해외는 전·현직 대통령, 글로벌기업 CEO의 트위터가 집중 공격 받아
우리나라도 배우, 가수 등 활동 중인 유명 연예인 등 계정 탈취 공격 드러나
실제 유명인사의 메시지로 오인할 경우 2차 피해 우려도 커져
[보안뉴스 김영명 기자] 올해 초 대만의 국영항공사인 중화항공(中華航空公司)이 사이버 공격을 받아 대만 라이칭더(Lai Ching-te) 부총통, TSMC 모리스 창(Morris Chang) 회장, 외교부 우자오셰(Wu Zhao Xie) 장관 등 정치·경제인은 물론 린즈링(Lin Chi ling) 영화배우 겸 모델, 비비안수(Vivian Hsu) 가수 겸 영화배우 등의 개인정보가 유출되는 사건이 있었다.
이렇듯 유명인사를 타깃으로 공격하거나 유명인사의 개인정보를 유출하는 사이버 공격은 이젠 아주 일상적인 일이 됐다. 이에 <보안뉴스>는 정치인, 경제인, 연예인 등 유명인사를 특정해 공격하고 사칭하는 ‘웨일링 공격(Whaling Attack)’의 개념과 함께 국내외 사례를 모아봤다.
▲버락 오바마 전 대통령과 조 바이든 미국 대통령의 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
웨일링 공격, 유명인사 공격과 이들을 사칭한 스피어피싱
2년여 전 버락 오바마(Barack Obama), 조 바이든(Joe Biden), 빌 게이츠(Bill Gates), 워런 버핏(Warren Buffett), 일론 머스크(Elon Musk), 제프 베이조스(Jeff Bezos) 등 유명인사 6명에서 새로운 공통점이 생겼다. 바로 한날한시에 이들의 트위터가 해킹을 당했다는 사실이다. 세계에서 가장 주목받는 이들의 트위터 계정은 동시에 해커의 공격을 받아 엉뚱한 글이 게시돼 충격을 준 바 있다.
▲빌 게이츠 마이크로소프트 창업자와 워런 버핏 버크셔해서웨이 회장 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
이처럼 유명인사를 표적으로 하거나 이들인 것처럼 위장해 타인을 공격하는 해킹 수법인 웨일링 공격은 스피어 피싱(Spear Phishing)의 한 종류로 ‘CEO, CFO 등 기업 내 고위 경영진, 정치인이나 연예인 등 대중에 잘 알려지거나 영향력 있는 유명인사를 사칭하고, 이들의 이름(아이디)을 빌어 대중에게 미끼를 던지고 중요 정보나 금전적 갈취를 하는 공격’을 의미한다.
스피어 피싱은 사회공학적(Social Engineering) 공격 기법의 일종인데, 사회공학적 기법이란 인간 상호 작용의 신뢰를 바탕으로 사람을 속여 정상적인 보안 절차를 무너뜨리기 위한 비기술적 침입 수단이다. 이러한 공격은 고도의 기술 없이 인간의 심리를 이용한 침투로 일상생활에서 빈번히 악용되고 있다.
▲일론 머스크 테슬라 최고경영자와 제프 베이조스 아마존 의장 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
미국 대통령, 빌 게이츠, 워런 버핏...동시에 해킹 피해
테슬라 일론 머스크 최고경영자, 마이크로소프트 빌 게이츠 창업자 겸 기술고문, 아마존 제프 베이조스 의장, 미국 조 바이든 대통령, 버크셔해서웨이 워런 버핏 회장, 미국 버락 오바마 전 대통령 등 여섯 명은 2020년 7월 15일 오전 11시 19분부터 오후 5시 35분까지 불과 6시간 사이에 비슷한 내용으로 해킹 공격을 받았다.
