짧은 URL, 허위 프로필, 피싱, 스팸 등 새로운 위협으로 대두

트위터(Twitter)는 페이스북(Facebook), 마이스페이스(MySpace), 링크드인(LinkedIn) 등과 함께 북미 지역에서 가장 많이 이용되고 있는 소셜 네트워크 서비스(Social Network Service)로, 우리말로 하자면 “인맥구축 서비스”라 할 수 있다. 이들은 특히 이른바 ‘마이크로블로그’의 일종으로 휴대폰을 통한 인터넷 접속을 통해 포스팅을 하거나 게시물을 읽을 수 있어 기존의 블로그에 비해 이동성과 즉시성, 그리고 접근성이 증가했다. 그 중에서도 트위터는 140 바이트, 즉 140자 이내의 단문으로 게시글의 길이가 제한되어있는데 자신의 트위터에 단문의 소식을 올리는 즉시 팔로어(Followers)에게 전달된다.

최근 김연아 선수(twitter.com/ Yunaaaa)의 트위터 가입 소식과 더불어 국내에서도 트위터 방문자가 꾸준히 증가하고 있는 추세며 국내 관련 업체들이 소셜 네트워킹 서비스에 본격적인 관심을 기울이고 있다. 그러나 최근 많은 해외 전문가들은 이러한 소셜 네트워크 서비스를 통한 위협을 경고하고 있는 상황이다. 특히 트위터(Twitter)나 페이스북(Facebook) 같은 소셜 네트워킹 사이트에 대한 직접적인 공격보다는 이를 이용한 스팸, 또는 악성코드 전파가 기승을 부릴 것으로 예측하고 있다. 또한 피셔(Phisher)들이 소셜 네트워킹 사이트를 통해 피싱을 시도할 것이라고 해외 전문가들은 우려하고 있다.

허위 프로필을 통한 피싱 위협

소셜 네트워크 사이트를 통해 나타난 대표적인 문제는 바로 허위 프로필, 즉 가짜 계정 문제다. 미국에서는 최근 몇 년 간 주로 유명 연예인을 사칭한 소셜 네트워크 사이트 허위 계정들이 사람들을 현혹시키는 문제가 발생하고 있다. 최근 트랜스포머의 여주인공 메건 폭스가 홍보 인터뷰 말미에서 자신과 남자 주인공 샤이아 라보프가 “트위터를 하지 않는다”고 강조한 것도 이런 맥락이다. 국내에서는 몇 년 전까지 유명 연예인을 사칭한 싸이월드 미니홈피가 등장해 이후  연예인이 미니홈피를 공개하면 “정말 아무개 연예인이 맞냐?”는 질문으로 방명록이 도배되기도 했다.

특히 미국에서는 몇 년 전 이러한 허위 계정을 통한 “사이버 왕따” 혹은 “사이버 이지메(괴롭힘)”가 발생하기도 했다. 지난 2006년 마이스페이스(MySpace)에 10대 소년인 것처럼 허위 프로필을 만들어 한때 자신의 딸의 친구였던 이웃집 소녀 메건 메이어(Megan Meier, 당시 13)를 속여 자살로 몰고 간 혐의로 로리 드류(Lori Drew)라는 중년 여성이 기소됐다. 10대 소녀였던 메건은 마이스페이스를 통해 만났던 조쉬라는 이름의 남자친구의 변심으로 충격을 받아 침실 옷장에 목을 매 자살하고 말았는데 그로부터 한 달 뒤 조쉬라는 소년이 바로 메이어의 친구였던 사라의 엄마인 로리 드류로 밝혀졌던 것이다.

그러나 사건 발생 당시 적절한 관련 법규를 찾을 수 없어 1년 이상 기소가 지연됐다. 결국 연방 검찰이 드류를 해킹 혐의로 기소했으나 지난 2008년 세 건의 혐의에 대해서만 경범죄가 인정되고 해킹 등의 혐의는 기각돼 3년의 징역과 집행 유예를 선고받게 됐을 뿐이며 그나마도 최근에 있었던 구형 일정 공판에서 유죄 판결이 기각되고 말았다. ‘사이버 괴롭힘’을 적용할 법률이 없다는 이유에서였다.

최근에는 보다 전문적인 범죄조직에 의한 소셜 네트워킹 서비스 악용 피싱 사례가 발생하고 있으며 이에 대한 전문가들의 우려가 이어지고 있다. 지난 2008년 말, 트위터 회원들은 공짜 아이폰이나 사진을 제공한다는 이메일을 받았는데 해당 메일에 첨부된 링크가 피해자를 트위터의 로그인 사이트로 위장한 가짜 웹사이트에서 이름과 패스워드를 입력하도록 유도했다. 트위터의 가입자를 사칭한 피싱 외에도 트위터 자체를 사칭한 피싱도 등장한 것이다. 이에 트위터는 즉시 회원들에게 피싱을 경고하고 패스워드를 변경할 것을 권장했다.

