빌 게이츠, 버락 오바마 등 미국의 유명 기업인·정치인 계정으로 '비트코인을 보내면 돈을 2배로 돌려 주겠다'는 가짜 메시지가 작성된 해킹 사건의 핵심 수법이 '전화 스피어피싱'으로 확인됐다.
31일 트위터 미국 본사는 공식 블로그를 통해 7월 중순 유명인과 기업들의 공식 트위터 계정이 해킹돼 가짜 메시지가 작성된 경위 등을 자체 조사해 그간 파악한 결과를 일부 공개했다.
트위터 측은 이번 사건이 "(해커가) 소수의 직원들을 표적으로 삼아 행한 '전화 스피어피싱 공격(phone spear phishing attack)'을 통해" 벌어졌다고 밝혔다.
스피어피싱은 불특정 다수를 상대로 하는 공격과 구별되게, 특정 조직이나 인물을 표적으로 삼는 해킹 기법이다. 악성링크나 첨부파일 문서를 입사지원 메일이나 서류로 위장해 기업 인사담당자에게 보내 그의 업무 PC를 감염시키고 기업 내부망에 침입하는 것이 그런 사례다.
이메일을 동원한 스피어피싱은 말 그대로 '이메일 스피어피싱'이다. 트위터가 해커의 공격 수법을 '전화 스피어피싱'이라 칭한 점에서, 해커가 이메일 대신 전화를 통해 직원들을 속였음을 알 수 있다.
해커가 전화로 트위터 직원을 어떻게 속였는지까지 구체적으로 알 수는 없지만, 이 전화 스피어피싱이 해커에게 유명인의 트위터 계정으로 가짜 메시지를 작성할 수 있게 길을 열어 준 것은 분명하다.
트위터는 "공격자는 우리 내부망 접근 권한과 그들이 우리 내부 '지원 도구'에 접근할 수 있게 해줄 특정 직원의 권한을 모두 필요로 했다"며 "우리 내부 시스템에 접근할 수 있는 권한을 동원해 우리 (업무) 절차와 관련된 정보를 확보했다"고 밝혔다.
즉 해커는 트위터 내부 시스템 접근 권한을 이용해 내부 지원 업무 절차 관련 정보를 빼냈다. 누가 지원 업무에 필요한 도구를 다룰 수 있는 직원인지 파악했다. 전화로 그들을 속여 지원 도구 접근 권한을 받아내는 데 성공했다.
해커는 이 지원 도구 접근 권한을 사용해 해킹 표적으로 삼을 유명인과 기업의 공식 트위터 계정 130개를 찾았다. 그 중 최종적으로 45개 계정을 통해 가짜 메시지를 작성했고, 36개 계정의 비공개 문자 수신함(DM inbox)을 들여다봤고, 7개 계정 데이터를 무단으로 내려받았다.
이 문제의 미국 유명인·기업 트위터 계정 해킹 사건은 지난 7월 15일 발생했다. 당시 애플, 우버 등 기업의 공식 계정, 빌 게이츠, 일론 머스크, 제프 베조스 등 유력 기업인과 버락 오바마 전 대통령, 조 바이든 미국 민주당 대선 후보 등 정치인들의 계정이 공격을 당했다.
해커는 수백만 명의 팔로워를 보유한 트위터 계정 권한을 동시 다발적으로 빼앗은 뒤, 일정시간 안에 지정된 특정 암호화폐 지갑 주소로 비트코인을 보내면 '송금액의 2배에 상당한 돈을 되돌려주겠다'는 가짜 메시지를 작성했다.
이 가짜 메시지에 속은 사람들이 실제로 해커의 비트코인 지갑에 송금을 한 피해 사례가 발생했다. 당시 가격 1억4000만원에 상당하는 12.5비트코인이 해커의 지갑에 들어갔다.
트위터는 이 사건 발생 이후 조사를 벌이는 과정에서 내부 시스템과 지원 도구에 대한 접근 권한을 제한하는 등 계정 보안을 강화하는 조치를 내렸다고 밝혔다. 그 영향으로 데이터 내려받기 등 기능의 처리 속도가 느려졌고 다른 업무 응대도 늦을 수 있다고 밝혔다.
