.jpg)
.gif)
각종 공격 시나리오 나오고 있는 중...악성 내부자에 대한 가능성이 유력해 보여
비트코인 사기 공격은 가짜일 수 있어...진짜 공격에 대한 가능성도 열어두고 수사해야
[보안뉴스 문가용 기자] 트위터의 유명 계정들이 다수 해킹당하는 사태가 발생하면서, “공격자들이 도대체 무슨 짓을 한 것일까?”에 대한 시나리오들이 갖가지로 나오고 있다. 트위터 측은 “트위터 내부 직원을 겨냥한 소셜 엔지니어링 공격”이라고 밝혔지만, 보안 전문가들과 외신들은 다른 가능성들도 제기하고 있다. 그런 가운데 FBI까지도 이 사건을 수사하기 시작했다고 로이터는 보도했다.
[이미지 = utoimage]
이번 주 조 바이든, 버락 오바마, 빌 게이츠, 엘론 머스크 등의 트위터 계정이 해커의 손에 넘어가 비트코인 사기 공격이 펼쳐진 바 있었다. 우버와 애플의 공식 트위터 계정도 이 중에 포함되어 있었다. 이들은 전부 팔로워도 많고, 신뢰성이 높은 계정이라 트위터가 빠르게 대처(해당 계정 차단)를 했음에도 피해액이 10만 달러를 넘어서고 있다.
트위터에서도 공식 인증한 ‘베리파이드 트위터(Verified Twitter)’ 계정이 한두 개도 아니고 다량으로 동시에 뚫려 사기 공격에 동원됐다는 건, 그 자체로 큰 사건이라고 보안 업체는 입을 모으고 있다. 그러면서 트위터가 자랑하던 다중 인증 장치가 왜 이번 사건에 도움이 되지 않았는가 의문을 제기하기 시작했다.
“정작 트위터 임직원들은 이중 인증을 사용하지 않고 있었다? 이 가능성은 높다고 보기 힘듭니다. 따라서 트위터가 밝힌 그대로 누군가 소셜 엔지니어링 공격에 당해 이중 인증이 뚫렸다고 보는 게 맞을 겁니다.” 보안 업체 카스퍼스키(Kaspersky)의 코스틴 라이우(Costin Raiu)의 설명이다. 트위터는 “내부 시스템에 접근 가능한 직원들 중 일부가 소셜 엔지니어링 공격에 당했다”고 발표했었다.
보안 업체 아카마이(Akamai)의 CSO인 앤디 엘리스(Andy Ellis)는 내부 사용자가 허용하지 않으면 일어나지 못할 공격이라는 의견이다. 다만 서드파티 접근 시스템과 API를 통해서도 비슷한 공격을 하는 게 가능하다고 알고 있다고 덧붙였다. “어느 것 하나 쉽게 단정 짓기 힘든 사건이므로 모든 가능성을 열어 두고 조사해야 합니다.” 그가 말하는 서드파티 시스템이나 API는 훗스위트(Hootsuite), 코트윗(CoTweet), 다이내믹 시그널(Dynamic Signal)처럼 트위터와 연계하여 특정 기능을 수행해 줄 수 있는 앱과 서비스를 이용할 때 사용되는 것으로, 보통 사용자의 요구에 의해 만들어진다.
그러면서 엘리시는 “이전에 시리아 전자 군(SEA)이 실시했던 DNS 등록소 공격과 상당히 비슷한 면이 있다”고도 말했다. 시리아 전자 군은 소셜 엔지니어링 등의 수법을 통해 내부자의 권한을 취득한 뒤, 그것을 바탕으로 악성 행위를 저지르곤 했었다. 그에 따라 권한 관리가 중요한 이슈로 대두되기도 했었다.