해커가 이들의 이름으로 각자의 트위터에 올린 내용을 보면 저마다 문맥에는 조금씩 차이가 있었지만, 큰 맥락은 “지금으로부터 딱 30분 동안 나의 비트코인 주소로 1,000달러를 보내면 2,000달러로 돌려주겠다”는 내용이었다. 이와 별개로 제프 베이조스의 트위터에는 “5,000만 달러까지만 받을 수 있다”고 금액을 대폭 상향하기도 했다. 이러한 내용과 함께 여섯 명의 메시지에는 비트코인 주소까지 게재하는 대담함을 보였다. 여섯 개의 게시글 모두 비트코인 주소가 들어가 있는 것으로 보아 이들을 공격한 해커는 유명인을 사칭해 게재한 메시지를 접한 시민들이 돈을 보낼 것을 염두에 둔 것으로 추정된다.
▲배우 이도현의 트위터, 래퍼 이영지 틱톡, 가수 조승연의 인스타그램 화면(좌부터)[이상 SNS 캡처]
우리나라 배우, 가수 등 유명 연예인 계정 해킹 사례도 잇달아
우리나라 유명인사 중에서는 ‘슬기로운 감빵생활’(2017~2018년), ‘호텔 델루나’(2019년), ‘더 글로리’(2022년) 등에서 활약하고 있는 배우 이도현(본명 임동현) 씨의 SNS 인스타그램이 지난해 8월 24일 해킹을 당했다. 해커는 이도현 배우의 이름으로 “Salve, entăo galera eu entrei aqui e dei so uma brincada mas năo precisa se preocupar que todos os posts dele văo voltar e tudo vai voltar ao normal. Foi so pra passar o tempo pq eu tava no tedio, sinceramente eu so acho que ele deveria contratar assessores melhores...”라는 글을 게시하며, 브라질 국기를 함께 올렸다.
이 문구를 해석하면 “이봐, 얘들아. 내가 여기에서 그냥 장난쳤지만, 그의 모든 게시물이 다시 돌아오고 모든 것이 정상으로 돌아갈 것이라고 걱정할 필요는 없어. 심심해서 그냥 시간 때우기 위해서 그랬던 거야. 솔직히 그냥 더 좋은 어드바이저를 고용해야 할 것 같은데...”라는 뜻이었다.
2019년 데뷔한 가수 이영지도 지난해 7월 3일 틱톡(Tiktok) 계정이 해킹을 당했다. 해킹당한 이영지의 틱톡 계정은 야구 헬멧을 쓴 흑인 남성의 얼굴로 바뀌어 있었다. 그 이후 이영지 본인은 인스타그램을 통한 해커와의 대화에서 계정을 돌려 달라고 요구했지만, 해커는 “Send me 700$ pp”라는 문자를 보낸 것으로 확인됐다.
2019년 7월 엠넷 ‘프로듀스X101 최종회’ 생방송에서 선발된 프로젝트 11인조 보이그룹 엑스원(X1)의 멤버 조승연도 2020년 6월 7일 자신의 인스타그램에 “하지 마세요. 범죄입니다. 그만하세요”라는 글과 함께 한 장의 사진을 공개했다. 이 사진은 ‘[NICE ID 본인확인] 인증번호 XXXX를 입력해 주세요’라는 인증 확인 문자 메시지 창이었다. 본인이 아닌 누군가가 가수 조승연의 인스타그램 계정을 해킹하려는 시도에 대해 반응한 것으로 추정된다.
▲국내외 유명인사 SNS 공격 사례[정리=보안뉴스]
스피어 피싱, 2차 피해도 주의...유명인 SNS의 게시글이나 DM도 의심하는 습관 필요
웨일링 공격을 포함한 스피어 피싱을 완벽하게 차단하기는 사실상 어렵다. 사회공학적 공격 수법은 갈수록 치밀해지기 때문에 개인의 철저한 보안의식 준수와 함께 2중 인증 등 계정 보안을 강화하기 않으면 자신도 모르게 피해자가 될 수 있다.
특히, 유명인사를 사칭해 일반 시민에게 금전을 요구하는 등 2차 공격에 대해서도 주의해야 한다. 이에 유명인의 SNS 계정에 대해서도 항상 의심하는 습관을 가져야 하며, 다이렉트 메시지(DM) 등을 통한 금전이나 만남 등의 요구에는 가급적 응하지 말고, 신중하게 확인하는 습관이 필요하다.
