트위터 계정 프로필에 공개된 정보를 누군가 긁어다가 잘 정리해서 다크웹에 풀었다. 무료라 아무나 가져가는 게 가능하다. 트위터 사용자들이 당분간 각종 피싱 및 온라인 사기 공격의 표적이 될 가능성이 높다.
[보안뉴스 문가용 기자] 2억 명 트위터 사용자의 데이터가 다크웹 해킹 포럼에 무료로 풀렸다. 계정 이름, 계정 생성일, 팔로워 수 등 계정과 관련된 모든 정보들이 수집되고 정돈된 상태로 유통되고 있다. 용량은 63GB이며 1월 4일 다크웹에 처음 등장했다. 프라이버시어페어즈(Privacy Affairs)라는 단체에서 먼저 발견했다. 이 데이터를 업로드한 사이버 공격자는 스크래핑을 통해 사용자들이 공개하고 있는 정보들을 수집했다고 주장하고 있다. 즉 불법 해킹 행위가 연루된 것은 아니라는 뜻이다. 하지만 사용자들이 공개하지 않는 이메일 주소에 포함되어 있어 이 주장의 신빙성은 떨어진다.
[이미지 = utoimage]
“이번에 등장한 데이터베이스에는 이메일 주소가 들어 있습니다. 트위터 사용자들이 프로파일에 공개하지 않는 정보이죠. 이걸 어떻게 스크랩 했는지가 궁금합니다. 이메일 주소를 추적하면 사용자를 특정할 수 있게 되고, 이를 통해 소셜 엔지니어링 공격을 감행할 수 있습니다. 그렇기에 이메일 주소가 트위터 계정과 연결된 상태로 공개됐다는 건 꽤나 위험한 상황이라고 해석해야 합니다.” 프라이버시 어페어즈의 미클로스 졸탄(Miklos Zoltan)의 설명이다. “그 외에 스팸 마케팅이나 사기 공격, 협박 공격을 하는 데에도 이메일은 활용될 수 있습니다.”
그렇다면 이 이메일 정보가 어떻게 공격자의 손에 들어가게 된 것일까? 졸탄은 “공격자가 API 취약점을 익스플로잇 했을 가능성이 가장 높아 보인다”는 의견이다. 실제로 트위터의 API를 통해 정보가 유출된 과거 사례가 존재하며, 당시에는 사용자의 전화번호들을 공격자가 가로챌 수 있었다. 또한 작년 8월 트위터 API 키들을 유출하는 모바일 앱이 수천 개에 달한다는 사실이 공개되기도 했었다. 그래서인지 졸탄의 의심에 고개를 끄덕이는 전문가들이 적지 않다.
보안 업체 시놉시스(Synopsys)의 수석 과학자 새미 미구에스(Sammy Migues)는 “이번 정보 유출 사건의 핵심은 API 보안”이라는 의미에서 졸탄의 말에 동의하고 있다. “요 몇 년 사이 클라우드 네이티브 앱들이 크게 증가하고 있습니다. 그러다 보니 클라우드 이전 시대에 만들어진 앱들도 ‘클라우드용’으로 다시 개발되기 위해 수많은 API와 마이크로서비스의 형태로 분해되고 재편성 되죠. 이런 흐름이 얼마나 빠르게 대세로 자리를 잡고 있는지, 이런 개발의 환경에 익숙한 사람들을 찾기가 힘들어질 지경입니다. 앞으로 우리는 매일처럼 발생하는 API 보안 사고들을 접하게 될 겁니다.”
공개된 프로파일 데이터의 스크래핑
이번에 무료로 풀린 2억 건의 트위터 사용자 데이터는, 지난 12월 20만 달러에 판매되었던 데이터와 동일한 것으로 보인다. 당시 판매되던 데이터베이스에는 4억 건의 프로파일들이 포함되어 있었는데, 이는 중복 자료를 포함한 것이었다. 중복 자료를 제거했더니 2억 건이 남은 것이라고 볼 수 있다. 누구나 트위터 사용자의 프로필에 적힌 내용들을 볼 수 있는데, 그걸 취합한 것뿐인 이런 정보는 실제로 얼마나 피해자들을 위험하게 만들 수 있을까? 전문가들은 ‘고도의 표적 공격’에 이러한 정보들이 사용될 수 있다고 경고한다.
