특정 URL, 플래그 표시로 악성행위 차단...쿠키, 픽셀 등 기술 사용해 인증보안
이용자 보호 위해 로그인 인증절차와 알림 서비스, PIN 설정 제공
[보안뉴스 김경애 기자] SNS를 노린 사이버공격이 끊임없이 시도되고 있다. 페이스북과 함께 전 세계인들이 애용하는 트위터의 경우에도 피싱 사이트부터 스팸, 악성코드 등 공격자는 수단과 방법을 가리지 않고 공격을 시도하고 있다.
[이미지=트위터]
특정 URL, 플래그 표시로 악성행위 차단
그렇다면 트위터에서는 어떤 보안정책을 펼치며 보안위협에 대응할까? 대표적인 내용을 살펴보면 악성행위 차단과 규제, 특정 URL에 플래그 표시, 쿠키와 함께 픽셀 및 로컬 저장소 등의 유사기술 사용, 계정보안, 로그인 인증 절차 등이 있다.
가장 먼저 눈에 띄는 건 악성행위 차단과 허용되지 않는 규제사항이다. 트위터가 공지한 규제사항은 △운영원칙 또는 기타 정책 위반 △사이버 폭력 △트위터 API 오남용 또는 속도 제한 회피 시도 △사용자에게 스팸을 보내거나 괴롭히는 행위 또는 원치 않는 메시지 보내기 △복수 계정 생성 △사기성 링크 △정책을 위반 혹은 위반 유도하는 자동화 애플리케이션 또는 활동 △다른 사람의 개인 정보 또는 기밀 정보 게시 △사이버 폭력, 폭력, 증오 행위, 괴롭힘을 조장하거나 선동하는 등 가학적인 행동 △멀웨어 △피싱 등이다.
특히, 보안을 침해하는 행위로 △트위터의 컴퓨터 시스템 또는 트위터 공급업체의 기술 제공 시스템의 비공개 영역에 대한 액세스 △간섭 또는 사용하는 행위(트위터 버그바운티 프로그램에서 명시적으로 허용하는 경우 제외) △시스템 또는 네트워크의 취약점 조사 △스캔 또는 테스트하거나 보안 또는 인증 수단을 침투 또는 우회하는 행위(트위터 버그바운티 프로그램에서 명시적으로 허용하는 경우 제외) △트위터가 제공하는 현재 사용 가능하고 게시된 인터페이스를(관련 약관 및 조건에 따라서만) 통하지 않고 자동화된 방식 또는 다른 방법으로 트위터에 액세스하거나, 검색하거나, 액세스 또는 검색을 시도하는 행위(트위터와의 별도 계약에 따라 이러한 행위가 특별히 허용된 경우 제외) 등이 있다.
이와 함께 △사전 동의 없이 트위터를 스크래핑하는 행위 △이메일이나 게시물에 있는 헤더 정보의 일부 또는 TCP/IP 패킷 헤더를 위조하거나, 어떤 방식으로든 트위터를 사용하여 변조된 정보, 사기성 정보 또는 잘못된 소스 식별 정보를 전송하는 행위 △바이러스 전송, 트위터 서비스에 대한 과부하, 플러딩, 스패밍, 메일 폭탄 공격, 트위터 서비스에 지장을 주거나 심각한 부담을 초래할 수 있는 방식으로 이러한 콘텐츠를 생성하는 스크립트 사용 △호스트 또는 네트워크의 액세스를 방해하는 행위 등도 보안 침해행위로 간주하고 있다.
이러한 악성행위가 적발되면 정책 위반 내용에 따라 트위터 API에 대한 개발자의 접근 권한이 제한, 정지 또는 종료될 수 있다. 특히, 멀웨어와 피싱과 같이 타인의 브라우저 또는 컴퓨터를 손상시키거나 사용을 방해하거나 사용자의 개인정보를 유출하기 위한 악성 콘텐츠 게시 행위가 적발될 경우 경고가 표시된다.
