유명인 계정 다수가 한꺼번에 해킹 된 사상 초유의 사건...FBI도 주목
일부 전문가들, 범인으로 보이는 이들 지목하기 시작...트위터는 “악성 내부자 없다”
[보안뉴스 문가용 기자] 지난 주 조 바이든, 빌 게이츠, 엘론 머스크 등 유명인들의 트위터 계정이 일제히 해킹 당하는 일이 발생했다. 트위터는 내부 조사를 진행 중에 있다고 발표했고, 보안 업계에서는 여러 가지 가능성들이 제기되기 시작했다. 그리고 지난 토요일 트위터는 조사 결과를 900자로 요약해 발표했다. 결과적으로 트위터 내부 직원 일부를 겨냥한 소셜 엔지니어링 공격이었다는 내용이었다.
[이미지 = utoimage]
“공격자들이 접근하는 데 성공한 도구는 내부 지원 팀 내에서만 사용하는 것으로, 130개의 트위터 계정들과 연결되어 있습니다. 이 중 45개 계정에서 공격자들은 비밀번호를 다시 설정하거나 로그인 해 트윗을 보내는 게 가능했던 것으로 파악되었습니다.” 트위터가 공개한 내용이다. 또한 8개 계정의 경우 공격자들이 ‘당신의 트위터 데이터(Your Twitter Data)’ 기능에 접근한 것으로 밝혀졌다. 하지만 나머지는 비밀 계정 정보에 접근할 수는 없었다고 한다.
트위터가 밝힌 내용을 요약하면 다음과 같다.
1) 공격자들은 이전 계정 비밀번호들을 열람할 수 없었음. 이전 비밀번호는 평문으로 저장되어 있지 않기 때문임.
2) 공격자들은 이메일 주소와 전화번호 등 일부 개인정보를 열람할 수 있었음.
3) 만약 공격자들이 계정을 탈취했다면, 추가 정보에 대한 접근도 가능한 상태임. 이 부분에 대해서는 아직 포렌식을 진행 중임.
하지만 이것만으로는 정확히 무슨 일이 벌어졌는지 알기 힘들다는 게 보안 업계의 반응이다. 슈나이어 온 시큐리티(Schneier on Security)의 브루스 슈나이어(Bruce Schneier)는 자신의 블로그를 통해 “하루 종일 기자들이 이 사건 때문에 내게 전화를 한다”며 “나 역시 트위터의 발표를 기다리는 입장이라 특별한 정보를 보유하고 있지 않다”고 썼다. 그러면서 “아마 사건에 대해 정확히 파악하려면 최소 2주 정도 걸릴 것”이라고 말했다.
지금까지 알려진 사실
- 지난 주, 여러 개의 유명 트위터 계정이 해킹에 당함. 공격자들은 해당 계정을 통해 “비트코인을 내 지갑으로 보내면 두 배로 쳐서 되돌려 줌”이라는 내용의 트윗을 보냄. 누가 봐도 사기성 짙은 내용이었지만 속은 사람들이 존재함. 브라이언 크렙스(Brian Krebs)가 조사한 바에 의하면 해당 비트코인 지갑을 통해 총 393번의 거래가 발생했고 118,104.27 달러의 돈이 입금됐음.
- 트위터 측에서 현재까지 조사한 바들에 대해 알림. 그 내용은 위에 요약한 것과 동일함. 즉, 130개의 트위터 계정들이 침해당했고, 이 중 일부에서만 적극적 악성 행위가 발견되었다는 것임. 현재 계정 운영자들과 함께 어떤 정보에 어떤 피해가 있었나 알아보는 중임.
- FBI도 수사에 개입.
여러 가지 추측들
- 사건이 벌어지기 전에, SIM 스와핑 공격을 연구하는 커뮤니티에 갑자기 트위터 내부 대시보드의 스크린샷이 올라온 바 있음. 바로 이번 공격자들이 접근하는 데 성공했다고 하는 내부자 전용 도구가 바로 이것임. SIM 스와핑 공격은 현재까지 주로 암호화폐 채굴자들 사이에서 인기가 높음.