한편 외신인 머더보드(Motherboard)는 “관리자 권한을 가진 내부자가 활성화시킨 공격”이라는 표현을 쓰며 보도했다. 머더보드는 이 사건과 연루된 인물 두 명과 진행한 인터뷰를 발표했는데, 그 중 한 명이 “내부자가 사실상 모든 작업을 다 해주었다”고 증언하기도 했다. 다른 한 명은 “(해당) 내부자에게 충분한 돈을 지불하고 접근 권한을 구매했다”고 설명을 보충했다. 머더보드는 그 주장의 증거로 공격에 사용된 도구의 스크린샷을 공개했다.
트위터는 이러한 의혹성 보도에 대해 명확한 입장 발표를 하지 않고 있는 상황이다. 다만 “모든 가능성을 열어두고 수사를 진행하고 있다”는 것만 반복해 강조했다. 보안 업체 그레이트혼(GreatHorn)의 CEO인 케빈 오브라이언(Kevin OBrien)은 “내부자가 관여하지 않은 이상 이러한 일이 발생하기는 힘들다”고 머더보드의 보도에 힘을 실어 주었다. “다중 인증이 적용된 계정이 다량으로 동시에 침해됐다는 것 자체가 이미 모든 것을 설명합니다. 영향력 높고 특별하게 보호되어 있는 계정을 동시다발적으로 뚫는 건 내부자만 할 수 있습니다.”
그러면서 오브라이언은 “여러 단계를 거친 치밀한 피싱 공격이나 BEC 공격이 처음에 시행됐고, 이를 통해 공격자들이 공격을 자행했다는 수사 결과가 나올 것이 분명하다”고 예측하기도 했다. “요즘은 다 그런 식으로 공격이 일어나니까요. 그로 인해 공격자가 내부자처럼 행동할 권한을 가져갔을 수도 있고, 아니면 정말로 악성 내부자가 매수되었을 수도 있겠죠.”
보안 업체 비욘드트러스트(BeyondTrust)의 CISO인 모리 하버(Morey Harber)는 이 사건으로 인해 생각해봐야 할 것들을 몇 가지 정리해서 짚었는데, 가장 먼저는 트위터가 특별 관리 계정들에 접근하기 위한 내부 도구를 어떤 식으로 관리해왔는지 궁금하다고 말했다. 또한 공격자들이 특수 계정들에 접근하는 것 외에 어떤 악성 행위를 저질렀는지도 밝혀야 한다고 강조했다. 물론 미래에 사건 재발을 어떤 식으로 막을 건지도 공개해야 한다고 주장했다.
한편에서 이번 공격이 ‘가짜’일 수 있다는 의견도 나왔다. 오브라인언은 “특별 트위터 계정들을 다량으로 해킹한 자들이 단순 ‘비트코인 사기’를 쳤다는 게 잘 납득이 가지 않는다”는 입장이다. “이해하기 힘들 정도로 엄청난 일을 계획하고 성공한 자들인데, 누가 봐도 사기 같은 글을 올리고 공격을 끝낼까요? 어쩌면 이리로 눈을 돌리고 나서 본격적인 행동을 하고자 하는 건 아닐까요? 트이터 계정을 다량으로 털었다는 것과 그 후의 행동 사이에 간극이 너무 큽니다.”
조시 홀리(Josh Hawley)라는 상원 의원도 트위터의 CEO인 잭 도시(Jack Dorsey)에게 서신을 보내 “트럼프 대통령의 트위터 계정은 무사한가”라고 물으며, “이번에 화제가 되지 않은 계정들이 더 위험할 수도 있다”고 강조했다. “심지어 트위터 내부 시스템에 대한 중대한 침해 사고인 것은 아닐까요? 보이지 않는 부분에 대한 수사도 이어나가시기를 부탁드립니다.”
3줄 요약
1. 도대체 트위터에서 무슨 일이 일어난 걸까? 각종 시나리오 등장.
2. 악성 내부자가 연루되어 있다는 보도도 나오고 있음. 사실 가능성 낮지 않음.