[김영명 기자(boan@boannews.com)]
우리나라도 배우, 가수 등 활동 중인 유명 연예인 등 계정 탈취 공격 드러나
실제 유명인사의 메시지로 오인할 경우 2차 피해 우려도 커져
[보안뉴스 김영명 기자] 올해 초 대만의 국영항공사인 중화항공(中華航空公司)이 사이버 공격을 받아 대만 라이칭더(Lai Ching-te) 부총통, TSMC 모리스 창(Morris Chang) 회장, 외교부 우자오셰(Wu Zhao Xie) 장관 등 정치·경제인은 물론 린즈링(Lin Chi ling) 영화배우 겸 모델, 비비안수(Vivian Hsu) 가수 겸 영화배우 등의 개인정보가 유출되는 사건이 있었다.
이렇듯 유명인사를 타깃으로 공격하거나 유명인사의 개인정보를 유출하는 사이버 공격은 이젠 아주 일상적인 일이 됐다. 이에 <보안뉴스>는 정치인, 경제인, 연예인 등 유명인사를 특정해 공격하고 사칭하는 ‘웨일링 공격(Whaling Attack)’의 개념과 함께 국내외 사례를 모아봤다.
▲버락 오바마 전 대통령과 조 바이든 미국 대통령의 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
웨일링 공격, 유명인사 공격과 이들을 사칭한 스피어피싱
2년여 전 버락 오바마(Barack Obama), 조 바이든(Joe Biden), 빌 게이츠(Bill Gates), 워런 버핏(Warren Buffett), 일론 머스크(Elon Musk), 제프 베이조스(Jeff Bezos) 등 유명인사 6명에서 새로운 공통점이 생겼다. 바로 한날한시에 이들의 트위터가 해킹을 당했다는 사실이다. 세계에서 가장 주목받는 이들의 트위터 계정은 동시에 해커의 공격을 받아 엉뚱한 글이 게시돼 충격을 준 바 있다.
▲빌 게이츠 마이크로소프트 창업자와 워런 버핏 버크셔해서웨이 회장 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
이처럼 유명인사를 표적으로 하거나 이들인 것처럼 위장해 타인을 공격하는 해킹 수법인 웨일링 공격은 스피어 피싱(Spear Phishing)의 한 종류로 ‘CEO, CFO 등 기업 내 고위 경영진, 정치인이나 연예인 등 대중에 잘 알려지거나 영향력 있는 유명인사를 사칭하고, 이들의 이름(아이디)을 빌어 대중에게 미끼를 던지고 중요 정보나 금전적 갈취를 하는 공격’을 의미한다.
스피어 피싱은 사회공학적(Social Engineering) 공격 기법의 일종인데, 사회공학적 기법이란 인간 상호 작용의 신뢰를 바탕으로 사람을 속여 정상적인 보안 절차를 무너뜨리기 위한 비기술적 침입 수단이다. 이러한 공격은 고도의 기술 없이 인간의 심리를 이용한 침투로 일상생활에서 빈번히 악용되고 있다.
▲일론 머스크 테슬라 최고경영자와 제프 베이조스 아마존 의장 트위터 해킹 화면(좌부터)[이미지=NY Tech Alliance]
미국 대통령, 빌 게이츠, 워런 버핏...동시에 해킹 피해
테슬라 일론 머스크 최고경영자, 마이크로소프트 빌 게이츠 창업자 겸 기술고문, 아마존 제프 베이조스 의장, 미국 조 바이든 대통령, 버크셔해서웨이 워런 버핏 회장, 미국 버락 오바마 전 대통령 등 여섯 명은 2020년 7월 15일 오전 11시 19분부터 오후 5시 35분까지 불과 6시간 사이에 비슷한 내용으로 해킹 공격을 받았다.