- 보안 전문가 브라이언 크렙스는 이러한 트위터 내부 도구를 공유하고 있는 트위터 계정들을 추가로 발견했음. 트위터 측은 이 계정들을 삭제함. 이 트위터 계정들을 추적했을 때 유명 SIM 스와핑 공격 단체인 플러그워크조(PlugWalkJoe)가 나타남. 일설에 의하면 플러그워크조는 영국 출신의 21세 청년이라고 함. 이름은 조셉 제임스 코너(Joseph James Connor).
- 외신인 머더보드(Motherboard) 역시 트위터의 내부 도구가 해커들 사이의 포럼에 이미 공격 전에 등장했다는 사실을 보도함. 머더보드는 이 공격을 주도한 자들이라고 하는 해커들과 인터뷰를 했는데, 그들은 ‘뇌물을 줘서 트위터 내부 인원을 공격에 활용할 수 있었다’고 증언함. 여러 보안 전문가들도 악성 내부자의 가능성을 높게 보고 있었음.
- 트위터는 이러한 주장을 전면 부인함. 악성 내부자가 있었던 것이 아니라 소셜 엔지니어링 공격에 당해 속아넘어간 내부자는 있다고 함.
- 또 다른 외신인 테크크런치(TechCrunch)는 트위터 해킹 사태가 커크(Kirk)라는 이름으로 활동하는 해커의 소행이라고 주장함. 이름을 밝힐 수 없는 제보자가 있었다고 함. 제보자는 “커크가 트위터 관리자 도구에 접근하는 데 성공했다고 자랑했으며, 이를 통해 수시간 만에 10만 달러를 벌었다고 했다”고 했음. 이런 대화가 오고간 디스코드 스크린샷도 확보됨.
- 커크는 이러한 성공에 힘입어 더 대담한 공격을 실시하게 됐는데, 그게 바로 지난 주 트위터 해킹 사건이라고 함.
아직 밝혀지지 않고 확인을 더 해야 하는 정보들
- 크렙스가 맞고, 플러그워크조가 정말 범인이라면 SIM 스와핑 공격이 초기에 발생했을 수 있음.
- 워너크라이(WannaCry) 사태 때 구세주처럼 등장한 보안 전문가이자 이전 해커인 마르커스 허친스(Marcus Hutchins)가 트위터를 통해 “이 사건의 배후에 있는 해커들 중 한 명의 신원을 확보했다”고 주장함. 그러면서 “곧 기소 소식이 있을 것”이라고도 씀. 하지만 그 후 별 다른 소식이 없음.
- 정치적 공작을 위한 APT 공격 단체의 소행이라는 주장도 나옴. 특히 미국 대선이 점점 가까워져 오고 있기 때문에 트위터 등 SNS 플랫폼을 통한 가짜뉴스 및 여론 조작 공격이 예상되는 상황에서 이러한 일이 벌어졌기 때문에 점점 힘을 얻고 있는 주장임. 특히 정치인들 사이에서 이러한 목소리가 나오고 있음.
현 시점에서의 결론
현재까지 트위터 해킹 사건에 대해 정확히 알려진 바는 거의 없다고 봐도 된다. 트위터가 공식 발표한 ‘소셜 엔지니어링’과 ‘130개 계정’이 거의 전부다. 여기에 더해, 여러 보안 분야 외신들과 전문가들이 꽤나 신뢰할 만한 출처로부터 정보를 캐고 있고, 이에 몇몇 용의자들이 이미 물망에 오른 상태다. 그러나 명확히 확인된 바는 없다. 일각에서는 ‘이제 곧 트위터를 통한 여론 몰이 공격이 시작될 텐데, 이렇게 쉽게 뚫려서 어떻게 방어하겠는가?’라는 우려의 목소리 또한 나오고 있다.
