글로벌 소셜미디어 트위터가 취약점 공격을 통해 540만 개에 이르는 사용자 계정 정보를 탈취 당했다고 인정했다. 다크웹(추적이 어려운 인터넷 환경)을 통해 3만 달러(약 3천900만 원)에 판매되고 있는 트위터 계정 정보에는 사용자가 가입 시 입력한 전화번호와 이메일주소 등이 포함된 것으로 알려졌다.
6일(현지시간) 더해커뉴스 등 사이버보안 전문 외신들은 트위터가 사용자 계정 정보 유출 사실을 공식 확인했다고 보도했다.
보도에 따르면 해커는 지난 21일 다크웹에 '트위터 취약점을 이용해 수집한 총 548만5636개의 계정 정보'를 판매한다는 글을 게시했다. 판매 데이터 안에는 유명인, 기업, 랜덤ID 등 다양한 계정과 그 계정에 연결된 이메일 및 전화번호 정보가 포함돼 있다고 했다.
해커가 악용한 취약점은 지난 1월 1일 버그바운티 플랫폼 '해커원'을 통해 보고된 것으로, 트위터는 같은달 13일 취약점 패치를 완료했다. 블리핑컴퓨터는 해커와 접촉해 취약점이 알려지기 전인 "지난해 12월 취약점을 이용해 데이터를 수집했다"는 이야기를 들었다고 전했다.
트위터는 지난 5일 게시한 보안 공지사항을 통해 해커가 다크웹을 통해 판매하고 있는 계정이 실제 트위터 이용자 것이라고 인정했다.
관련기사
- 머스크 "트위터 CEO, 가짜 계정 수치 증명해야" 공개 토론 제안2022.08.07
- 머스크·트위터 재판, 10월17일 열린다2022.07.30
- 일론 머스크도 트위터 맞제소…법정공방 가열2022.07.30
- 트위터, 9월 주총서 '일론 머스크' 인수건 의결2022.07.27
트위터는 이번 사고를 야기한 취약점에 대해 "누군가 트위터 시스템에 이메일 주소나 전화번호를 제출했을 때 (해당 정보로 가입한 사실이 있을 경우) 어떤 계정과 연결되어 있는지 알려주는 버그"로 "지난해 6월 코드를 업데이트하면서 생긴 것"이라고 설명했다.
트위터는 또 후속 조치를 위해 "이 문제의 영향을 받는 계정 소유자에게 직접 통지하고 있다"고 했다. 그러면서 무단 로그인을 방지하기 위해, 이중 인증을 설정할 것을 권고했다.