최근에는 시만텍이 대규모 스팸 발송을 통한 트위터 관련 피싱 공격에 이어 특정 주소로 한 번에 대량의 이메일을 전송하는 매스 메일링(Mass-mailing) 등의 악성 웜을 포함한 허위 트위터 초청장을 탐지했다. 시만텍이 발견한 메시지는 트위터 계정에서 보낸 것처럼 보이지만 정상적인 트위터 메시지와 달리 메일 본문에 초청 URL이 포함돼 있지 않고 초청 카드로 보이는 .zip 파일을 첨부하고 있다. 트위터 가입자들이 다른 사용자로부터 초청장과 업데이트 이메일을 정기적으로 받고 있다는 점을 악용한 것이다.

‘Invitation Card.zip’이라는 제목의 첨부파일에 포함된 이 웜은 지난 2월 e-카드를 이용한 바이러스 공격에서 처음 발견된 W32.Ackantta.B@mm인 것으로 밝혀졌다. W32.Ackantta.B@mm은 감염된 컴퓨터로부터 이메일 주소를 수집하며 공유 폴더와 이동식 드라이브로 자기 복제를 통해 확산되는 매스 메일링 웜이다. 시만텍은 특히 ‘월간 스팸 보고서 6월호’를 통해 “최근 스팸이 전체 이메일의 거의 90%에 달한다”고 밝히며 스패머들이 공격을 위해 트위터를 비롯한 다른 인기 소셜 네트워크 서비스를 계속 악용할 것으로 예상했다.

한편 Intrepidus Group의 CEO 로이트 벨라니(Rohyt Belani)는 기업들이 조만간 소셜 네트워킹 사이트를 이용한 피싱 공격의 피해를 입을 것이라고 주장했다. 그는 “브랜드와 상표 등을 모니터링하는데 투자하고 있는 기업들이 아직 이러한 소셜 네트워킹 사이트를 포용해야 할지 혹은 멀리해도 되는지 판단하지 못 하고 있기 때문에 아직까지 소셜 네트워킹 사이트를 이용한 기업에 대한 피싱 공격이 심각하지 않은 것”이라며 “곧 페이스북(Facebook)이나 링크드인(LinkedIn) 등을 이용한 피싱이 증가하게 될 것”이라고 예측했다.

또한 보안연구 전문가 호세 나자리오 박사(Jose Nazario)는 본지와의 인터뷰에서 ‘소셜 네트워킹 사이트를 이용한 피싱’이 올해 가장 심각한 위협이 될 것이라고 말했다. 그는 “스팸이 이메일을 이용했던 것과 마찬가지로 이제는 소셜 네트워킹을 이용하고 있다”며 특히 “스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다”고 말했다.

지저귀는 새를 노리는 사냥꾼들

웹 전반을 위협하는 해커들이 새들의 지저귀는 소리(Twitter)를 그냥 지나칠 리 없다. 올해 1월 트위터(Twitter)는 블로그를 통해 자사 회원 33명의 계정이 하이재킹됐다고 밝히고 당시 대통령 당선자였던 버락 오바마와 팝 가수 브리트니 스피어스, CNN 특파원 릭 산체스 등도 해킹의 피해자라고 전했다. 또한 “해당 피해 계정들은 회원이 계정을 잃어버렸을 경우 지원팀이 사용하는 툴을 해킹한 해커에 의해 손상됐다”고 설명하고 “이것을 매우 심각한 보안 침해로 판단, 즉각 지원 툴을 오프라인으로 변경했다”고 밝혔다.

최근에는 이들 소셜 네트워킹 서비스가 마이크로블로그라는 점과 관련해 이들에서 이용되는 URL의 길이에 대한 우려가 제기되고 있다. 즉, 트위터에서는 글자수가 140자로 제한되어 있기 때문에 긴 웹 주소를 그대로 복사해 붙이면 잘리게 되는 경우가 발생한다. 따라서 트위터에서는 긴 웹 주소를 짧게 줄여주는 서비스를 이용해 링크를 걸게 되어있는데 이와 관련해 가장 많이 쓰이고 있는 http://bit.ly 서비스의 취약점이 문제가 되고 있는 것이다. bit.ly 서비스는 긴 웹 주소를 그대로 넣으면 자동으로 주소 길이를 줄여주기 때문에 대부분의 트위터 이용자들에게 애용되고 있다.

이와 관련해 최근 미(美) 보안 연구자 아비브 라프(Aviv Raff)는 자신의 블로그를 통해 제3자 트위터(Twitter) 애플리케이션의 취약점에 대해 우려를 표하며 특히 Bit.ly 링크 단축 서비스의 일부 심각한 크로스사이트 스크립팅(XSS) 취약점을 시연했다. 그는 bit.ly과 관련된 URL 쿼리 파라미터와 키워드 파라미터의 크로스사이트 스크립팅, 로그인 페이지의 사용자 이름 필드의 POST 크로스사이트 스크립팅, 인포 페이지의 컨텐츠 타입 필드에 지속적으로 나타나는 크로스사이트 스크립팅 등에 대해 실례를 들어 위험성을 강조하며 “2009년 7월은 트위터 버그의 달(月)이 될 것”이라고 주장했다.

