버락 오바마 전 미국 대통령과 빌 게이츠 마이크로소프트(MS) 창업자 등 정치권과 재계 유명 인사의 트위터 계정이 잇달아 해킹되는 사고가 발생했다. 이에 어떤 해킹 수법이 쓰였는지에 관심이 쏠린다. 일부 보안 업계는 스피어피싱(Spear Phishing, 악성 코드나 링크가 담긴 파일을 첨부한 이메일을 표적 대상에 발송해 공격을 시도하는 수법)일 수 있다고 추측한다.
트위터는 자사 계정에 "사고 조사는 여전히 진행하고 있다"면서도 "해커가 내부 시스템과 도구에 접근할 수 있는 직원 일부를 타깃으로 사회공학적 공격을 펼친 것으로 보고 있다"고 발표했다. 이어 "조사를 진행하는 동안 외부로부터 시스템과 도구 접근 시도를 제한하기 위한 조치를 했다"며 "조사 후 추가 업데이트를 하겠다"고 덧붙였다.
트위터가 밝힌 사회공학적 공격, 스피어피싱이 원인일까
트위터가 밝힌 사회공학적 공격은 시스템 취약점이 아닌 사람 실수나 부주의로 빚어진 취약점을 악용해 해킹하는 방법론을 말한다. 즉 해커는 보안성 높은 시스템을 직접 뚫는 대신 직원 실수나 부주의를 악용한 셈이다. 아직 정확한 세부 조사는 나와야 하지만 이를 이유로 업계 일각에서는 스피어피싱 등 지능형지속공격(APT)이 아니냐고 추측한다.
익명을 요청한 한 보안 전문가 A씨는 "해커는 보통 기업 내부에서 관심을 보일 만한 내용을 이메일에 담아 직원 다수에 발송하는 공격 수법을 쓴다"며 "공지사항이나 업무 연관 내용을 담은 것처럼 속이다 보니 이를 직원이 무심코 열어보게 된다"고 말했다. 이때 직원 업무 PC나 스마트폰이 감염되면서 기업 내부 시스템 접근이 가능하게 된다는 설명이다.
APT 공격은 트위터 보안 사고처럼 기업의 서비스 관리 업무를 맡은 직원을 특정해 타깃으로 삼을 수도 있다는 점에서 가능성이 더욱 높다. 불특정 다수에게 보내더라도 관리자가 관심을 보일 만한 내용을 메일에 포함해 유도하면 된다.
A씨는 "메일은 불특정 직원 다수에게 보내더라도 내부 관리자가 관심을 둘 내용을 포함하면 자연히 관리자가 해킹 공격을 받을 가능성이 커진다"며 "관리자 필독이라고 적혀 있거나 정부에서 내려온 지침 혹은 관련법 개정이니 확인하라고 하면 메일을 열어볼 확률이 올라가는 식이다"고 설명했다.
실제 국내외에서 이같은 수법이 종종 벌어진다. 가장 흔한 해킹 방법임에도 성공률이 낮지 않기 때문이다. 한국인터넷진흥원(KISA)이 한국의 95개사 6만4000명 임직원을 대상으로 6월 실시한 모의해킹 훈련에서 사회공학적 기법을 활용한 해킹 메일 감염률이 전체의 15%였다. 전년 8.5%보다 두 배 가까이 늘었다.
한국에서는 2014년 벌어진 한국수력원자력(한수원) 보안 사고가 대표적이다. 해커는 당시 한수원 내부에서 쓰이는 공문 문서를 확보해 악성코드를 심은 후 내부 직원에 메일로 전송, 해킹에 성공했다.
"역대 최악의 보안 사고다"
트위터 보안 사고가 사용자 단에서의 개인정보 유출이 아닌 사측 보안 문제로 밝혀지면서 여파는 상당할 전망이다. 미 현지 정치권 인사들은 이미 트위터를 향해 비판 강도를 높인다. 법적 해결을 요구하는 목소리도 제기된다.
조시 홀리 미주리주 상원 의원은 "이번 사건이 단순 해킹이 아닌 트위터 보안 자체를 향한 성공적인 공격임을 의미할 수 있어 우려스럽다"며 "잭 도시 CEO가 미 법무부, 연방 수사국에 이번 수사를 요청해야 한다"고 밝혔다.
테리사 페이튼 전 백악관 최고정보책임자(CIO)도 "트위터는 해킹당한 계정 사용자(VIP)뿐 아니라 사기 행각을 벌인 해커에게까지도 허술한 보안 관리를 사과해야 한다"고 비판했다.
외신도 비판 강도를 높인다. CNN은 "트위터 역사상 최대 규모이자 최악의 보안 사고다"라고 평가했다. 월스트리트저널(WSJ)은 같은 의견을 표하며 "정치·경영·문화계 의사소통에서 중심을 차지하던 트위터에 의문이 제기된다"고 지적했다.
과거에 벌어진 일련의 트위터 보안 사고도 비판 여론에 불을 붙였다. 2019년 8월에는 트위터 수장인 도시 CEO가 계정을 해킹당했다. 당시 도시 트위터에 인종차별 내용의 글이 게재돼 논란이 불거졌다. 며칠 후에는 할리우드 배우 클로이 머레츠 트위터 계정이 해킹당했다.
올해 5월에는 야니스 아데토쿤보 미국프로농구(NBA) 선수의 트위터 계정이 해킹돼 유명인사를 비난하는 트윗이 올라왔다. 2월에는 페이스북과 인스타그램 공식 계정이 뚫려 논란을 빚었다.
미 연방수사국(FBI)은 이같은 보안 사고를 인지하고 경고에 나섰다. FBI는 "유명 인사의 트위터 계정 보안 사고를 확인했다"며 "이번 사건과 관련해 사람들이 가상화폐나 돈을 송금하는 등의 피해를 보지 말아야 한다"고 조언했다. 아직 수사 여부나 구체적인 계획 여부는 밝혀지지 않은 상황이다.
김평화 기자 peaceit@chosunbiz.com