경고는 해당 URL이 잠재적으로 유해한 URL의 데이터베이스와 일치하는 것으로 피싱, 악성 소프트웨어 또는 스팸 사이트나 트위터 이용약관을 위반한 사이트에 연결된다. 이는 계정 보안과 사용자 안전 목적 및 트위터 이용약관 위반을 규제하기 위한 대응으로 특정 URL에 플래그 표시를 하게 된다. 또한, 외부 파트너들과의 협조를 통해 링크를 평가해 안전성 여부를 판단하게 된다.
따라서 이용자는 피싱 예방을 위해 트위터 비밀번호 입력 창이 나오면 브라우저 주소창의 URL이 twitter.com인지 반드시 먼저 확인해야 한다. 또한, 누군가 생소한 URL이 포함된 쪽지를 보낼 경우 아무리 친한 친구가 보낸 것이라도 링크를 열지 않는 것이 바람직하다.
쿠키, 픽셀 등 기술 사용해 인증보안
이와 함께 트위터에서는 쿠키와 함께 픽셀, 로컬 저장소 등의 유사기술을 사용한다. 이는 빠르면서 안전한 환경을 제공하기 위해서다. 기술의 사용용도는 인증 및 보안을 위한 트위터 로그인, 사용자 정보보안 유지, 배포가 제한된 콘텐츠를 사용자가 조회할 수 있도록 허용, 스팸 차단, 사이버 폭력 및 기타 모든 활동을 탐지 및 퇴치하는데 활용된다. 예를 들어 트위터에 접근하는 사용자를 인증하고 권한이 없는 사용자가 계정에 접근하지 못하도록 방지할 수 있다.
이러한 기술은 트위터의 웹사이트, 애플리케이션, 서비스에 적용돼 있으며, 트위터의 광고 기술을 통합한 타사 자산을 포함한 트위터의 서비스를 통합한 타 웹사이트, 애플리케이션, 서비스에도 사용할 수 있다.
이용자들 위해 로그인 인증절차와 알림서비스, PIN 설정 제공
그렇다면 이용자 측면에서 안전하게 트위터를 이용할 수 있도록 하는 보안정책에는 무엇이 있을까? 바로 로그인 인증 절차와 계정 보안을 위한 알림서비스, PIN 설정 서비스다. 이용자는 로그인 인증 절차를 통해 계정을 한층 더 안전하게 보호할 수 있다. 로그인 인증 절차는 사용자 본인만 트위터 계정에 접근할 수 있도록 비밀번호와 더불어 2차 확인절차를 거치는 것이다. 인증을 위한 비밀번호와 휴대폰에 모두 접근할 수 있는 사람만 내 계정에 로그인할 수 있다.
다음으로 새 디바이스에서 처음으로 트위터 계정에 로그인할 경우 계정 보안을 위해 이메일 알림을 보낸다. iOS와 안드로이드(Android), twitter.com 및 모바일 웹용 트위터를 통해 새로 로그인할 경우에만 로그인 이메일 알림을 보내준다. 따라서 이용자는 이러한 이메일을 통해 본인이 해당 디바이스에서 로그인했다는 것을 인증할 수 있다. 만약 해당 디바이스에서 본인이 로그인하지 않은 경우, 트위터 비밀번호의 즉시 변경부터 시작해 알림 이메일 단계를 따라 계정을 보호해야 한다.
PIN 설정과 사용으로 계정보안 강화
다음으로 PIN 설정이다. PIN 설정 방법을 통해 보안을 강화할 수 있으며 방법은 다음과 같다.