해커가 이들의 이름으로 각자의 트위터에 올린 내용을 보면 저마다 문맥에는 조금씩 차이가 있었지만, 큰 맥락은 “지금으로부터 딱 30분 동안 나의 비트코인 주소로 1,000달러를 보내면 2,000달러로 돌려주겠다”는 내용이었다. 이와 별개로 제프 베이조스의 트위터에는 “5,000만 달러까지만 받을 수 있다”고 금액을 대폭 상향하기도 했다. 이러한 내용과 함께 여섯 명의 메시지에는 비트코인 주소까지 게재하는 대담함을 보였다. 여섯 개의 게시글 모두 비트코인 주소가 들어가 있는 것으로 보아 이들을 공격한 해커는 유명인을 사칭해 게재한 메시지를 접한 시민들이 돈을 보낼 것을 염두에 둔 것으로 추정된다.
▲배우 이도현의 트위터, 래퍼 이영지 틱톡, 가수 조승연의 인스타그램 화면(좌부터)[이상 SNS 캡처]
우리나라 배우, 가수 등 유명 연예인 계정 해킹 사례도 잇달아
우리나라 유명인사 중에서는 ‘슬기로운 감빵생활’(2017~2018년), ‘호텔 델루나’(2019년), ‘더 글로리’(2022년) 등에서 활약하고 있는 배우 이도현(본명 임동현) 씨의 SNS 인스타그램이 지난해 8월 24일 해킹을 당했다. 해커는 이도현 배우의 이름으로 “Salve, entăo galera eu entrei aqui e dei so uma brincada mas năo precisa se preocupar que todos os posts dele văo voltar e tudo vai voltar ao normal. Foi so pra passar o tempo pq eu tava no tedio, sinceramente eu so acho que ele deveria contratar assessores melhores...”라는 글을 게시하며, 브라질 국기를 함께 올렸다.
이 문구를 해석하면 “이봐, 얘들아. 내가 여기에서 그냥 장난쳤지만, 그의 모든 게시물이 다시 돌아오고 모든 것이 정상으로 돌아갈 것이라고 걱정할 필요는 없어. 심심해서 그냥 시간 때우기 위해서 그랬던 거야. 솔직히 그냥 더 좋은 어드바이저를 고용해야 할 것 같은데...”라는 뜻이었다.
2019년 데뷔한 가수 이영지도 지난해 7월 3일 틱톡(Tiktok) 계정이 해킹을 당했다. 해킹당한 이영지의 틱톡 계정은 야구 헬멧을 쓴 흑인 남성의 얼굴로 바뀌어 있었다. 그 이후 이영지 본인은 인스타그램을 통한 해커와의 대화에서 계정을 돌려 달라고 요구했지만, 해커는 “Send me 700$ pp”라는 문자를 보낸 것으로 확인됐다.
2019년 7월 엠넷 ‘프로듀스X101 최종회’ 생방송에서 선발된 프로젝트 11인조 보이그룹 엑스원(X1)의 멤버 조승연도 2020년 6월 7일 자신의 인스타그램에 “하지 마세요. 범죄입니다. 그만하세요”라는 글과 함께 한 장의 사진을 공개했다. 이 사진은 ‘[NICE ID 본인확인] 인증번호 XXXX를 입력해 주세요’라는 인증 확인 문자 메시지 창이었다. 본인이 아닌 누군가가 가수 조승연의 인스타그램 계정을 해킹하려는 시도에 대해 반응한 것으로 추정된다.
▲국내외 유명인사 SNS 공격 사례[정리=보안뉴스]
스피어 피싱, 2차 피해도 주의...유명인 SNS의 게시글이나 DM도 의심하는 습관 필요
웨일링 공격을 포함한 스피어 피싱을 완벽하게 차단하기는 사실상 어렵다. 사회공학적 공격 수법은 갈수록 치밀해지기 때문에 개인의 철저한 보안의식 준수와 함께 2중 인증 등 계정 보안을 강화하기 않으면 자신도 모르게 피해자가 될 수 있다.
특히, 유명인사를 사칭해 일반 시민에게 금전을 요구하는 등 2차 공격에 대해서도 주의해야 한다. 이에 유명인의 SNS 계정에 대해서도 항상 의심하는 습관을 가져야 하며, 다이렉트 메시지(DM) 등을 통한 금전이나 만남 등의 요구에는 가급적 응하지 말고, 신중하게 확인하는 습관이 필요하다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
