전 트위터 근무자, “관리자 도구에 접근할 수 있었던 사람이 수백명”
필터 장치 부재 의심돼...비정상적 행위에 대한 경보 울렸을까...기본부터 의문 제기
[보안뉴스 문가용 기자] 지난 주 발생한 트위터 해킹 사건으로 아직도 보안과 IT 업계는 시끌시끌하다. 트위터는 주말 동안 공식 트윗을 통해 현재까지 조사된 결과를 발표했는데, 내부 직원 일부가 소셜 엔지니어링 공격에 당했고, 이 때문에 공격자가 이중 인증 장치를 피해 내부 시스템에 접근할 수 있었다는 것이었다.
[이미지 = utoimage]
공격자들은 이를 통해 130개의 트위터 계정들을 침해했고, 비트코인을 준다는 내용의 사기성 트윗을 퍼트릴 수 있었으며, 무시할 수 없는 부당 수익을 거두었다. 이 중 45개 계정은 공격자들이 실제로 로그인을 해 비밀번호를 바꾸기도 했다. 공격자들은 8개 계정의 상세 프로파일 정보를 다운로드 받았다. 이 8개 계정에 대해서는 아직 공개된 바가 없다.
보안 업체 사빈트(Saviynt)의 보안 전문가 멜로디 코프만(Melody Kaufmann)은 “이 사건은 트위터의 보안이 얼마나 허술했는지를 고스란히 보여준다”고 말한다. “특수 계정에 대한 접근 권한이 지나치게 많은 내부자에게 부여되어 있었던 것이 첫 번째 문제입니다. 또한 이러한 특수 계정들의 정보를 내부 도구를 통해 변경할 때의 절차가 너무 쉬워 보인다는 것도 새롭게 드러났습니다.”
이번 공격에 관여했다고 주장하는 사람들과 인터뷰를 하는 데 성공한 뉴욕타임즈의 보도에 의하면 “(조직적으로 뭉친 갱단이 아니라)서로 잘 모르는 사람들끼리 즉흥적으로 뭉쳐 실행한 일”로 보인다고 한다. 또한 커크(Kirk)라는 이름으로 활동하는 한 해커가 트위터의 관리자 패널에 접근하는 데 성공했고, 이를 통해 거의 모든 트위터 계정을 장악할 수 있었으며, lol과 ever so anxious라는 이름으로 활동하는 또 다른 해커들과 트위터 계정 판매를 시작했다는 내용도 보도에 포함되었다.
CNN 역시 이 사건을 보도하며 트위터 전 근무자들과의 인터뷰 내용을 담아냈다. 전 근무자들은 이 인터뷰에서 “커크가 접근했다고 주장하는 내부 관리자 패널은 아마 ‘에이전트 툴(agent tool)’이나 ‘트위터 서비스 UI(Twitter Services UI)’로 보인다”며 “고객 요청에 대응하거나 콘텐츠 변경을 하는 데 사용된다”고 밝혔다. 그러면서 트위터 내부 임직원 수백명이 이러한 도구들에 접근할 수 있다고 증언했다.
보안 업체 시큐어링크(SecureLink)의 CISO인 토니 하울렛(Tony Howlett)은 “해커들이 그리 어렵지 않게 트위터 계정들을 탈취할 수 있었던 것 만큼은 사실로 보인다”며 “비정상적인 위치나 시간 등에서 전송되는 요청들에 대한 분석을 실시하지 않았던 것 같다”는 의견을 피력했다. “요청들의 메타데이터를 분석해 사기성 여부를 판단하는 기술은 금융 업계에서 표준처럼 적용되고 있습니다. 그렇다면 트위터의 VIP 계정들에도 비슷한 보안 장치가 있어야 하지 않았을까요?”