3. 비트코인 사기는 눈 속임일 수 있음. 진짜 공격이 있었나 조사해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
비트코인 사기 공격은 가짜일 수 있어...진짜 공격에 대한 가능성도 열어두고 수사해야
[보안뉴스 문가용 기자] 트위터의 유명 계정들이 다수 해킹당하는 사태가 발생하면서, “공격자들이 도대체 무슨 짓을 한 것일까?”에 대한 시나리오들이 갖가지로 나오고 있다. 트위터 측은 “트위터 내부 직원을 겨냥한 소셜 엔지니어링 공격”이라고 밝혔지만, 보안 전문가들과 외신들은 다른 가능성들도 제기하고 있다. 그런 가운데 FBI까지도 이 사건을 수사하기 시작했다고 로이터는 보도했다.
[이미지 = utoimage]
이번 주 조 바이든, 버락 오바마, 빌 게이츠, 엘론 머스크 등의 트위터 계정이 해커의 손에 넘어가 비트코인 사기 공격이 펼쳐진 바 있었다. 우버와 애플의 공식 트위터 계정도 이 중에 포함되어 있었다. 이들은 전부 팔로워도 많고, 신뢰성이 높은 계정이라 트위터가 빠르게 대처(해당 계정 차단)를 했음에도 피해액이 10만 달러를 넘어서고 있다.
트위터에서도 공식 인증한 ‘베리파이드 트위터(Verified Twitter)’ 계정이 한두 개도 아니고 다량으로 동시에 뚫려 사기 공격에 동원됐다는 건, 그 자체로 큰 사건이라고 보안 업체는 입을 모으고 있다. 그러면서 트위터가 자랑하던 다중 인증 장치가 왜 이번 사건에 도움이 되지 않았는가 의문을 제기하기 시작했다.
“정작 트위터 임직원들은 이중 인증을 사용하지 않고 있었다? 이 가능성은 높다고 보기 힘듭니다. 따라서 트위터가 밝힌 그대로 누군가 소셜 엔지니어링 공격에 당해 이중 인증이 뚫렸다고 보는 게 맞을 겁니다.” 보안 업체 카스퍼스키(Kaspersky)의 코스틴 라이우(Costin Raiu)의 설명이다. 트위터는 “내부 시스템에 접근 가능한 직원들 중 일부가 소셜 엔지니어링 공격에 당했다”고 발표했었다.
보안 업체 아카마이(Akamai)의 CSO인 앤디 엘리스(Andy Ellis)는 내부 사용자가 허용하지 않으면 일어나지 못할 공격이라는 의견이다. 다만 서드파티 접근 시스템과 API를 통해서도 비슷한 공격을 하는 게 가능하다고 알고 있다고 덧붙였다. “어느 것 하나 쉽게 단정 짓기 힘든 사건이므로 모든 가능성을 열어 두고 조사해야 합니다.” 그가 말하는 서드파티 시스템이나 API는 훗스위트(Hootsuite), 코트윗(CoTweet), 다이내믹 시그널(Dynamic Signal)처럼 트위터와 연계하여 특정 기능을 수행해 줄 수 있는 앱과 서비스를 이용할 때 사용되는 것으로, 보통 사용자의 요구에 의해 만들어진다.
그러면서 엘리시는 “이전에 시리아 전자 군(SEA)이 실시했던 DNS 등록소 공격과 상당히 비슷한 면이 있다”고도 말했다. 시리아 전자 군은 소셜 엔지니어링 등의 수법을 통해 내부자의 권한을 취득한 뒤, 그것을 바탕으로 악성 행위를 저지르곤 했었다. 그에 따라 권한 관리가 중요한 이슈로 대두되기도 했었다.