“사용자들은 트위터 말고도 여러 플랫폼에서 어떤 형태로든 활동을 합니다. 그러면서 여러 가지 흔적들을 남기죠. 공격자들은 이런 저런 경로로 모은 정보들을 서로 연결하고 매칭시켜 확인합니다. 그러면서 자신들이 노리는 인물에 대해 입체적으로 파악할 수 있게 됩니다. 피해자가 어떤 관심사를 가졌으며, 무슨 일을 하고, 취미로는 뭘 주로 하며, 어떤 조직이나 단체 혹은 동호회에 가입되어 있는지, 더 나아가 가족 관계가 어떻게 되는지까지 정보들을 결합해가며 알아낼 수 있습니다.”
사이버 공격자들 중 표적 공격에 일가견이 있는 자들은 데이터를 이어 맞춰 자신들의 표적에 대해 심도 깊은 이해를 도모할 수 있다. 그렇다는 건 손에 쥔 정보가 기밀이냐 아니냐, 해킹을 통해 구했느냐 스크래핑을 통해 긁은 것이냐와 같은 건 덜 중요하다는 뜻이 된다. 오히려 데이터들이 얼마나 보기 좋게 정리되어 있느냐가 더 중요한 문제일 수 있다. 이번에 무료로 풀린 데이터가 아무리 사용자들이 전체 보기로 풀어 둔 프로파일 정보라고 해도 꽤나 위험하게 작용할 수 있는 이유다.
또한 이 사건으로 트위터는 각종 부정적인 여론에 휩싸일 수 있고, 더 나아가 벌금형까지 받을 수 있다. 페이스북과 링크드인에서도 과거 스크래핑과 관련된 사건이 있었고, 이 때문에 두 회사는 적잖은 벌금을 내야만 했었다. 페이스북 생태계에서 수년 전에 발생한 거대 사건인 캠브리지 애널리티카(Cambridge Analytica) 스캔들 역시 사용자들의 게시글과 프로파일을 스크랩한 것에서부터 시작됐다. 그 사건으로 캠브리지 애널리티카라는 조직은 와해됐다. 스크래핑은 그 자체로 불법은 아니지만, 그렇다고 안심하고 방치해도 되는 기술은 아니다.
시놉시스의 소프트웨어 보안 컨설턴트인 제이미 부트(Jamie Boote)는 “트위터 사용자라면 기본 보안 실천 사항을 좀 더 예민하게 지켜야 할 필요가 있다”고 강조한다. “이제 공격자들은 당신(트위터 사용자)의 이메일 주소를 가지고 있습니다. 그것도 당신의 트위터 계정과 연결된 이메일 주소들이죠. 해당 주소나 트위터 계정을 삭제할 것이 아니라면 먼저 트위터 계정과 이메일 계정의 비밀번호를 각각 다른 것으로 변경하고 다른 계정에 똑같이 사용하지 마세요. 또 한 동안은 트위터에서 사용자들에게 보낸 것처럼 만들어진 모든 메일들을 보지도 말고 지우세요.”
앞으로 소셜미디어를 사용할 때 프로필을 통해 공개할 정보를 함부로 정하지 말아야 한다는 것도 부트가 강조하는 내용이다. “되도록이면 소셜미디어 전용 이메일을 별도로 만들어서 연결하는 게 좋습니다. 업무용 이메일이나 지인들과 소식을 주고 받는 이메일은 따로 두고요. 소셜미디어 플랫폼에서는 해커들의 활동이 끊임없이 일어난다는 것을 기억하고, 삶의 영역이라는 측면에서 조금은 분리시켜 두는 것이 좋습니다.”
3줄 요약
1. 트위터 2억 명 사용자의 정보, 온라인에 무료로 공개.
