트위터 보안취약성이 수면 위로 올랐다. 잇따라 해킹 사건이 발생하더니 이번엔 트위터 최고경영자(CEO)까지 속수무책으로 당했다는 소식이다. 트위터 계정을 보호하기 위한 몇 가지 대안이 나왔다.
CNN은 8월 31일(현지시각) 잭 도시 트위터 CEO 트위터 계정이 해킹당했다고 전했다. 또 트위터 계정을 보호를 위해 보안 코드 강화와 인터넷 전화번호 사용, 전체 온라인 계정 암호 강화 등 몇 가지 방법을 제시했다.
CNN은 도시 CEO가 당한 이번 해킹이 ‘심 스와핑(SIM Swapping)’에 해당한다고 전했다. 해커가 이동통신사를 속여 다른 심카드에 가입자 전화번호를 둔 채 암호를 수정해 가입자 온라인 계정에 접근하는 수법이다.
해커가 심 스와핑을 이용하면 특정인 트위터 계정에 접근이 쉬워진다. 트위터가 전화번호와 계정을 연동해 사용하도록 기능을 제공한 탓이다. 전화번호만 확보하면 별다른 추가 인증 없이도 계정에 로그인해 트윗을 올릴 수 있다. 해커의 표적 대상이 되기 쉬운 이유다.
트위터는 이번 해킹 사건에도 불구하고 별다른 계정 보안 강화책을 내놓지 않았다. 개인 차원에서 트위터 계정을 보호할 여러 방안이 나온 배경이다.
떠오르는 대안으로는 보안 코드를 활성화하는 방법이 있다. 로그인할 때 일반 암호로 인증하는 것과 더불어 신원을 확인할 2단계 인증을 추가하는 방식이다. 계정과 연동된 전화번호로 보안 코드가 담긴 문자가 오면 이를 로그인 시 기입하면 된다.
다만 이 방법은 해커가 심 스와핑으로 특정인 전화번호에 접근하면 문자 메시지를 볼 수 있다는 한계가 있다. 이를 보완하기 위해서는 구글 인증 전화 애플리케이션을 사용하면 된다. 휴대전화를 통한 전화 인증을 요구하는 방식이다.
휴대용 공인인증서 저장 매체인 보안 토큰을 이용할 수도 있다. 특정인의 보안 토큰을 실제로 갖고 있지 않다면 키 번호를 알 수 없어 해커가 계정에 접근할 수 없다.
트위터 계정에 등록한 전화번호를 수정하는 것도 또 다른 대안이다. 사이버보안 전문 기자인 브라이언 크레브스는 기존 전화번호를 구글 보이스에서 생성한 전화번호로 바꿀 것을 제안했다. 구글 보이스는 인터넷전화(VoIP) 기반으로 구글 계정만 있으면 전화번호 생성이 가능하다. 해당 번호는 이동통신사가 관리하지 않기에 해커가 기존의 심 스와핑 수법으로 특정인 전화번호에 접근할 수 없다.
물론 구글 계정이 해킹되면 이 역시 완전한 해법이 될 수 없다는 게 외신 평가다. 구글 계정 보안을 사전에 철저히 하기 위해서는 생년월일이나 특정 개인정보가 담기지 않은 어려운 문자로 암호를 설정해야 한다. 이는 개인이 보유한 모든 온라인 계정 보안에도 유효한 방식이다.