1. 모바일 디바이스가 내 트위터 계정에 연결됐는지 확인
2. 웹에서 트위터 계정에 로그인하고 모바일 설정으로 이동
3. 사용할 PIN을 알파벳과 숫자로 조합한 4글자로 입력
4. 페이지 하단으로 스크롤해 변경사항 저장 클릭
5. PIN을 사용할 수 있는 경우 확인 메시지 표시
누군가 내 계정을 도용하고 있는 것으로 의심되는 경우, 모바일 업데이트 및 명령어에 따라 개인 식별번호인 PIN을 설정할 수 있다. 보안을 위해 나만 알 수 있는 PIN을 사용하는 것이 바람직하다. PIN 사용방법은 계정에 PIN을 설정한 경우 트윗 본문이나 SMS 명령어를 보내는 트위터 단축 코드 앞에 PIN을 입력하면 된다. 메시지 입력 전에 PIN을 입력하지 않으면 ‘PIN이 올바르지 않습니다’라는 메시지를 수신하게 된다. 이 메시지를 받을 경우 첫머리에 PIN을 넣어 SMS를 재전송하면 된다.
PIN 변경 또는 삭제방법은 내 계정의 모바일 설정으로 이동해 PIN 입력란에서 PIN을 변경하거나 완전히 삭제할 수 있다. 그런 다음 페이지 하단으로 스크롤해 변경사항 저장을 클릭하면 된다. 만약 PIN 번호가 기억나지 않는 경우 웹을 통해 twitter.com에 로그인한 다음 모바일 설정에서 확인할 수 있는데 가장 최근에 설정한 PIN이 표시된다. 이외에 트위터 고객지원센터를 통해 문의할 수도 있다.
트위터 측은 트위터를 이용할 때 개인정보는 게재하지 말고, 내 위치정보를 공개적으로 공유할 때에는 신중히 생각해야 한다며 △누구와 이 정보를 공유하는가? △어떠한 종류의 정보를 얼마만큼 공유하는가? △내가 공유하는 이 정보를 몇 명의 사람들이 볼 수 있는가? △이 정보를 보게 되는 모든 사람을 신뢰할 수 있는가? 등을 고려해 이용할 것을 당부했다. 특히, 개인 연락처나 정보, 비밀번호를 물어보는 사람들을 조심해야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]
이용자 보호 위해 로그인 인증절차와 알림 서비스, PIN 설정 제공
[보안뉴스 김경애 기자] SNS를 노린 사이버공격이 끊임없이 시도되고 있다. 페이스북과 함께 전 세계인들이 애용하는 트위터의 경우에도 피싱 사이트부터 스팸, 악성코드 등 공격자는 수단과 방법을 가리지 않고 공격을 시도하고 있다.
[이미지=트위터]
특정 URL, 플래그 표시로 악성행위 차단
그렇다면 트위터에서는 어떤 보안정책을 펼치며 보안위협에 대응할까? 대표적인 내용을 살펴보면 악성행위 차단과 규제, 특정 URL에 플래그 표시, 쿠키와 함께 픽셀 및 로컬 저장소 등의 유사기술 사용, 계정보안, 로그인 인증 절차 등이 있다.
가장 먼저 눈에 띄는 건 악성행위 차단과 허용되지 않는 규제사항이다. 트위터가 공지한 규제사항은 △운영원칙 또는 기타 정책 위반 △사이버 폭력 △트위터 API 오남용 또는 속도 제한 회피 시도 △사용자에게 스팸을 보내거나 괴롭히는 행위 또는 원치 않는 메시지 보내기 △복수 계정 생성 △사기성 링크 △정책을 위반 혹은 위반 유도하는 자동화 애플리케이션 또는 활동 △다른 사람의 개인 정보 또는 기밀 정보 게시 △사이버 폭력, 폭력, 증오 행위, 괴롭힘을 조장하거나 선동하는 등 가학적인 행동 △멀웨어 △피싱 등이다.