게다가 세계 수위를 다투는 기업의 CEO들과 전 미국 대통령이 갑자기 비트코인을 퍼준다는 트윗을 썼을 때 자동으로 발동되는 필터 장치가 없었다는 것도 의아스럽다고 하울렛은 말했다. “영향력이 어마어마해 특별 관리가 요구되는 정도의 계정이라면, 트위터가 나름의 필터 장치도 마련해야 하지 않았을까 하는 게 제 생각입니다. 적어도 아무런 맥락 없이 비트코인을 나눠준다는 건 누가 봐도 이상하잖아요.”
코프만은 “관리자 도구나 인터페이스의 접근과 사용 현황에 대한 추적과 로깅이 좀 더 향상되어야 할 것 같다”는 점도 지적한다. “관리자 차원에서 할 수 있는 일들이 갑자기 대량으로 발생한다고 했을 때, 수상하다는 내부 경보는 떴어야 했습니다. 비정상 행위에 대한 규칙 설정이 제대로 되어 있지 않다거나, 아니면 아예 없을 수 있습니다. 이 점을 점검해야 할 것입니다.”
한편 미국 정계와 사법계도 현재 이 사건으로 들끓고 있는 상황이다. 대선을 앞두고 있고, 트위터와 같은 SNS 플랫폼을 통해 러시아나 해외 해커들의 여론 조작 시도가 예상되는 시점이기 때문이다. 따라서 이번 비트코인 사기 공격은 ‘눈속임’에 불과하고 진짜 공격은 따로 있다는 분석도 나오고 있는 상황이다. 코프만은 “충분히 가능한 시나리오”라며 “영향력 높은 계정들을 시험적으로 침투해 본 공격자들이, 나중에는 좀 더 교묘한 방식으로 가짜 메시지를 흘려보낼 수 있다”고 경고했다.
3줄 요약
1. 트위터 해킹 사건 때문에 IT, 보안 업계와 정치판이 들끓고 있음.
2. 아직도 공개된 정보가 거의 없는 가운데, 트위터 내부 보안 상태에 대한 의문도 제기되고 있음.
3. 관리자 도구에 접근할 수 있는 내부자가 너무 많았고, 해당 도구들의 이용 현황에 대한 관리도 잘 이뤄지지 않은 것으로 의심됨.
[국제부 문가용 기자(globoan@boannews.com)]
필터 장치 부재 의심돼...비정상적 행위에 대한 경보 울렸을까...기본부터 의문 제기
[보안뉴스 문가용 기자] 지난 주 발생한 트위터 해킹 사건으로 아직도 보안과 IT 업계는 시끌시끌하다. 트위터는 주말 동안 공식 트윗을 통해 현재까지 조사된 결과를 발표했는데, 내부 직원 일부가 소셜 엔지니어링 공격에 당했고, 이 때문에 공격자가 이중 인증 장치를 피해 내부 시스템에 접근할 수 있었다는 것이었다.
[이미지 = utoimage]
공격자들은 이를 통해 130개의 트위터 계정들을 침해했고, 비트코인을 준다는 내용의 사기성 트윗을 퍼트릴 수 있었으며, 무시할 수 없는 부당 수익을 거두었다. 이 중 45개 계정은 공격자들이 실제로 로그인을 해 비밀번호를 바꾸기도 했다. 공격자들은 8개 계정의 상세 프로파일 정보를 다운로드 받았다. 이 8개 계정에 대해서는 아직 공개된 바가 없다.
보안 업체 사빈트(Saviynt)의 보안 전문가 멜로디 코프만(Melody Kaufmann)은 “이 사건은 트위터의 보안이 얼마나 허술했는지를 고스란히 보여준다”고 말한다. “특수 계정에 대한 접근 권한이 지나치게 많은 내부자에게 부여되어 있었던 것이 첫 번째 문제입니다. 또한 이러한 특수 계정들의 정보를 내부 도구를 통해 변경할 때의 절차가 너무 쉬워 보인다는 것도 새롭게 드러났습니다.”
