가짜 팔로워 대량 생산해 활동하면 특정 계정 영향력 조작 가능
가짜 팔로워는 계정 하나하나 관찰해 식별하기 어려워
[보안뉴스 문가용 기자] 소셜 미디어에서 서식하는 거대한 봇넷을 찾는 일은 가짜 트위터 팔로워를 찾는 것부터 시작할 수 있다고 보안 업체 듀오 시큐리티(Duo Security)가 발표했다. 그러면서 듀오 측은 이러한 가짜 팔로워들을 적발해내는 방법을 공개하기도 했다.
[이미지 = iclickart]
지난 여름 듀오 시큐리티의 데이터 과학자인 올라보드 아니스(Olabode Anise)와 수석 연구 개발 엔지니어인 조던 라이트(Jordan Wright)는 프로젝트를 하나 완료했다. 트위터에서 극성을 떨치고 있는 봇들의 특성을 찾아내는 것이었다. 이 연구를 통해 자동화 기술로 생성된 계정과 진짜 계정을 구분해내는 것이 목적이었고, 실제로 분류기 툴을 구축하기도 했다.
트위터의 공공 데이터셋을 분석한 둘은 봇들이 사용되는 목적을 크게 세 가지로 분류할 수 있다는 것을 알아냈다. “먼저는 콘텐츠를 만들어내는 봇들이 있습니다. 이런 봇들은 스팸, 악성 링크 등을 끊임없이 만들어내죠. 그 다음으로는 증폭 봇들이 있습니다. 이 봇들은 리트윗을 많이 해서 특정 트윗의 인기를 높입니다. 마지막으로는 가짜 팔로워 봇이 있습니다. 증폭 봇과 비슷한데, 이 경우 특정 사용자의 인기를 부풀리는 것을 목적으로 합니다.”
이러한 내용은 최근 발표된 보고서에 상세하게 나온다. 특별히 이번 보고서는 마지막 경우인 가짜 팔로워를 집중적으로 파헤치고 있다. 가짜 팔로워가 어떤 식으로 움직이고, 어떻게 운영되는지, 듀오 시큐리티가 어떻게 가짜 팔로워들을 찾아냈고, 이를 통해 어떻게 거대 봇넷을 발굴했는지가 자세하게 설명되고 있다. “소셜 생태계에서 가짜 팔로워의 존재는 무시할 수 없습니다. 특정 사용자의 영향력을 실제보다 부풀릴 수 있다는 건 큰 힘이죠.”
가짜 팔로워들은 멀쩡한 계정이 가진 영향력을 남용하거나 누군가를 괴롭히는 데 사용될 수도 있고, 가짜 계정의 인기를 단기간에 올리는 데 활용되기도 한다. 팔로워가 많은 계정은 아무래도 더 신뢰를 받는데, 이러한 SNS 사용자의 심리를 적극 이용하는 것이다.
그렇다면 이런 가짜 팔로워들을 어떻게 분간할 수 있을까? 일단 두 전문가는 “한 눈에 알기는 어렵다”고 말한다. “정보가 많으면 많을수록 더 정확하게 계정을 분석할 수 있습니다. 일단 가짜 팔로워들 사이에서 가장 보편적으로 나타나는 특징은 개별 활동이 뜸하다는 겁니다. 팔로잉이 가장 많이 하는 활동일 뿐이죠. 그렇기에 분석할 정보가 적기도 합니다.”
그렇다고 활동이 뜸한 계정을 전부 악성이라고 볼 수는 없다. 분명히 정상적인 트위터 사용자들 가운데도, 팔로잉만 하기 위해 계정을 만드는 경우가 있다. 그러므로 활동 빈도만 가지고 계정 하나하나를 파헤친다는 건 별로 효과적이지 못하고 정확하지도 않다고 아니스는 설명한다. “차라리 계정과 엮인 소셜 네트워크 전체를 보는 게 낫습니다. 가짜 팔로워 계정은 대부분 번들로 구매된다는 특징을 가지고 있습니다. 이 번들을 만드는 건 한 단체일 때가 많고요. 그렇다보니 이 번들에 속한 계정들에는 특정 공통점이 있습니다.”
