-
>
[사이버 이슈] 사회공학적 공격에 뻥 뚫린 트위터…해커, 비밀번호엔 무관심해 ‘충격’
김한경 안보전문기자
입력 : 2020.07.17 11:30
ㅣ 수정 : 2020.07.17 11:39
트위터, "해커가 비밀번호에 접근한 증거 없어, 재설정 필요 없다" 주장
[뉴스투데이=김한경 기자] 소셜미디어 트위터는 유명인들의 트위터 계정이 집단 해킹된 초유의 사태가 발생한 것과 관련해 16일(현지시간) 이용자 비밀번호는 도난당하지 않았다고 밝혔다고 블룸버그 통신이 보도했다.
트위터는 이날 "해커들이 비밀번호에 접근했다는 증거는 없다"면서 "현재로서는 이용자들이 비밀번호를 재설정할 필요가 없다고 생각한다"고 밝혔다.
트위터는 전날 정치인·억만장자·연예인 등 세계적인 유명 인사들의 계정을 해킹해서 유명인들이 '비트코인을 보내면 2배의 돈을 되돌려주겠다'는 트윗을 발신한 것처럼 속이는 초유의 해킹 사고에도 불구하고 이용자들 비밀번호는 안전하다고 주장하는 것이다.
해킹된 계정의 피해자에는 미국 민주당 대선후보 조 바이든 전 부통령, 버락 오바마 전 대통령, 전기차 업체 테슬라 최고경영자(CEO) 일론 머스크, 마이크로소프트(MS) 창업자 빌 게이츠, 아마존 CEO 제프 베이조스, 모델 킴 카다시안, 래퍼 카녜이 웨스트 등이 포함됐다.
미국 현지 언론은 11만달러(약 1억3000만원)의 비트코인이 해커의 지갑으로 송급됐다고 보도했다. 특히 해킹당한 계정은 유명 인사들의 공식 계정인 만큼 2단계 인증과 강력한 비밀번호를 사용했음에도 피해를 입은 것으로 알려졌다.
트위터는 해킹된 계정을 잠그고 해커들이 남긴 트윗을 삭제했다. 또한 최근 30일 이내에 비밀번호를 변경한 사람들의 계정도 접근이 차단돼 있을 수 있다고 말했다. 이는 추가적인 해킹 사고를 막기 위해 내린 조치로 이들 계정이 모두 해킹됐다는 뜻은 아니라고 덧붙였다.
트위터는 전날 이번 해킹 사건이 조직적인 '사회공학적 공격'의 일환으로 이뤄진 것이라고 밝힌 바 있다. 지능형지속위협(APT)으로 대표되는 사회공학적 공격은 시스템의 보안 취약점이 아닌 시스템을 운영하는 사람의 취약점을 이용해 해킹하는 기법이다.
이번 APT 공격은 해커가 트위터에 대한 관리자 권한을 가진 직원들을 추적해 이들이 속을만한 가짜 이메일을 보내 악성코드를 내려 받게 만든 후, 회사의 내부 시스템과 도구에 접근하여 유명인들의 계정을 이용한 것으로 판단된다.
보안 전문가들은 “APT 공격은 대응할 시기를 놓칠 때까지 공격받은 것을 거의 모르며, 알게 되더라도 배후에 누가 있는지 알기 어렵다”고 말했다. 또 “이 기법을 사용하는 해커들은 아주 특정한 파일만 노리며, 감염된 기기를 찾는데 오랜 시간이 걸린다”고 주장했다.
따라서 이번 공격은 이미 해커들이 필요한 모든 것을 손에 넣었을 가능성이 있다. 유명 인사들의 계정이 해킹 당했다는 것은 다른 일반인들의 계정도 노출됐을 가능성을 의미하며, 계정 정보 외에도 그들이 목표한 다른 정보가 있다면 이미 확보했을 가능성이 높다.
게다가 일반적으로 사이버 공격을 당한 기업들은 주가에 미치는 영향 등을 고려해 그 피해를 축소하려는 경향이 나타난다. 트위터가 비밀번호에 접근한 증거가 없다고 밝힌 것만으로 과연 트위터 이용자들의 비밀번호가 안전할지는 앞으로 더 지켜봐야 할 것 같다.
트위터는 "조사가 진행되는 동안 내부 시스템과 도구에 접근하는 것을 제한하기 위해 중대 조치를 하겠다"고 했지만 여전히 어떻게 해킹이 이뤄졌는지 조사 중이며 해킹된 계정과 연관된 다른 정보들의 해킹 여부는 밝히지 않고 있다.
한편, 로이터 통신은 트위터가 최근 몇 주 새 공석인 최고정보보안책임자(CISO)를 물색하기 위해 노력해왔다고 보도해 이번 해킹 사건의 여파는 상당 기간 지속될 것으로 보인다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
0
/250
