년 내내 지속하겠다”고 밝혔다.