오바마·빌 게이츠 '트위터 무더기 해킹'…전문가가 말한 '자가 대처법'은

머니투데이 백지수 기자 2020.07.19 10:15
글자크기
트위터 로고 /사진=AFPBBNews·뉴스1트위터 로고 /사진=AFPBBNews·뉴스1


최근 트위터에서 발생한 빌 게이츠 마이크로소프트(MS) 창업자, 일론 머스크 테슬라 CEO(최고경영자), 버락 오바마 전 대통령, 조 바이든 전 부통령(현 대통령후보) 등 유명인사 계정 대규모 해킹 사건에 대해 보안 전문가들은 트위터 내부의 개인 계정 암호화 등 기본적 보안 절차가 허술했을 가능성이 나타났다며 모든 계정이 위험할 수 있다고 19일 경고했다.

18일(현지시간) AFP 통신에 따르면 트위터가 공식 블로그에 성명을 올려 “해커들이 130개의 트위터 계정을 목표로 내부 지원팀만이 사용할 수 있는 도구에 접근했다”고 밝혔다. 해커들은 이들 계정 중 45개 비밀번호를 재설정하고 로그인해 계정에 트윗을 올릴 수 있었다고 AFP는 전했다.



트위터 내부 관리 계정이 공격 당했을 뿐 아니라 그동안 내부 관리 계정이 있으면 개인 계정의 로그인 정보에 손을 댈 수 있었다는 정황이 드러난 셈이다.

이를 두고 국내 보안 전문가들은 이날 “트위터 내부 관리자가 어떻게 일반 이용자들 계정을 만질 수 있었는지 문제 제기가 돼야 한다”고 지적했다.



당장은 공격 대상이 된 계정 수가 많지 않지만 이 정도의 보안 수준이라면 트위터 전체 가입자 계정을 동시 다발적으로 공격할 가능성도 배제할 수 없다는 설명이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장(이사)은 “FBI 등의 조사 결과가 아직이므로 섣불리 예단하긴 어렵지만, 해커가 더 많은 이용자에게 접근했을 가능성이 있어 보인다”고 말했다.

이어 “해외 유명인사뿐 아니라 국내에서도 공식 트위터를 오래 쓰고 팔로워가 많은 방탄소년단을 비롯해 보통의 이용자 계정도 공격 당하지 말라는 법이 없다”고 덧붙였다.


뉴욕타임스는 전날 이번 무더기 해킹이 치밀한 해커 그룹이 아닌 10~20대 해커의 장난이었다고도 보도했다. 이 때문에 애초에 트위터가 내부적으로 회원의 계정 정보 암호화 수준을 낮게 관리했을 수 있다는 점도 지적된다.

문 이사는 “트위터가 개인 계정에 대한 이중 암호화를 잘 했다면 내부 관리 권한을 해킹해서 가졌더라도 각 계정의 보안까지는 뚫을 수 없었을 것”이라며 “회사 대표가 와도 개인 회원 계정 암호는 몰라야 하는데 이것은 트위터 내부에 분명히 허점이 있다는 소리”라고 말했다.
개인 이용자 차원에서 '이중인증'이 답
전문가들은 트위터 관리자 계정이 해킹 당했다면 사실 개인 이용자 차원에서 아무리 보안 수준을 높게 관리해도 공격 당할 위험이 있다고 우려했다.

이미 이번 트위터 해킹에서 주요 SNS(사회관계망서비스)나 포털에서 요구하는 ‘이중인증 시스템’도 무용지물됐다는 지적이 나오기 때문이다.

이중인증은 평소와 다른 기기나 IP에서 접속이 이뤄지면 모바일 인증번호를 입력해야 로그인할 수 있게 하는 계정 보안 체계다.

다만, 개인 이용자 입장에서는 그럼에도 계정에 이중인증을 걸어두는 것이 보안 수준을 유지할 수 있는 방법이라고 전문가들은 조언했다.

보통 사람들이 다수의 인터넷 서비스에 하나의 아이디와 비밀번호를 사용하기 때문에 트위터의 보안이 위험하다면 트위터뿐 아니라 다른 SNS나 포털 계정에 이중인증을 해야 한다는 설명이다.

한 보안업계 관계자는 “이용자들도 암호가 쉽게 유추되지 않도록 만드는 것 외에도 이중인증을 설정해 수시로 로그인 이력을 확인해야 한다”고 말했다.
TOP