트위터가 사용자들에게 비밀번호 변경을 권고했다. 트위터 계정 비밀번호가 암호화되지 않은 채 저장되는 버그가 발견됐기 때문이다.
트위터는 5월3일(현지시간) 자사의 블로그를 통해 이 같은 사실을 알리고 계정 보안을 위해 비밀번호를 변경하라고 권고했다. 트위터 측은 해당 버그를 발견하고 이미 수정했으며 조사 결과 비밀번호의 유출이나 오용 징후는 없다고 밝혔다. 파라그 아그라왈 트위터 최고기술책임자(CTO)는 "이번 일에 대해 정말 유감이다"라며 "트위터는 여러분이 우리에게 주는 신뢰를 인식하고 감사해 하며 매일 신뢰를 쌓기 위해 최선을 다하고 있다"라고 말했다.
비밀번호가 평문 저장됐다
이번에 발견된 버그는 트위터 내부 로그에 비밀번호를 암호화하지 않고 저장하는 오류다. 일반적으로 비밀번호는 알아볼 수 없도록 암호화 처리해서 저장된다. 트위터의 경우 2014년부터 비크립트(BCrypt) 방식의 암호화 알고리즘을 적용해 관리하고 있다. 실제 비밀번호를 무작위의 숫자와 문자로 대체하는 방식이다. 암호화 과정을 거친 비밀번호 데이터가 유출돼도 실제 비밀번호가 뭔지 알기 어렵다. 그런데 이번에 발견된 버그로 인해 이 과정이 생략된 채 비밀번호가 평문으로 내부 시스템에 저장된 셈이다.
트위터는 얼마나 많은 계정이 이번 버그에 영향을 받았는지 밝히지 않았다. 또 버그가 지속된 기간도 알리지 않았다. 일부 국내 언론은 트위터 전체 사용자에 해당하는 3만3천명의 계정 비밀번호가 노출됐다고 보도했지만, 이는 3만3천명에게 비밀번호 변경을 권고했다는 내용이 와전된 것으로 보인다. 트위터코리아 측에 문의한 결과 해당 내용은 사실이 아니라고 밝혔다. 트위터코리아 관계자는 "자체적으로 버그를 발견해 삭제했고, 그렇지만 중요한 정보여서 내용을 공개했다"라고 말했다.
대처 방법은?
트위터는 예방 차원에서 기존 트위터 비밀번호뿐만 아니라 같은 비밀번호를 사용하는 모든 서비스의 비밀번호를 변경하라고 권고했다. 트위터 계정 비밀번호 변경은 웹사이트의 경우 '오른쪽 상단 프로필 이미지 선택→설정 및 개인정보→비밀번호' 순으로 메뉴에 들어가 비밀번호를 바꿀 수 있다. 모바일 앱은 '왼쪽 상단 프로필 이미지 선택→설정 및 개인정보 보호→계정→비밀번호 변경'의 과정을 거쳐 비밀번호를 변경할 수 있다. 다른 웹사이트에서 사용하지 않는 비밀번호 사용이 추천되며, 일반 웹사이트와 마찬가지로 문자와 숫자, 특수문자 조합의 구성이 권고된다.
또 계정 설정에 들어가 이중 로그인 인증을 사용하는 편이 좋다. 보안 항목의 ‘로그인 인증 설정’을 누르면 된다. 로그인 후에도 별도의 인증 코드를 입력하는 방식이다. 로그인 코드는 문자 메시지로 전송된다. 이런 방식이 조금 귀찮을 수도 있지만, 계정에 대한 보안 위협을 방지할 수 있다. 또한, 설정 메뉴에서 '애플리케이션' 항목을 선택해 어떤 앱이 내 트위터 계정에 접근할 수 있는지 확인하는 것도 중요하다. 가능한 한 많은 앱을 '접근 차단'하고 더 이상 사용하지 않는 오래된 앱이나 모르는 앱을 제거해야 한다.