[국제부 문가용 기자(globoan@boannews.com)]
일부 전문가들, 범인으로 보이는 이들 지목하기 시작...트위터는 “악성 내부자 없다”
[보안뉴스 문가용 기자] 지난 주 조 바이든, 빌 게이츠, 엘론 머스크 등 유명인들의 트위터 계정이 일제히 해킹 당하는 일이 발생했다. 트위터는 내부 조사를 진행 중에 있다고 발표했고, 보안 업계에서는 여러 가지 가능성들이 제기되기 시작했다. 그리고 지난 토요일 트위터는 조사 결과를 900자로 요약해 발표했다. 결과적으로 트위터 내부 직원 일부를 겨냥한 소셜 엔지니어링 공격이었다는 내용이었다.
[이미지 = utoimage]
“공격자들이 접근하는 데 성공한 도구는 내부 지원 팀 내에서만 사용하는 것으로, 130개의 트위터 계정들과 연결되어 있습니다. 이 중 45개 계정에서 공격자들은 비밀번호를 다시 설정하거나 로그인 해 트윗을 보내는 게 가능했던 것으로 파악되었습니다.” 트위터가 공개한 내용이다. 또한 8개 계정의 경우 공격자들이 ‘당신의 트위터 데이터(Your Twitter Data)’ 기능에 접근한 것으로 밝혀졌다. 하지만 나머지는 비밀 계정 정보에 접근할 수는 없었다고 한다.
트위터가 밝힌 내용을 요약하면 다음과 같다.
1) 공격자들은 이전 계정 비밀번호들을 열람할 수 없었음. 이전 비밀번호는 평문으로 저장되어 있지 않기 때문임.
2) 공격자들은 이메일 주소와 전화번호 등 일부 개인정보를 열람할 수 있었음.
3) 만약 공격자들이 계정을 탈취했다면, 추가 정보에 대한 접근도 가능한 상태임. 이 부분에 대해서는 아직 포렌식을 진행 중임.
하지만 이것만으로는 정확히 무슨 일이 벌어졌는지 알기 힘들다는 게 보안 업계의 반응이다. 슈나이어 온 시큐리티(Schneier on Security)의 브루스 슈나이어(Bruce Schneier)는 자신의 블로그를 통해 “하루 종일 기자들이 이 사건 때문에 내게 전화를 한다”며 “나 역시 트위터의 발표를 기다리는 입장이라 특별한 정보를 보유하고 있지 않다”고 썼다. 그러면서 “아마 사건에 대해 정확히 파악하려면 최소 2주 정도 걸릴 것”이라고 말했다.
지금까지 알려진 사실
- 지난 주, 여러 개의 유명 트위터 계정이 해킹에 당함. 공격자들은 해당 계정을 통해 “비트코인을 내 지갑으로 보내면 두 배로 쳐서 되돌려 줌”이라는 내용의 트윗을 보냄. 누가 봐도 사기성 짙은 내용이었지만 속은 사람들이 존재함. 브라이언 크렙스(Brian Krebs)가 조사한 바에 의하면 해당 비트코인 지갑을 통해 총 393번의 거래가 발생했고 118,104.27 달러의 돈이 입금됐음.
- 트위터 측에서 현재까지 조사한 바들에 대해 알림. 그 내용은 위에 요약한 것과 동일함. 즉, 130개의 트위터 계정들이 침해당했고, 이 중 일부에서만 적극적 악성 행위가 발견되었다는 것임. 현재 계정 운영자들과 함께 어떤 정보에 어떤 피해가 있었나 알아보는 중임.
- FBI도 수사에 개입.
여러 가지 추측들
- 사건이 벌어지기 전에, SIM 스와핑 공격을 연구하는 커뮤니티에 갑자기 트위터 내부 대시보드의 스크린샷이 올라온 바 있음. 바로 이번 공격자들이 접근하는 데 성공했다고 하는 내부자 전용 도구가 바로 이것임. SIM 스와핑 공격은 현재까지 주로 암호화폐 채굴자들 사이에서 인기가 높음.