2. 스크래핑을 통해 모은 정보라고 하는데, 이메일도 있어서 의심스러움.
3. 앞으로 소셜미디어용 이메일 계정을 따로 만들어 두는 게 안전함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2억 명 트위터 사용자의 데이터가 다크웹 해킹 포럼에 무료로 풀렸다. 계정 이름, 계정 생성일, 팔로워 수 등 계정과 관련된 모든 정보들이 수집되고 정돈된 상태로 유통되고 있다. 용량은 63GB이며 1월 4일 다크웹에 처음 등장했다. 프라이버시어페어즈(Privacy Affairs)라는 단체에서 먼저 발견했다. 이 데이터를 업로드한 사이버 공격자는 스크래핑을 통해 사용자들이 공개하고 있는 정보들을 수집했다고 주장하고 있다. 즉 불법 해킹 행위가 연루된 것은 아니라는 뜻이다. 하지만 사용자들이 공개하지 않는 이메일 주소에 포함되어 있어 이 주장의 신빙성은 떨어진다.
[이미지 = utoimage]
“이번에 등장한 데이터베이스에는 이메일 주소가 들어 있습니다. 트위터 사용자들이 프로파일에 공개하지 않는 정보이죠. 이걸 어떻게 스크랩 했는지가 궁금합니다. 이메일 주소를 추적하면 사용자를 특정할 수 있게 되고, 이를 통해 소셜 엔지니어링 공격을 감행할 수 있습니다. 그렇기에 이메일 주소가 트위터 계정과 연결된 상태로 공개됐다는 건 꽤나 위험한 상황이라고 해석해야 합니다.” 프라이버시 어페어즈의 미클로스 졸탄(Miklos Zoltan)의 설명이다. “그 외에 스팸 마케팅이나 사기 공격, 협박 공격을 하는 데에도 이메일은 활용될 수 있습니다.”
그렇다면 이 이메일 정보가 어떻게 공격자의 손에 들어가게 된 것일까? 졸탄은 “공격자가 API 취약점을 익스플로잇 했을 가능성이 가장 높아 보인다”는 의견이다. 실제로 트위터의 API를 통해 정보가 유출된 과거 사례가 존재하며, 당시에는 사용자의 전화번호들을 공격자가 가로챌 수 있었다. 또한 작년 8월 트위터 API 키들을 유출하는 모바일 앱이 수천 개에 달한다는 사실이 공개되기도 했었다. 그래서인지 졸탄의 의심에 고개를 끄덕이는 전문가들이 적지 않다.
보안 업체 시놉시스(Synopsys)의 수석 과학자 새미 미구에스(Sammy Migues)는 “이번 정보 유출 사건의 핵심은 API 보안”이라는 의미에서 졸탄의 말에 동의하고 있다. “요 몇 년 사이 클라우드 네이티브 앱들이 크게 증가하고 있습니다. 그러다 보니 클라우드 이전 시대에 만들어진 앱들도 ‘클라우드용’으로 다시 개발되기 위해 수많은 API와 마이크로서비스의 형태로 분해되고 재편성 되죠. 이런 흐름이 얼마나 빠르게 대세로 자리를 잡고 있는지, 이런 개발의 환경에 익숙한 사람들을 찾기가 힘들어질 지경입니다. 앞으로 우리는 매일처럼 발생하는 API 보안 사고들을 접하게 될 겁니다.”
공개된 프로파일 데이터의 스크래핑
이번에 무료로 풀린 2억 건의 트위터 사용자 데이터는, 지난 12월 20만 달러에 판매되었던 데이터와 동일한 것으로 보인다. 당시 판매되던 데이터베이스에는 4억 건의 프로파일들이 포함되어 있었는데, 이는 중복 자료를 포함한 것이었다. 중복 자료를 제거했더니 2억 건이 남은 것이라고 볼 수 있다. 누구나 트위터 사용자의 프로필에 적힌 내용들을 볼 수 있는데, 그걸 취합한 것뿐인 이런 정보는 실제로 얼마나 피해자들을 위험하게 만들 수 있을까? 전문가들은 ‘고도의 표적 공격’에 이러한 정보들이 사용될 수 있다고 경고한다.