이에 Bit.ly 개발자들은 한 달여에 걸쳐 해당 에러를 수정했으며 지난 7월 1일 최신 패치를 배포해 현재 라프가 강조한 취약점들도 현재 모두 패치된 상태다. 그러나 라프는 블로그를 통해 “bit.ly는 엄청난 유저 베이스를 갖고 있다. 그러나 이러한 형편없는 수준의 보안 취약점 대응과 허술하게 코드된 웹사이트에 관해 우리는 다만 나아지길 기대하는 수밖에 없다”고 비난하며 “단축된 URL 클릭시 주의해야 한다”고 덧붙였다.

라프는 또한 트위터 API가 트위터 웜을 생성하고 이용자들의 민감한 정보를 탈취하기 위해 맬웨어를 전파하는 공격자들의 토대가 될 수 있다며 보안 측면에서 트위터를 비롯한 웹 기반 소셜 네트워킹 서비스에 우려를 표했다.

이에 앞서 또 다른 URL 단축 서비스 중 하나인 Cligs로 인해 실제로 지난 6월 220만 개의 URL들이 하나의 웹 페이지로 리디렉트 되는 일이 발생하기도 했다. 다행스럽게도 이 웹 페이지는 악성 페이지가 아닌 것으로 확인되었으나 이 사태를 계기로 링크 단축 서비스의 취약점이 새로운 위협을 내재하고 있다는 인식이 확대되는 계기가 됐다. 

아울러 짧은 URL은 주소만으로는 사이트의 성질을 추측할 수 없다는 점에서 피싱에 악용될 수 있다는 문제도 제기됐다. Intrepidus Group의 CEO 로이트 벨라니(Rohyt Belani)는 “소셜 네트워킹 서비스의 URL 길이가 비교적 짧은 편”이라며 이러한 “URL 길이 제한 때문에 사용자들은 그 링크를 클릭함으로써 어디로 리디렉트 될지 알 수 없다. 피셔들은 바로 이 점을 이용할 것”이라고 우려의 목소리를 전했다.

이용자 실수에 의한 정보유출도 위험

소셜 네트워킹 서비스 이용자들은 우발적인 실수에 의한 위협에도 노출되어있다. 특정인들과만 공유하고 싶은 생각(혹은 발언)이나 이미지가 원치 않는 사람들에게까지 전달되는 사고가 그것이다.

국내에서는 일부 싸이월드 미니홈피의 1촌 공개용 사진이 여러 가지 경로나 이유로 웹 전체에 공개되는 일이 여러 차례 발생하기도 했다. 포스팅을 하자마자 네트워크에 연결되어있는 인맥들에게 곧바로 알림 메시지가 전달되는 북미 지역의 유명 소셜 네트워크 서비스의 경우에는 문제가 더욱 심각하다.

이와 관련해 페이스북은 프라이버시 설정을 위한 40여개의 옵션을 갖고 있는데 최근 이 업체의 조사에 따르면 정기적으로 프라이버시 설정을 조정하는 이용자들은 전체의 1/4도 되지 않는 것으로 나타났다. 이에 이 업체는 현재 회원들이 포스팅한 텍스트, 사진 또는 동영상 등 모든 업데이트를 특정 그룹이나 특정인들만 볼 수 있게 허용하는 새로운 통제 기능을 테스트 하고 있다. 이에 페이스북의 CPO(chief privacy officer) 크리스 켈리(Chris Kelly)는 “툴이 단순해지면 사람들이 더 많이 이용할 것”이라며 “옵션들이 너무 많으면 이용자들은 그들이 누구와 무엇을 공유하는 지 완전히 인식하지 못 한다”고 말했다.

이처럼 소셜 네트워킹 서비스를 둘러싼 각종 위협들을 막을 수 있는 방법은 무엇보다도 이용자의 인식이다. 허위 계정을 비롯한 각종 피싱에 이용당하지 않기 위해서는 이용자들이 주의할 수밖에 없으며 계정 해킹 피해를 막기 위해서는 비밀번호 변경 등이 꼭 필요하다.

아울러 우발적인 정보유출을 막고 사생활을 보호하기 위해서는 관련 기능들에 대한 이용자들의 이해가 수반되어야 한다. 결국 이메일이든 소셜 네트워킹 서비스든 웹2.0 애플리케이션의 안전한 이용을 위해서는 우선적으로 이용자들의 노력이 필요한 것이다. 

<글 : 김동빈 기자(foreign@boannews.com)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>