- 보안 전문가 브라이언 크렙스는 이러한 트위터 내부 도구를 공유하고 있는 트위터 계정들을 추가로 발견했음. 트위터 측은 이 계정들을 삭제함. 이 트위터 계정들을 추적했을 때 유명 SIM 스와핑 공격 단체인 플러그워크조(PlugWalkJoe)가 나타남. 일설에 의하면 플러그워크조는 영국 출신의 21세 청년이라고 함. 이름은 조셉 제임스 코너(Joseph James Connor).
- 외신인 머더보드(Motherboard) 역시 트위터의 내부 도구가 해커들 사이의 포럼에 이미 공격 전에 등장했다는 사실을 보도함. 머더보드는 이 공격을 주도한 자들이라고 하는 해커들과 인터뷰를 했는데, 그들은 ‘뇌물을 줘서 트위터 내부 인원을 공격에 활용할 수 있었다’고 증언함. 여러 보안 전문가들도 악성 내부자의 가능성을 높게 보고 있었음.
- 트위터는 이러한 주장을 전면 부인함. 악성 내부자가 있었던 것이 아니라 소셜 엔지니어링 공격에 당해 속아넘어간 내부자는 있다고 함.
- 또 다른 외신인 테크크런치(TechCrunch)는 트위터 해킹 사태가 커크(Kirk)라는 이름으로 활동하는 해커의 소행이라고 주장함. 이름을 밝힐 수 없는 제보자가 있었다고 함. 제보자는 “커크가 트위터 관리자 도구에 접근하는 데 성공했다고 자랑했으며, 이를 통해 수시간 만에 10만 달러를 벌었다고 했다”고 했음. 이런 대화가 오고간 디스코드 스크린샷도 확보됨.
- 커크는 이러한 성공에 힘입어 더 대담한 공격을 실시하게 됐는데, 그게 바로 지난 주 트위터 해킹 사건이라고 함.
아직 밝혀지지 않고 확인을 더 해야 하는 정보들
- 크렙스가 맞고, 플러그워크조가 정말 범인이라면 SIM 스와핑 공격이 초기에 발생했을 수 있음.
- 워너크라이(WannaCry) 사태 때 구세주처럼 등장한 보안 전문가이자 이전 해커인 마르커스 허친스(Marcus Hutchins)가 트위터를 통해 “이 사건의 배후에 있는 해커들 중 한 명의 신원을 확보했다”고 주장함. 그러면서 “곧 기소 소식이 있을 것”이라고도 씀. 하지만 그 후 별 다른 소식이 없음.
- 정치적 공작을 위한 APT 공격 단체의 소행이라는 주장도 나옴. 특히 미국 대선이 점점 가까워져 오고 있기 때문에 트위터 등 SNS 플랫폼을 통한 가짜뉴스 및 여론 조작 공격이 예상되는 상황에서 이러한 일이 벌어졌기 때문에 점점 힘을 얻고 있는 주장임. 특히 정치인들 사이에서 이러한 목소리가 나오고 있음.
현 시점에서의 결론
현재까지 트위터 해킹 사건에 대해 정확히 알려진 바는 거의 없다고 봐도 된다. 트위터가 공식 발표한 ‘소셜 엔지니어링’과 ‘130개 계정’이 거의 전부다. 여기에 더해, 여러 보안 분야 외신들과 전문가들이 꽤나 신뢰할 만한 출처로부터 정보를 캐고 있고, 이에 몇몇 용의자들이 이미 물망에 오른 상태다. 그러나 명확히 확인된 바는 없다. 일각에서는 ‘이제 곧 트위터를 통한 여론 몰이 공격이 시작될 텐데, 이렇게 쉽게 뚫려서 어떻게 방어하겠는가?’라는 우려의 목소리 또한 나오고 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