아니스와 라이트가 분석을 진행했을 당시, 주시하고 있던 봇넷은 가짜 팔로워들을 사용해 가짜 트위터 계정이 정상적인 진짜 계정처럼 보이게 꾸미고 있었다고 한다. 이중에는 가짜 엘론 머스크(Elon Must) 트위터 계정도 있었는데 이 계정의 팔로워들을 분석해보니 공통된 특징들이 있었다. “이 경우는 가짜인 게 너무 티가 났어요. 굳이 숨기려 하지도 않은 듯 보였습니다. 패턴만 발견하면 가짜인 것이 꽤나 분명하게 보이기도 합니다.”
이러한 ‘패턴’ 중 하나는 시간이다. 한 번에 많은 계정이 만들어지고 판매되기 때문에 생성일이 비슷한 경우가 있고, 운영자의 작업 시간이 비슷하기 때문에 팔로우 신청을 한 시간대가 겹칠 때도 있다. “비슷한 시간에 팔로워가 무더기로 늘었다면, 그 팔로워들 전부 가짜일 가능성이 높습니다.”
계정의 프로필도 중요한 단서가 된다. 프로필이 없는 계정은 그 자체로 이미 가짜처럼 보이기 때문이다. 가짜 엘론 머스크 계정의 경우 프로필에 격언이 적혀 있었다. 하지만 공격자 입장에서 수많은 계정에 고유한 프로필을 채워 넣는다는 건 굉장히 어려운 일이다. 이 점에 착안하면 정상 계정과 가짜 계정을 어느 정도 구분할 수 있다. “단체로 만들어진 계정의 프로필에는 어느 정도 비슷한 구석이 있습니다. 역시 계정을 하나하나 살피면 알 수 없는 측면입니다. 계정을 묶어서 바라보는 게 중요합니다.”
이런 식으로 가짜 계정을 파악한 아니스와 라이트는 크롤링(crawling)을 시작했다. 가짜 계정 하나의 연결망을 점검하고, 이 가짜 계정이 팔로우하고 있는 계정들의 연결망 또한 모두 조사했다. 스크립트를 하나 만들어 특정 계정의 소셜 네트워크 전체를 탐색할 수 있게 됐다. 그러다보니 가짜 및 진짜 프로필들로 구성된 거대한 망이 하나 나타났다. 이 망은 진짜 계정들을 팔로잉하는 수많은 가짜 계정들을 거느리고 있었다.
그렇다고 해서 이 망에 속한 계정들이 전부 가짜라고 할 수 없고, 트위터 내 가짜 계정들이 전부 이 망에 연결되어 있다고 결론 내리기는 힘들다. 두 연구원들도 “아직 우리가 찾아내지 못한 가짜 팔로워들이 더 많이 남아있을 것”이라고 말한다. 그래서 이들은 다른 봇 계정을 추적해 다른 가짜 계정들을 적발하기 시작했고, 약 1200개의 봇들을 추가로 발견할 수 있었다.
“대규모로 만들어진 가짜 트위터 계정은 분명한 패턴을 가지고 있고, 이 패턴은 꽤나 눈에 띕니다. 하지만 소규모로 만들어진 계정들은 이런 식으로 찾아내는 게 더 힘들 수 있습니다. 그런 때는 연결고리를 넓혀 계정들의 거대한 망을 찾아낸다는 마음으로 조사를 시작해야 합니다. 생각지도 못한 계정들이 나올 수 있습니다.”
3줄 요약
1. 가짜 트위터 팔로워의 특징 : 개별 활동 뜸하고, 한꺼번에 만들어졌기 때문에 다른 가짜 계정들과 생성날짜 비슷하고, 거대한 봇넷 등에 함께 연결되어 있음.
2. 계정 하나하나 관찰하면 진위 여부 파악 힘듦. 여러 계정들을 묶어서 관찰해야 함.