이번 공격에 관여했다고 주장하는 사람들과 인터뷰를 하는 데 성공한 뉴욕타임즈의 보도에 의하면 “(조직적으로 뭉친 갱단이 아니라)서로 잘 모르는 사람들끼리 즉흥적으로 뭉쳐 실행한 일”로 보인다고 한다. 또한 커크(Kirk)라는 이름으로 활동하는 한 해커가 트위터의 관리자 패널에 접근하는 데 성공했고, 이를 통해 거의 모든 트위터 계정을 장악할 수 있었으며, lol과 ever so anxious라는 이름으로 활동하는 또 다른 해커들과 트위터 계정 판매를 시작했다는 내용도 보도에 포함되었다.
CNN 역시 이 사건을 보도하며 트위터 전 근무자들과의 인터뷰 내용을 담아냈다. 전 근무자들은 이 인터뷰에서 “커크가 접근했다고 주장하는 내부 관리자 패널은 아마 ‘에이전트 툴(agent tool)’이나 ‘트위터 서비스 UI(Twitter Services UI)’로 보인다”며 “고객 요청에 대응하거나 콘텐츠 변경을 하는 데 사용된다”고 밝혔다. 그러면서 트위터 내부 임직원 수백명이 이러한 도구들에 접근할 수 있다고 증언했다.
보안 업체 시큐어링크(SecureLink)의 CISO인 토니 하울렛(Tony Howlett)은 “해커들이 그리 어렵지 않게 트위터 계정들을 탈취할 수 있었던 것 만큼은 사실로 보인다”며 “비정상적인 위치나 시간 등에서 전송되는 요청들에 대한 분석을 실시하지 않았던 것 같다”는 의견을 피력했다. “요청들의 메타데이터를 분석해 사기성 여부를 판단하는 기술은 금융 업계에서 표준처럼 적용되고 있습니다. 그렇다면 트위터의 VIP 계정들에도 비슷한 보안 장치가 있어야 하지 않았을까요?”
게다가 세계 수위를 다투는 기업의 CEO들과 전 미국 대통령이 갑자기 비트코인을 퍼준다는 트윗을 썼을 때 자동으로 발동되는 필터 장치가 없었다는 것도 의아스럽다고 하울렛은 말했다. “영향력이 어마어마해 특별 관리가 요구되는 정도의 계정이라면, 트위터가 나름의 필터 장치도 마련해야 하지 않았을까 하는 게 제 생각입니다. 적어도 아무런 맥락 없이 비트코인을 나눠준다는 건 누가 봐도 이상하잖아요.”
코프만은 “관리자 도구나 인터페이스의 접근과 사용 현황에 대한 추적과 로깅이 좀 더 향상되어야 할 것 같다”는 점도 지적한다. “관리자 차원에서 할 수 있는 일들이 갑자기 대량으로 발생한다고 했을 때, 수상하다는 내부 경보는 떴어야 했습니다. 비정상 행위에 대한 규칙 설정이 제대로 되어 있지 않다거나, 아니면 아예 없을 수 있습니다. 이 점을 점검해야 할 것입니다.”
한편 미국 정계와 사법계도 현재 이 사건으로 들끓고 있는 상황이다. 대선을 앞두고 있고, 트위터와 같은 SNS 플랫폼을 통해 러시아나 해외 해커들의 여론 조작 시도가 예상되는 시점이기 때문이다. 따라서 이번 비트코인 사기 공격은 ‘눈속임’에 불과하고 진짜 공격은 따로 있다는 분석도 나오고 있는 상황이다. 코프만은 “충분히 가능한 시나리오”라며 “영향력 높은 계정들을 시험적으로 침투해 본 공격자들이, 나중에는 좀 더 교묘한 방식으로 가짜 메시지를 흘려보낼 수 있다”고 경고했다.
3줄 요약
1. 트위터 해킹 사건 때문에 IT, 보안 업계와 정치판이 들끓고 있음.
2. 아직도 공개된 정보가 거의 없는 가운데, 트위터 내부 보안 상태에 대한 의문도 제기되고 있음.
3. 관리자 도구에 접근할 수 있는 내부자가 너무 많았고, 해당 도구들의 이용 현황에 대한 관리도 잘 이뤄지지 않은 것으로 의심됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
