머스크가 트위터 사용자들을 대상으로 한 유료 서비스를 시작할 계획이라고 발표하자 논란이 일었다. 논란이 일자 해커들은 부지런해졌다. 그리고 유료 서비스와 관련된 내용으로 피싱 메일을 여러 사람들에게 보내기 시작했다.

[보안뉴스 문가용 기자] 트위터의 수장이 된 일론 머스크(Elon Musk)가 여러 가지 변화를 꾀하고 있다. 그 중 하나가 보안 업계의 질타를 받기 시작했다. 트위터가 사용자 계정의 진위 여부를 직접 확인해 주고, 인증 마크를 달아주는 대신 정기적으로 돈을 받겠다고 했는데, 이 계획이 발표되자마자 여론이 들끓었고, 이를 활용한 피싱 캠페인이 시작됐기 때문이다.


일부 트위터 사용자들은 최근 자신의 트위터 계정이 더 이상 트위터가 공식적으로 진본이라고 인정한다는 마크를 부착하지 못한다는 내용의 이메일을 받았다고 밝혔다. 피싱 공격이었다. 트위터의 고객 지원 홈페이지와 똑같이 생긴 구글 독스 문건을 통해 공격은 이루어졌다고 한다. 다행히 여기에 속지 않은 전문가들이 트위터 사용자들에게 경고했기 때문에 피해는 그리 크지 않았다.

테크크런치의 수석 편집자인 자크 휘태커(Zach Whittaker)는 “현재 트위터 인증과 관련된 여러 가지 소문이 사이버 보안 위협으로 변질되고 있다”고 주장했다. “트위터가 공식 인증한 계정을 유료화 하느니 마느니 하는 문제가 트위터 사용자들 사이에서 시끌시끌한데, 이 틈을 노려 트위터 계정 크리덴셜을 가져가려는 자들이 생겨나고 있습니다. 저도 공격을 받았는데 실제 트위터에서 온 것처럼 메일이 꾸며져 있어 구분하기가 쉽지 않았습니다.”

트위터 사용자들이 제보한 피싱 메일은 전부 twittercontactcenter.gmail.com이라는 주소에서 발송됐다. 전문가들은 “사실 이 주소만 봐도 가짜인 걸 알 수 있어야 한다”고 말한다. 메일은 “트위터 공식 인증 배지를 달려면 매달 19.99달러를 내야 하지만, 아래 버튼을 눌러 로그인을 하면 무료로 인증 배지를 달 수 있다”는 내용을 담고 있다. 보낸 사람의 메일 주소를 확인 못하고 메일 내용에 속은 사람의 경우, 트위터 로그인 정보를 공격자에게 고스란히 넘기게 되는 구조였던 것이다. 피싱 페이지는 러시아의 웹 호스팅 회사인 비겟(Beget)이 호스팅하고 있었다.

이러한 상황을 인지한 구글 측은 재빨리 문제의 구글 독스 기반 피싱 사이트를 차단했다.

이번 사건은 아직 피해 규모가 정확히 파악되지는 않고 있지만, 큰 논란이 되고 있는 이슈는 주요 피싱 공격의 테마가 된다는 걸 입증하는 전형적인 사례다. 보안 업체 슬래시넥스트(SlashNext)의 CEO인 패트릭 하르(Patrick Harr)는 “시사적인 일들을 가장 민감하게 활용하는 게 해커들”이라며 “이번 일도 평소 해커들이 하는 짓을 그대로 했을 뿐인 것”이라고 말한다. “사회적인 이슈를 피싱 테마로 삼으면, 공격 성공률이 크게 높아집니다. 그들에겐 뭔가 큰 논란이 될 때마다 공격 재료가 생기는 겁니다.”

구글 독스를 활용한 것 역시 공격 성공률을 높이고자 하는 해커들 사이에서 흔히 눈에 띄는 기법이라고 하르는 설명한다. “구글 독스는 유명한 서비스죠. 구글이라는 신뢰도 높은 회사에서 제공하는 것이고요. 그러니 거의 모든 보안 솔루션들이 구글 독스에 대해서 경보를 울리지 않습니다. 그래서 구글 서비스가 공격에 악용되는 사례가 점점 많아지는 것이죠. 구글에 대한 소비자와 보안 솔루션들의 신뢰를 악용하는 겁니다.” 실제 이번 캠페인의 피싱 메일이 여러 사람의 편지함에 도착한 것을 보면 이메일 솔루션들이 구글 독스를 무사통과시켜 준 것을 알 수 있다.

보안 업체 델리니아(Delinea)의 CISO인 조셉 카슨(Joseph Carson)은 “잘 모르는 곳에서부터 이메일을 받을 때 늘 의심하고 조심해야 한다”고 강조한다. “그리고 모든 계정을 다중인증 옵션으로 보호하는 게 좋습니다. 그러면 설사 비밀번호를 해커들이 훔쳐갔다고 해도 쓸 데가 없어지거든요. 그게 아니라면 적어도 비밀번호 관리 프로그램이라도 사용하는 게 좋습니다.”

한편 머스크가 트위터 배지에 대한 구독료를 받겠다고 하자 사용자들 사이에서는 큰 논란이 일어났다. 대부분은 분노를 표출하고 있으며, 차라리 트위터를 떠나겠다는 여론이 막강하다. 그러자 머스크는 최초 20달러였던 것을 어느 정도 낮추겠다고 발표했다. 하지만 사용자들의 분노는 식지 않고 있으며, 머스크 역시 트위터의 경영에 막대한 돈이 들어간다며 자신의 입장을 꺾지 않는 분위기다.

보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시온(Darren Guccione)은 “사회적 논란은 해커들 귀에 음악과 같다”고 말한다. “사이버 범죄자들은 소란을 이용할 줄 아는 자들입니다. 평화로운 때라면 머리를 끙끙 싸매며 창의적으로 소란을 일으켜야 하겠지만, 소란이 저절로 일어난다면 이들은 그걸 활용한 공격에만 집중할 수 있게 됩니다. 이번 사태도 실제 피해 규모와는 상관 없이 그것을 잘 보여주고 있습니다.”

3줄 요약
1. 일론 머스크, 트위터에 유료 서비스를 도입한다고 발표.
2. 이 발표가 논란이 되자 여론이 들끓고, 여론이 들끓자 바빠진 공격자들.
3. 유료 서비스를 무료로 준다는 내용의 피싱 메일이 유포되는 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>