트위터 사고와 보안...개방과 통제의 딜레마

요즘 블록체인 업계의 가장 큰 이슈는 트위터 대규모 해킹 사건이다. 지난 15일(현지시간) 발생한 트위터 해킹 사건은 애플과 우버를 포함해 버락 오바마 전 대통령, 조 바이든 전 부통령, 일론 머스크 테슬라 CEO, 제프 베조스 아마존 CEO, 빌 게이츠 전 MS 회장, 마이크 블룸버그 전 뉴욕 시장, 워런 버핏 버크셔 해서웨이 회장, 가수 카니 예 웨스트, 권투 선수 플로이드 메이웨더 등 130개 계정이 해킹을 당한 것으로 확인됐다.

공격자들은 해당 계정을 통해 비트코인을 내 지갑으로 보내면 두 배로 쳐서 되돌려 준다는 내용의 트윗을 보냈다. 조사결과를 보면 해당 비트코인 지갑을 통해 총 393번의 거래가 발생했고 11만8천달러의 돈이 입금됐다. 트위터는 사건이 발생하기 시작한 지 2시간여가 지난 뒤부터 문제가 된 글들을 지우고 일부 계정을 비활성화했지만, 이미 사기 글에 속은 일부 이용자들은 돈을 사기꾼들에게 송금한 뒤였다.

트위터의 중간발표
해킹 사고를 겪은 트위터는 중간 조사 결과를 발표했다. 유명인사의 트위터 계정을 해킹하며 보안 사고를 일으킨 해커는 130개 트위터 계정을 타깃으로 삼았던 걸로 드러났다. 기존에 밝혀진 피해자 외에도 100여명의 목표물들이 더 있었다고 한다. 피해를 본 계정은 대부분 이메일과 휴대폰 번호가 유출됐다.

트위터는 130개 계정을 범행 대상으로 삼고 내부 지원팀만이 사용할 수 있는 도구에 접속했다. 130개 계정과 관련해 접근할 수 있던 개인정보는 이메일 주소와 휴대폰 번호 등이다. 트위터는 해커가 이를 통해 45개 계정의 암호 재설정과 계정 로그인, 트윗을 보내는 작업 등을 할 수 있었다고 추정했다. 트위터는 또 8개 계정은 계정 활동 정보까지 유출됐다고 했다.

사회공학적 공격
여기서 등장하는 것은 이른바 사회공학적 공격이다. 트위터가 조사한 바에 의하면, 해커들은 시스템 자체의 취약성을 뚫었다기 보다는 시스템에 접근할 수 있는 권한을 가진 트위터 직원들을 노리는 '사회공학적(social engineering)' 공격을 감행했다.

직원의 PC나 스마트폰에 악성코드나 백도어를 심어 정보를 빼내거나 원격조작했다는 뜻이다. 시스템 취약점이 아닌 사람 실수나 부주의로 빚어진 취약점을 악용해 해킹하는 방법으로 해커는 서비스 관리 권한을 지닌 트위터 일부 직원에 사회공학적 공격을 펼친 후 그들의 자격 증명을 이용해 범행했다는 것이다.

아직 범인이 잡히거나 정확한 해킹 방법이 알려진 것은 아니지만 트위터의 설명대로라면 트위터 내부 직원 일부를 겨냥한 공격이었다는 내용이다. 그러니까 공격자들이 접근하는 데 성공한 도구는 내부 지원 팀 내에서만 사용하는 것이었다. 트위터의 셜명대로라면 비밀번호 유출로 인한 사고가 아닌 것으로 드러난 만큼 일반 이용자들이 서둘러 비밀번호를 바꿀 필요는 없을 것으로 보인다.

범인은 누구일까
보도는 사건을 일으킨 해커가 누구인지에 집중되고 있다. 뉴욕타임스(NYT)는 이번 사건과 연관된 해커들과 진행했던 메신저 인터뷰를 공개하며 사건 주도자가 ‘커크(Kirk)’라는 유저로 추정된다고 밝혔다.

커크는 자신을 트위터 직원이라고 소개했지만 실제 트위터 직원인지는 밝혀지지 않았다. 커크는 희소성 있는 트위터 계정을 제공하겠다며 이를 다른 해커와 연결해 달라고 요청했다고 한다. 일부 보안 전문가들은 트위터 내부 도구를 공유하고 있는 트위터 계정들을 추가로 발견했는데 계정들을 추적했을 때 유명 스와핑 공격 단체인 플러그워크조(PlugWalkJoe)가 나타났다고 한다.