특히, 보안을 침해하는 행위로 △트위터의 컴퓨터 시스템 또는 트위터 공급업체의 기술 제공 시스템의 비공개 영역에 대한 액세스 △간섭 또는 사용하는 행위(트위터 버그바운티 프로그램에서 명시적으로 허용하는 경우 제외) △시스템 또는 네트워크의 취약점 조사 △스캔 또는 테스트하거나 보안 또는 인증 수단을 침투 또는 우회하는 행위(트위터 버그바운티 프로그램에서 명시적으로 허용하는 경우 제외) △트위터가 제공하는 현재 사용 가능하고 게시된 인터페이스를(관련 약관 및 조건에 따라서만) 통하지 않고 자동화된 방식 또는 다른 방법으로 트위터에 액세스하거나, 검색하거나, 액세스 또는 검색을 시도하는 행위(트위터와의 별도 계약에 따라 이러한 행위가 특별히 허용된 경우 제외) 등이 있다.
이와 함께 △사전 동의 없이 트위터를 스크래핑하는 행위 △이메일이나 게시물에 있는 헤더 정보의 일부 또는 TCP/IP 패킷 헤더를 위조하거나, 어떤 방식으로든 트위터를 사용하여 변조된 정보, 사기성 정보 또는 잘못된 소스 식별 정보를 전송하는 행위 △바이러스 전송, 트위터 서비스에 대한 과부하, 플러딩, 스패밍, 메일 폭탄 공격, 트위터 서비스에 지장을 주거나 심각한 부담을 초래할 수 있는 방식으로 이러한 콘텐츠를 생성하는 스크립트 사용 △호스트 또는 네트워크의 액세스를 방해하는 행위 등도 보안 침해행위로 간주하고 있다.
이러한 악성행위가 적발되면 정책 위반 내용에 따라 트위터 API에 대한 개발자의 접근 권한이 제한, 정지 또는 종료될 수 있다. 특히, 멀웨어와 피싱과 같이 타인의 브라우저 또는 컴퓨터를 손상시키거나 사용을 방해하거나 사용자의 개인정보를 유출하기 위한 악성 콘텐츠 게시 행위가 적발될 경우 경고가 표시된다.
경고는 해당 URL이 잠재적으로 유해한 URL의 데이터베이스와 일치하는 것으로 피싱, 악성 소프트웨어 또는 스팸 사이트나 트위터 이용약관을 위반한 사이트에 연결된다. 이는 계정 보안과 사용자 안전 목적 및 트위터 이용약관 위반을 규제하기 위한 대응으로 특정 URL에 플래그 표시를 하게 된다. 또한, 외부 파트너들과의 협조를 통해 링크를 평가해 안전성 여부를 판단하게 된다.
따라서 이용자는 피싱 예방을 위해 트위터 비밀번호 입력 창이 나오면 브라우저 주소창의 URL이 twitter.com인지 반드시 먼저 확인해야 한다. 또한, 누군가 생소한 URL이 포함된 쪽지를 보낼 경우 아무리 친한 친구가 보낸 것이라도 링크를 열지 않는 것이 바람직하다.
쿠키, 픽셀 등 기술 사용해 인증보안
이와 함께 트위터에서는 쿠키와 함께 픽셀, 로컬 저장소 등의 유사기술을 사용한다. 이는 빠르면서 안전한 환경을 제공하기 위해서다. 기술의 사용용도는 인증 및 보안을 위한 트위터 로그인, 사용자 정보보안 유지, 배포가 제한된 콘텐츠를 사용자가 조회할 수 있도록 허용, 스팸 차단, 사이버 폭력 및 기타 모든 활동을 탐지 및 퇴치하는데 활용된다. 예를 들어 트위터에 접근하는 사용자를 인증하고 권한이 없는 사용자가 계정에 접근하지 못하도록 방지할 수 있다.
이러한 기술은 트위터의 웹사이트, 애플리케이션, 서비스에 적용돼 있으며, 트위터의 광고 기술을 통합한 타사 자산을 포함한 트위터의 서비스를 통합한 타 웹사이트, 애플리케이션, 서비스에도 사용할 수 있다.
