트위터 로그에서 패스워드 노출 버그 발견

"내부 시스템 버그…데이터 유출·오용 없었다"

인터넷입력 :2018/05/04 07:59    수정: 2018/05/04 07:59

트위터가 이용자들에게 새 패스워드를 설정해 사용하라고 권고했다. 운영 인프라에서 계정의 패스워드가 평문으로 노출되는 버그가 발견됐기 때문이다.

다만 해킹을 당해 외부에 유출된 건 아니다.

미국 지디넷은 3일(현지시간) 트위터가 이용자 패스워드를 평문으로 저장해 왔다는 점과 그게 회사 내부 시스템 툴에 노출됐을 수 있다는 점을 인정했다고 보도했다. [☞원문보기]

트위터는 공식 블로그 포스팅을 통해 "여러분이 트위터 계정 패스워드를 설정하면 우리는 그걸 가리는(mask) 기술을 사용해서 회사의 누구도 그걸 볼 수는 없었다"면서도 "내부 로그에서 저장된 패스워드가 노출되는(unmasked) 버그를 최근 발견했다"고 밝혔다.

(이미지는 기사와 무관함.)

트위터는 이 버그에 영향을 받은 계정의 규모를 언급하지 않고 있지만, 익명의 소식통을 인용한 로이터 보도는 영향을 받는 이용자 수가 '상당했다'는 점과 그들의 패스워드가 '수개월'간 노출됐다는 점을 지적했다.

트위터 측은 일단 이용자들에게 패스워드 변경을 권하고 있다.

하지만 이 버그를 수정했으며, 관련 조사에서 회사가 누구에게도 데이터 유출 또는 오용을 당했다는 단서는 나오지 않았다고 주장했다.

홍보담당자 역시 이 버그는 내부 시스템에만 관련돼 있다고 언급했다.

미국 지디넷은 현재 진행중인 조사 내용에 정통한 익명 소식통이 "의도치않게 이용자 패스워드를 평문으로 기록한 내부 로그가 애매한 장소(an obscure place)에서 발견됐으며 그걸 누군가 찾아냈을 가능성은 희박하다"고 언급했다고 전했다.

트위터 홍보담당자는 "이건 데이터 유출이 아니고 우리 조사에서 (데이터가) 오용됐다는 단서가 나오지 않았으므로 우리는 패스워드 재설정을 강제하지는 않을 것"이라며 "다만 사람들에게 자신의 계정에 관련된 결정을 내릴 수 있도록 정보를 제공하고자 한다"고 설명했다.

트위터 이용자 수는 회사가 회계 4분기 실적을 발표한 지난 2월 기준 3억3천만명이었다.

관련기사

트위터는 주중 패스워드 관련 버그가 있다고 인정한 두번째 회사다.

앞서 코드공유사이트 깃허브도 내부 로그 시스템에 일부 이용자의 평문 패스워드가 기록된 뒤 노출됐음을 밝혔다. 두 사례간 연관성은 알려지지 않았다.