3. 가짜 팔로워 사용하면 가짜 계정을 진짜처럼 보이게 만들고, 계정의 영향력 부풀릴 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
가짜 팔로워는 계정 하나하나 관찰해 식별하기 어려워
[보안뉴스 문가용 기자] 소셜 미디어에서 서식하는 거대한 봇넷을 찾는 일은 가짜 트위터 팔로워를 찾는 것부터 시작할 수 있다고 보안 업체 듀오 시큐리티(Duo Security)가 발표했다. 그러면서 듀오 측은 이러한 가짜 팔로워들을 적발해내는 방법을 공개하기도 했다.
[이미지 = iclickart]
지난 여름 듀오 시큐리티의 데이터 과학자인 올라보드 아니스(Olabode Anise)와 수석 연구 개발 엔지니어인 조던 라이트(Jordan Wright)는 프로젝트를 하나 완료했다. 트위터에서 극성을 떨치고 있는 봇들의 특성을 찾아내는 것이었다. 이 연구를 통해 자동화 기술로 생성된 계정과 진짜 계정을 구분해내는 것이 목적이었고, 실제로 분류기 툴을 구축하기도 했다.
트위터의 공공 데이터셋을 분석한 둘은 봇들이 사용되는 목적을 크게 세 가지로 분류할 수 있다는 것을 알아냈다. “먼저는 콘텐츠를 만들어내는 봇들이 있습니다. 이런 봇들은 스팸, 악성 링크 등을 끊임없이 만들어내죠. 그 다음으로는 증폭 봇들이 있습니다. 이 봇들은 리트윗을 많이 해서 특정 트윗의 인기를 높입니다. 마지막으로는 가짜 팔로워 봇이 있습니다. 증폭 봇과 비슷한데, 이 경우 특정 사용자의 인기를 부풀리는 것을 목적으로 합니다.”
이러한 내용은 최근 발표된 보고서에 상세하게 나온다. 특별히 이번 보고서는 마지막 경우인 가짜 팔로워를 집중적으로 파헤치고 있다. 가짜 팔로워가 어떤 식으로 움직이고, 어떻게 운영되는지, 듀오 시큐리티가 어떻게 가짜 팔로워들을 찾아냈고, 이를 통해 어떻게 거대 봇넷을 발굴했는지가 자세하게 설명되고 있다. “소셜 생태계에서 가짜 팔로워의 존재는 무시할 수 없습니다. 특정 사용자의 영향력을 실제보다 부풀릴 수 있다는 건 큰 힘이죠.”
가짜 팔로워들은 멀쩡한 계정이 가진 영향력을 남용하거나 누군가를 괴롭히는 데 사용될 수도 있고, 가짜 계정의 인기를 단기간에 올리는 데 활용되기도 한다. 팔로워가 많은 계정은 아무래도 더 신뢰를 받는데, 이러한 SNS 사용자의 심리를 적극 이용하는 것이다.
그렇다면 이런 가짜 팔로워들을 어떻게 분간할 수 있을까? 일단 두 전문가는 “한 눈에 알기는 어렵다”고 말한다. “정보가 많으면 많을수록 더 정확하게 계정을 분석할 수 있습니다. 일단 가짜 팔로워들 사이에서 가장 보편적으로 나타나는 특징은 개별 활동이 뜸하다는 겁니다. 팔로잉이 가장 많이 하는 활동일 뿐이죠. 그렇기에 분석할 정보가 적기도 합니다.”
그렇다고 활동이 뜸한 계정을 전부 악성이라고 볼 수는 없다. 분명히 정상적인 트위터 사용자들 가운데도, 팔로잉만 하기 위해 계정을 만드는 경우가 있다. 그러므로 활동 빈도만 가지고 계정 하나하나를 파헤친다는 건 별로 효과적이지 못하고 정확하지도 않다고 아니스는 설명한다. “차라리 계정과 엮인 소셜 네트워크 전체를 보는 게 낫습니다. 가짜 팔로워 계정은 대부분 번들로 구매된다는 특징을 가지고 있습니다. 이 번들을 만드는 건 한 단체일 때가 많고요. 그렇다보니 이 번들에 속한 계정들에는 특정 공통점이 있습니다.”