이용자들 위해 로그인 인증절차와 알림서비스, PIN 설정 제공
그렇다면 이용자 측면에서 안전하게 트위터를 이용할 수 있도록 하는 보안정책에는 무엇이 있을까? 바로 로그인 인증 절차와 계정 보안을 위한 알림서비스, PIN 설정 서비스다. 이용자는 로그인 인증 절차를 통해 계정을 한층 더 안전하게 보호할 수 있다. 로그인 인증 절차는 사용자 본인만 트위터 계정에 접근할 수 있도록 비밀번호와 더불어 2차 확인절차를 거치는 것이다. 인증을 위한 비밀번호와 휴대폰에 모두 접근할 수 있는 사람만 내 계정에 로그인할 수 있다.
다음으로 새 디바이스에서 처음으로 트위터 계정에 로그인할 경우 계정 보안을 위해 이메일 알림을 보낸다. iOS와 안드로이드(Android), twitter.com 및 모바일 웹용 트위터를 통해 새로 로그인할 경우에만 로그인 이메일 알림을 보내준다. 따라서 이용자는 이러한 이메일을 통해 본인이 해당 디바이스에서 로그인했다는 것을 인증할 수 있다. 만약 해당 디바이스에서 본인이 로그인하지 않은 경우, 트위터 비밀번호의 즉시 변경부터 시작해 알림 이메일 단계를 따라 계정을 보호해야 한다.
PIN 설정과 사용으로 계정보안 강화
다음으로 PIN 설정이다. PIN 설정 방법을 통해 보안을 강화할 수 있으며 방법은 다음과 같다.
1. 모바일 디바이스가 내 트위터 계정에 연결됐는지 확인
2. 웹에서 트위터 계정에 로그인하고 모바일 설정으로 이동
3. 사용할 PIN을 알파벳과 숫자로 조합한 4글자로 입력
4. 페이지 하단으로 스크롤해 변경사항 저장 클릭
5. PIN을 사용할 수 있는 경우 확인 메시지 표시
누군가 내 계정을 도용하고 있는 것으로 의심되는 경우, 모바일 업데이트 및 명령어에 따라 개인 식별번호인 PIN을 설정할 수 있다. 보안을 위해 나만 알 수 있는 PIN을 사용하는 것이 바람직하다. PIN 사용방법은 계정에 PIN을 설정한 경우 트윗 본문이나 SMS 명령어를 보내는 트위터 단축 코드 앞에 PIN을 입력하면 된다. 메시지 입력 전에 PIN을 입력하지 않으면 ‘PIN이 올바르지 않습니다’라는 메시지를 수신하게 된다. 이 메시지를 받을 경우 첫머리에 PIN을 넣어 SMS를 재전송하면 된다.
PIN 변경 또는 삭제방법은 내 계정의 모바일 설정으로 이동해 PIN 입력란에서 PIN을 변경하거나 완전히 삭제할 수 있다. 그런 다음 페이지 하단으로 스크롤해 변경사항 저장을 클릭하면 된다. 만약 PIN 번호가 기억나지 않는 경우 웹을 통해 twitter.com에 로그인한 다음 모바일 설정에서 확인할 수 있는데 가장 최근에 설정한 PIN이 표시된다. 이외에 트위터 고객지원센터를 통해 문의할 수도 있다.
트위터 측은 트위터를 이용할 때 개인정보는 게재하지 말고, 내 위치정보를 공개적으로 공유할 때에는 신중히 생각해야 한다며 △누구와 이 정보를 공유하는가? △어떠한 종류의 정보를 얼마만큼 공유하는가? △내가 공유하는 이 정보를 몇 명의 사람들이 볼 수 있는가? △이 정보를 보게 되는 모든 사람을 신뢰할 수 있는가? 등을 고려해 이용할 것을 당부했다. 특히, 개인 연락처나 정보, 비밀번호를 물어보는 사람들을 조심해야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