31일 트위터 미국 본사는 공식 블로그를 통해 7월 중순 유명인과 기업들의 공식 트위터 계정이 해킹돼 가짜 메시지가 작성된 경위 등을 자체 조사해 그간 파악한 결과를 일부 공개했다.
[사진=AFP·연합뉴스]
트위터 측은 이번 사건이 "(해커가) 소수의 직원들을 표적으로 삼아 행한 '전화 스피어피싱 공격(phone spear phishing attack)'을 통해" 벌어졌다고 밝혔다.
스피어피싱은 불특정 다수를 상대로 하는 공격과 구별되게, 특정 조직이나 인물을 표적으로 삼는 해킹 기법이다. 악성링크나 첨부파일 문서를 입사지원 메일이나 서류로 위장해 기업 인사담당자에게 보내 그의 업무 PC를 감염시키고 기업 내부망에 침입하는 것이 그런 사례다.
이메일을 동원한 스피어피싱은 말 그대로 '이메일 스피어피싱'이다. 트위터가 해커의 공격 수법을 '전화 스피어피싱'이라 칭한 점에서, 해커가 이메일 대신 전화를 통해 직원들을 속였음을 알 수 있다.
해커가 전화로 트위터 직원을 어떻게 속였는지까지 구체적으로 알 수는 없지만, 이 전화 스피어피싱이 해커에게 유명인의 트위터 계정으로 가짜 메시지를 작성할 수 있게 길을 열어 준 것은 분명하다.
트위터는 "공격자는 우리 내부망 접근 권한과 그들이 우리 내부 '지원 도구'에 접근할 수 있게 해줄 특정 직원의 권한을 모두 필요로 했다"며 "우리 내부 시스템에 접근할 수 있는 권한을 동원해 우리 (업무) 절차와 관련된 정보를 확보했다"고 밝혔다.
즉 해커는 트위터 내부 시스템 접근 권한을 이용해 내부 지원 업무 절차 관련 정보를 빼냈다. 누가 지원 업무에 필요한 도구를 다룰 수 있는 직원인지 파악했다. 전화로 그들을 속여 지원 도구 접근 권한을 받아내는 데 성공했다.
해커는 이 지원 도구 접근 권한을 사용해 해킹 표적으로 삼을 유명인과 기업의 공식 트위터 계정 130개를 찾았다. 그 중 최종적으로 45개 계정을 통해 가짜 메시지를 작성했고, 36개 계정의 비공개 문자 수신함(DM inbox)을 들여다봤고, 7개 계정 데이터를 무단으로 내려받았다.
이 문제의 미국 유명인·기업 트위터 계정 해킹 사건은 지난 7월 15일 발생했다. 당시 애플, 우버 등 기업의 공식 계정, 빌 게이츠, 일론 머스크, 제프 베조스 등 유력 기업인과 버락 오바마 전 대통령, 조 바이든 미국 민주당 대선 후보 등 정치인들의 계정이 공격을 당했다.
해커는 수백만 명의 팔로워를 보유한 트위터 계정 권한을 동시 다발적으로 빼앗은 뒤, 일정시간 안에 지정된 특정 암호화폐 지갑 주소로 비트코인을 보내면 '송금액의 2배에 상당한 돈을 되돌려주겠다'는 가짜 메시지를 작성했다.
이 가짜 메시지에 속은 사람들이 실제로 해커의 비트코인 지갑에 송금을 한 피해 사례가 발생했다. 당시 가격 1억4000만원에 상당하는 12.5비트코인이 해커의 지갑에 들어갔다.
트위터는 이 사건 발생 이후 조사를 벌이는 과정에서 내부 시스템과 지원 도구에 대한 접근 권한을 제한하는 등 계정 보안을 강화하는 조치를 내렸다고 밝혔다. 그 영향으로 데이터 내려받기 등 기능의 처리 속도가 느려졌고 다른 업무 응대도 늦을 수 있다고 밝혔다.