아니스와 라이트가 분석을 진행했을 당시, 주시하고 있던 봇넷은 가짜 팔로워들을 사용해 가짜 트위터 계정이 정상적인 진짜 계정처럼 보이게 꾸미고 있었다고 한다. 이중에는 가짜 엘론 머스크(Elon Must) 트위터 계정도 있었는데 이 계정의 팔로워들을 분석해보니 공통된 특징들이 있었다. “이 경우는 가짜인 게 너무 티가 났어요. 굳이 숨기려 하지도 않은 듯 보였습니다. 패턴만 발견하면 가짜인 것이 꽤나 분명하게 보이기도 합니다.”
이러한 ‘패턴’ 중 하나는 시간이다. 한 번에 많은 계정이 만들어지고 판매되기 때문에 생성일이 비슷한 경우가 있고, 운영자의 작업 시간이 비슷하기 때문에 팔로우 신청을 한 시간대가 겹칠 때도 있다. “비슷한 시간에 팔로워가 무더기로 늘었다면, 그 팔로워들 전부 가짜일 가능성이 높습니다.”
계정의 프로필도 중요한 단서가 된다. 프로필이 없는 계정은 그 자체로 이미 가짜처럼 보이기 때문이다. 가짜 엘론 머스크 계정의 경우 프로필에 격언이 적혀 있었다. 하지만 공격자 입장에서 수많은 계정에 고유한 프로필을 채워 넣는다는 건 굉장히 어려운 일이다. 이 점에 착안하면 정상 계정과 가짜 계정을 어느 정도 구분할 수 있다. “단체로 만들어진 계정의 프로필에는 어느 정도 비슷한 구석이 있습니다. 역시 계정을 하나하나 살피면 알 수 없는 측면입니다. 계정을 묶어서 바라보는 게 중요합니다.”
이런 식으로 가짜 계정을 파악한 아니스와 라이트는 크롤링(crawling)을 시작했다. 가짜 계정 하나의 연결망을 점검하고, 이 가짜 계정이 팔로우하고 있는 계정들의 연결망 또한 모두 조사했다. 스크립트를 하나 만들어 특정 계정의 소셜 네트워크 전체를 탐색할 수 있게 됐다. 그러다보니 가짜 및 진짜 프로필들로 구성된 거대한 망이 하나 나타났다. 이 망은 진짜 계정들을 팔로잉하는 수많은 가짜 계정들을 거느리고 있었다.
그렇다고 해서 이 망에 속한 계정들이 전부 가짜라고 할 수 없고, 트위터 내 가짜 계정들이 전부 이 망에 연결되어 있다고 결론 내리기는 힘들다. 두 연구원들도 “아직 우리가 찾아내지 못한 가짜 팔로워들이 더 많이 남아있을 것”이라고 말한다. 그래서 이들은 다른 봇 계정을 추적해 다른 가짜 계정들을 적발하기 시작했고, 약 1200개의 봇들을 추가로 발견할 수 있었다.
“대규모로 만들어진 가짜 트위터 계정은 분명한 패턴을 가지고 있고, 이 패턴은 꽤나 눈에 띕니다. 하지만 소규모로 만들어진 계정들은 이런 식으로 찾아내는 게 더 힘들 수 있습니다. 그런 때는 연결고리를 넓혀 계정들의 거대한 망을 찾아낸다는 마음으로 조사를 시작해야 합니다. 생각지도 못한 계정들이 나올 수 있습니다.”
3줄 요약
1. 가짜 트위터 팔로워의 특징 : 개별 활동 뜸하고, 한꺼번에 만들어졌기 때문에 다른 가짜 계정들과 생성날짜 비슷하고, 거대한 봇넷 등에 함께 연결되어 있음.
2. 계정 하나하나 관찰하면 진위 여부 파악 힘듦. 여러 계정들을 묶어서 관찰해야 함.
3. 가짜 팔로워 사용하면 가짜 계정을 진짜처럼 보이게 만들고, 계정의 영향력 부풀릴 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