일설에 의하면 플러그워크조는 조셉 제임스 코너라는 이름을 가진 영국 출신의 21세 청년이라고 한다. 정치적 공작을 위한 단체의 소행이라는 주장도 나오고 있다. 특히 미국 대선이 가까워지고 있어 더욱 그렇다. 특히 정치인들 사이에서 이런 주장이 힘을 얻고 있다, 하지만 아직은 모두가 추정일뿐이다.

비트코인과 보안
현 시점에서의 결론은 트위터 해킹 사건에 대해 정확히 알려진 바는 거의 없다고 보는 것이 옳다. 트위터가 공식 발표한 ‘소셜 엔지니어링’과 ‘130개 계정’이 거의 전부다. 하지만 비트코인이 해킹 사건에 연루됨에 따라 관련 파장은 작지 않을 전망이다.

불법적인 자금을 모집하고 이를 세탁하는데 암호화폐만큼 편한 수단은 없다. 끊임없이 해킹, 스캠, 사기 사건에 노출된 가상자산 업계의 어두운 이면이 이번 사건으로 드러났다는 비판을 피할 수 없는 상황이다. 중요한 것은 트위터의 내부 도구가 해커들 사이의 포럼에 이미 공격 전에 등장했다는 사실이다.

트위터 내부 인원이 공격에 가담했거나 도움을 줬다는 얘기다. 여러 보안 전문가들도 악성 내부자의 가능성을 높게 보고 있다. 물론 트위터는 이런 주장을 전면 부인하고 있다. 그러나 소셜 엔지니어링 공격에 당해 속아넘어간 내부자는 있을수 있다는 입장이다.

관리자 계정이라고 해도 가입자들의 글쓰기 권한에까지 손을 댈 수 있다는 것 자체가 문제라는 지적도 나온다. 아직 트위터 측은 해커들이 어떻게 글쓰기 기능에까지 접근했는지에 대해서는 설명을 못하고 있다.

다시 부상한 보안이슈
트위터의 보안사고와 관련해 아직까지는 정확히 무슨 일이 벌어졌는지 알기 힘들다. 공격이 불특정 다수를 향했던 것도 아니다. 그러나 보안에 대한 이슈를 다시 점검해봐야 할 필요성은 높아졌다. 사실 인터넷에서 발생하는 보안 이슈들은 개별 기업의 시스템과 체계를 통해 모두 해결할 수는 없다.

내부 시스템에 문제를 없애는 것은 가능하다고 해도 서비스 범위와 영향도는 한 기업의 시스템과 체계에 얽매이지 않는다. 지리적이고 공간적인 차이를 벗어난 인터넷상에서 폐쇄적이고 강력한 절차적 검증을 거친다 해도 문제는 항상 있게 마련이다. 시스템 통제는 언제나 해제될 수 있다. 그것도 내부에서 협력자가 발생한다면 문제는 언제든 발생할수 있다.

통제와 개방의 딜레마
그렇다고 보안을 위해 지나친 통제를 한다면 그것도 문제다. 단편적이고 지나친 통제는 인터넷 시대의 흐름에 맞지 않는 일이다. 세계적인 기업들의 정보 보호의 흐름은 두 가지 정도로 축약된다. 개방화된 상태에서 전체적인 수준을 올릴 것이냐 아니면 폐쇄화된 상태에서 꾸준한 관리와 통제로 보호 수준을 올릴 것인가 하는 것이다.

보안은 관리영역에 있는 시스템들과 서비스만이 아니라 사용자를 대상으로도 폭넓게 이뤄져야만 한다. 사용자를 보호하지 못하는 서비스들은 구조적인 문제에 직면하게 된다. 인텔은 칩 제조업체면서도 9조원을 들여 전문보안업체인 맥아피를 인수했다.

트위터는 20만개 이상의 활용 애플리케이션을 가지고 있으면서도 인증 시스템을 변경했었다. 모두가 보안을 위한 것이었다. 보안을 강화하기 위한 노력은 아무리해도 여전히 부족할 수 밖에 없다. 앞으로도 해커의 공격과 개인정보 탈취 및 도용은 확산될 것이다. 소통과 개방에 소홀하지 않으면서도 보안을 유지하는 것은 디지털 서비스의 핵심적인 경쟁력이 될 것이다.