트위터, 540만 계정 정보 유출 인정…“2단계 인증 활성화” 권고

트위터에서 발생한 보안취약점으로 540만개에 이르는 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.

트위터는 5일(현지시간) 트위터 개인정보보호센터를 통해 “2022년 7월 언론보도를 통해 올 초에 버그바운티 프로그램으로 알게된 보안취약점을 누군가 잠재적으로 활용했으며 수집한 정보를 판매하겠다고 제안했다는 사실을 알게 됐다”며 “판매 가능한 데이터 샘플을 검토한 결과, 문제가 해결되기 전에 악의적인 행위자가 문제를 악용했음을 확인했다”고 밝혔다.

이번에 악용된 것으로 확인된 보안취약점에 대해 트위터는 “누군가가 로그인 플로우에 전화번호나 이메일 주소를 입력하면 트위터 계정이 존재하는 경우 이 정보가 특정 계정과 연결돼 있는지 알려주는 취약점”이라며, “2021년 6월에 진행한 코드 업데이트에서 생긴 것”이라고 설명했다.

트위터가 언제 조치했는지는 알 수 없으나, 이미 알고 있었고 보안패치도 완료한 취약점이었다는 게 회사측 설명이다. 다만 보안 업데이트가 이뤄지기 전에 악용돼 정보가 유출된 것으로 보인다는 얘기다.

이 사건은 지난달 21일(현지시간) 리스토어프라이버시(Restore Privacy)가 한 해킹포럼에 540만명의 트위터 사용자 정보로 구성된 데이터베이스가 게시돼 판매되고 있다고 보도하면서 알려졌다. 이 보도에 따르면, 분석을 위해 게시돼 있던 샘플 데이터베이스를 다운로드해본 결과 공개된 프로필과 계정에 사용된 전세계 트위터 사용자의 이메일, 전화번호로 보이는 정보가 담겨있었다. 게시자는 이 정보에 대한 대가로 3만달러를 요구했고, 관련취약점이 지난해 트위터가 버그바운티 프로그램을 진행해 포상한 해커원(HackerOne) 보고서에 나온 취약점을 활용해 데이터를 확보했다고 전했다.

사용자 계정 정보 유출을 인정한 트위터는 후속조치로 “영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있고, 업데이트를 게시하고 있다”면서 “신원을 숨기려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 것이 좋다”고 권고했다. 또 “트위터를 사용하는 사람들은 인증 앱 또는 하드웨어 보안 키를 사용해 2단계 인증을 활성화해 무단 로그인으로부터 계정을 보호할 것을 권장한다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network