시스템 취약성 아닌 사람이 원인 제공 가능성
트위터 직원 '활용'해 해킹 후 가상화폐 사기극 벌인 듯
(샌프란시스코·서울=연합뉴스) 정성호 특파원 이재영 기자 = 15일(현지시간) 발생한 유명인사 트위터 대규모 해킹 사건은 시스템이 취약했기보다는 '사람'이 원인을 제공했을 가능성이 크다.
특히 이용자가 아닌 트위터 직원이 잘못했을 가능성이 큰 상황이다.
이번 사건은 초기부터 이용자보다는 트위터 쪽 잘못으로 발생했을 것이라는 관측에 힘이 실려 왔다.
해킹 피해자가 다수인 데다가 제프 베이조스 아마존 최고경영자(CEO)나 일론 머스크 테슬라 CEO, 미국 민주당 대선후보 조 바이든 전 부통령 등 보안에 민감한 첨단기술업체 경영자와 정치인을 망라하고 있었기 때문이다.
실제 트위터는 이날 공식계정 '트위터 서포터'를 통해 초기조사 결과 '사회공학적 공격'(Social Engineering Attack)으로 추정되는 행위를 탐지했다고 밝혔다.
사회공학적 공격은 시스템 자체의 취약점이 아닌 시스템 운영자의 취약점을 이용해 시스템을 해킹하는 기법이다. 네트워크 관리자에게 악성프로그램이 첨부된 메일을 보낸 뒤 이를 열어보도록 유도, 인가받지 않고 네트워크에 접속할 수 있는 '백도어'를 설치하는 방법이 대표적이다.
미국 인터넷매체 바이스의 정보기술(IT) 전문매체 '마더보드'는 16일 "이번 해킹사태 후 지하 해킹커뮤니티에 트위터 내부에서 사용하는 이용자 관리 도구 스크린샷이 공유됐다"면서 "해커들이 트위터 직원을 꼬드겨 계정 탈취를 돕게 했다"고 보도하기도 했다.
해킹 원인이 '내부직원 탓'으로 확정되면 트위터는 크게 신뢰를 잃을 수 있다.
월스트리트저널(WSJ)은 이번 해킹사태가 "트위터에 가장 광범위한 보안 실패 사례가 됐다"고 평가하면서 "정치·문화·경영계의 의사소통에서 중심적 위상을 확보한 소셜플랫폼에 의문이 제기되고 있다"고 지적했다.
해커들은 유명인사 트위터 계정을 해킹한 뒤에는 가상화폐 사기에 동원했다.
이들은 해킹한 유명인사 계정에 트윗을 올려 신종 코로나바이러스 감염증(코로나19) 사태나 '사람들의 요청'을 이유로 들며 "사회에 환원하려 하니 30분 또는 1시간 안에 비트코인(가상화폐)을 보내주면 배로 되돌려주겠다"고 사람들을 유혹했다.
사람들 눈에는 세계 굴지의 부자들과 명사들의 '약속'으로 보일 테니 당연히 솔깃해질 수밖에 없다.
통상적으로 이런 사기에는 유명인사의 계정처럼 '꾸민' 가짜계정이 이용됐다.
CNBC에 따르면 과거 트위터에서 유행한 가상화폐 사기 수법은 해커가 자신의 계정에 표시된 이름과 아바타를 유명인의 것으로 바꾼 뒤 다른 유명인의 트윗에 답글을 달면서 가상화폐를 요구하는 방식이었다.
이날 가상화폐 사기에 이용된 비트코인 지갑(비트코인을 저장하는 소프트웨어)은 이날 처음 개설된 것으로 알려졌다.
AFP통신 등은 가상화폐 거래를 모니터링하는 사이트 '블록체인닷컴'을 인용해 사기에 이용된 지갑에 11만6천달러(약 1억3천974만원) 상당의 비트코인이 전송됐다고 보도했다.
유명인사의 트위터 계정이 해킹된 것은 이번이 처음은 아니다.
가깝게는 지난 5월 배우 클로이 머레츠의 트위터 계정이 해킹돼 310만명에 달하는 팔로워들에게 욕설이 발신되기도 했다.
작년 8월에는 트위터 CEO 잭 도시의 트위터 계정이 해킹돼 흑인과 유대인을 지칭하는 인종차별적 속어와 저속한 발언, '히틀러는 죄가 없다'는 등의 트윗이 올라오는 사건도 발생한 바 있다.
도시의 계정은 유심칩을 바꾸는 방법으로 다른 휴대전화를 도시의 휴대전화인 척 가장하는 방법으로 해킹된 것으로 나타났다.
sisyphe@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스