“사용자들은 트위터 말고도 여러 플랫폼에서 어떤 형태로든 활동을 합니다. 그러면서 여러 가지 흔적들을 남기죠. 공격자들은 이런 저런 경로로 모은 정보들을 서로 연결하고 매칭시켜 확인합니다. 그러면서 자신들이 노리는 인물에 대해 입체적으로 파악할 수 있게 됩니다. 피해자가 어떤 관심사를 가졌으며, 무슨 일을 하고, 취미로는 뭘 주로 하며, 어떤 조직이나 단체 혹은 동호회에 가입되어 있는지, 더 나아가 가족 관계가 어떻게 되는지까지 정보들을 결합해가며 알아낼 수 있습니다.”
사이버 공격자들 중 표적 공격에 일가견이 있는 자들은 데이터를 이어 맞춰 자신들의 표적에 대해 심도 깊은 이해를 도모할 수 있다. 그렇다는 건 손에 쥔 정보가 기밀이냐 아니냐, 해킹을 통해 구했느냐 스크래핑을 통해 긁은 것이냐와 같은 건 덜 중요하다는 뜻이 된다. 오히려 데이터들이 얼마나 보기 좋게 정리되어 있느냐가 더 중요한 문제일 수 있다. 이번에 무료로 풀린 데이터가 아무리 사용자들이 전체 보기로 풀어 둔 프로파일 정보라고 해도 꽤나 위험하게 작용할 수 있는 이유다.
또한 이 사건으로 트위터는 각종 부정적인 여론에 휩싸일 수 있고, 더 나아가 벌금형까지 받을 수 있다. 페이스북과 링크드인에서도 과거 스크래핑과 관련된 사건이 있었고, 이 때문에 두 회사는 적잖은 벌금을 내야만 했었다. 페이스북 생태계에서 수년 전에 발생한 거대 사건인 캠브리지 애널리티카(Cambridge Analytica) 스캔들 역시 사용자들의 게시글과 프로파일을 스크랩한 것에서부터 시작됐다. 그 사건으로 캠브리지 애널리티카라는 조직은 와해됐다. 스크래핑은 그 자체로 불법은 아니지만, 그렇다고 안심하고 방치해도 되는 기술은 아니다.
시놉시스의 소프트웨어 보안 컨설턴트인 제이미 부트(Jamie Boote)는 “트위터 사용자라면 기본 보안 실천 사항을 좀 더 예민하게 지켜야 할 필요가 있다”고 강조한다. “이제 공격자들은 당신(트위터 사용자)의 이메일 주소를 가지고 있습니다. 그것도 당신의 트위터 계정과 연결된 이메일 주소들이죠. 해당 주소나 트위터 계정을 삭제할 것이 아니라면 먼저 트위터 계정과 이메일 계정의 비밀번호를 각각 다른 것으로 변경하고 다른 계정에 똑같이 사용하지 마세요. 또 한 동안은 트위터에서 사용자들에게 보낸 것처럼 만들어진 모든 메일들을 보지도 말고 지우세요.”
앞으로 소셜미디어를 사용할 때 프로필을 통해 공개할 정보를 함부로 정하지 말아야 한다는 것도 부트가 강조하는 내용이다. “되도록이면 소셜미디어 전용 이메일을 별도로 만들어서 연결하는 게 좋습니다. 업무용 이메일이나 지인들과 소식을 주고 받는 이메일은 따로 두고요. 소셜미디어 플랫폼에서는 해커들의 활동이 끊임없이 일어난다는 것을 기억하고, 삶의 영역이라는 측면에서 조금은 분리시켜 두는 것이 좋습니다.”
3줄 요약
1. 트위터 2억 명 사용자의 정보, 온라인에 무료로 공개.
2. 스크래핑을 통해 모은 정보라고 하는데, 이메일도 있어서 의심스러움.
3. 앞으로 소셜미디어용 이메일 계정을 따로 만들어 두는 게 안전함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