한편 외신인 머더보드(Motherboard)는 “관리자 권한을 가진 내부자가 활성화시킨 공격”이라는 표현을 쓰며 보도했다. 머더보드는 이 사건과 연루된 인물 두 명과 진행한 인터뷰를 발표했는데, 그 중 한 명이 “내부자가 사실상 모든 작업을 다 해주었다”고 증언하기도 했다. 다른 한 명은 “(해당) 내부자에게 충분한 돈을 지불하고 접근 권한을 구매했다”고 설명을 보충했다. 머더보드는 그 주장의 증거로 공격에 사용된 도구의 스크린샷을 공개했다.
트위터는 이러한 의혹성 보도에 대해 명확한 입장 발표를 하지 않고 있는 상황이다. 다만 “모든 가능성을 열어두고 수사를 진행하고 있다”는 것만 반복해 강조했다. 보안 업체 그레이트혼(GreatHorn)의 CEO인 케빈 오브라이언(Kevin OBrien)은 “내부자가 관여하지 않은 이상 이러한 일이 발생하기는 힘들다”고 머더보드의 보도에 힘을 실어 주었다. “다중 인증이 적용된 계정이 다량으로 동시에 침해됐다는 것 자체가 이미 모든 것을 설명합니다. 영향력 높고 특별하게 보호되어 있는 계정을 동시다발적으로 뚫는 건 내부자만 할 수 있습니다.”
그러면서 오브라이언은 “여러 단계를 거친 치밀한 피싱 공격이나 BEC 공격이 처음에 시행됐고, 이를 통해 공격자들이 공격을 자행했다는 수사 결과가 나올 것이 분명하다”고 예측하기도 했다. “요즘은 다 그런 식으로 공격이 일어나니까요. 그로 인해 공격자가 내부자처럼 행동할 권한을 가져갔을 수도 있고, 아니면 정말로 악성 내부자가 매수되었을 수도 있겠죠.”
보안 업체 비욘드트러스트(BeyondTrust)의 CISO인 모리 하버(Morey Harber)는 이 사건으로 인해 생각해봐야 할 것들을 몇 가지 정리해서 짚었는데, 가장 먼저는 트위터가 특별 관리 계정들에 접근하기 위한 내부 도구를 어떤 식으로 관리해왔는지 궁금하다고 말했다. 또한 공격자들이 특수 계정들에 접근하는 것 외에 어떤 악성 행위를 저질렀는지도 밝혀야 한다고 강조했다. 물론 미래에 사건 재발을 어떤 식으로 막을 건지도 공개해야 한다고 주장했다.
한편에서 이번 공격이 ‘가짜’일 수 있다는 의견도 나왔다. 오브라인언은 “특별 트위터 계정들을 다량으로 해킹한 자들이 단순 ‘비트코인 사기’를 쳤다는 게 잘 납득이 가지 않는다”는 입장이다. “이해하기 힘들 정도로 엄청난 일을 계획하고 성공한 자들인데, 누가 봐도 사기 같은 글을 올리고 공격을 끝낼까요? 어쩌면 이리로 눈을 돌리고 나서 본격적인 행동을 하고자 하는 건 아닐까요? 트이터 계정을 다량으로 털었다는 것과 그 후의 행동 사이에 간극이 너무 큽니다.”
조시 홀리(Josh Hawley)라는 상원 의원도 트위터의 CEO인 잭 도시(Jack Dorsey)에게 서신을 보내 “트럼프 대통령의 트위터 계정은 무사한가”라고 물으며, “이번에 화제가 되지 않은 계정들이 더 위험할 수도 있다”고 강조했다. “심지어 트위터 내부 시스템에 대한 중대한 침해 사고인 것은 아닐까요? 보이지 않는 부분에 대한 수사도 이어나가시기를 부탁드립니다.”
3줄 요약
1. 도대체 트위터에서 무슨 일이 일어난 걸까? 각종 시나리오 등장.
2. 악성 내부자가 연루되어 있다는 보도도 나오고 있음. 사실 가능성 낮지 않음.
3. 비트코인 사기는 눈 속임일 수 있음. 진짜 공격이 있었나 조사해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)