트위터 사용자 데이터 유출 또 발견…"수백만 비공개 데이터 공유돼"

표적 피싱 공격에 사용될 가능성…트위터 사칭 이메일 주의

컴퓨팅입력 :2022/11/29 14:36    수정: 2022/11/29 14:46

지난 여름 540만 개 이상의 트위터 사용자 정보가 유출·판매된 데 이어, 이보다 더 많은 수백만 개의 트위터 데이터가 유출된 사실이 새롭게 확인됐다. 

보안 전문가 채드 로더(Chad Loder)는 지난 23일(현지시간) 대규모 트위터 데이터 유출을 확인했다고 밝혔다. 유출된 트위터 데이터에는 EU와 미국을 비롯한 여러 국가의 사용자에 대한 휴대전화 번호가 포함됐다고 말했다.

채드 로더가 확인한 유출 데이터 세트에는 유명인, 저명한 정치인, 정부 기관 등에 대한 전화번호도 포함된 것으로 알려졌다.

(사진=씨넷)

채드 로더는 "검색 가능성 설정에서 '다른 사람이 귀하의 휴대폰으로 귀하를 찾도록 허용'이 활성화된 모든 트위터 계정이 영향을 받았다"라며 "전체 국가 코드에 대한 모든 계정은 휴대폰 번호와 함께 데이터 셋트에 나열됐다"고 설명했다.

그는 영향 받은 계정 샘플에 연락을 취했으며, 유출된 데이터가 정확하다는 것을 확인했다고 덧붙였다.

또한 해당 데이터는 지난 8월 유출된 데이터 샘플과 비교한 결과, 동일한 데이터가 아니라고 밝혔다. 형식이 완전히 달랐으며, 영향을 받은 계정도 달랐다는 설명이다.

이번에 새로 확인된 유출 데이터는 유럽, 이스라엘, 미국 등 여러 국가 및 지역 코드별로 분류된 수많은 파일로 구성된 것으로 알려졌다. 보안 전문 매체 블리핑컴퓨터는 1천700만개가 넘는 레코드로 구성돼 있다고 들었지만, 확인은 하지 못했다고 전했다.

블리핑컴퓨터는 프랑스 사용자의 137만7천개 전화번호가 포함된 트위터 데이터 덤프 샘플 파일을 입수했다고 밝혔다. 

매체는 해당 전화번호가 유효함을 확인했으며, 해당 데이터 유출이 진짜라는 것을 확인했다고 밝혔다. 블리핑컴퓨터 또한 "이번에 유출된 데이터에는 8월에 판매된 원본 데이터와 일치하는 전화번호가 하나도 없었다"며 "트위터의 데이터 유출이 이전에 공개된 것보다 얼마나 컸고, 위협 행위자들 간에 사용자 데이터가 얼마나 많이 공유되고 있는지 보여준다"고 지적했다.

채드 로더는 "여러 공격자가 2021년에 있었던 동일한 취약점을 악용할 가능성이 있다"고 말했다.

이번 데이터 유출과 동일한 취약점을 사용해 발생한 데이터 유출은 지난 7월에도 발견된 바 있다. 지난 7월 한 해커는 해킹포럼에서 540만개의 트위터 사용자의 개인 정보를 3만 달러에 판매하기 시작했다.

대부분의 데이터는 트위터ID, 이름, 로그인 이름, 위치, 확인 상태와 같은 공개 정보로 구성됐지만, 전화번호와 이메일 주소와 같은 개인정보도 포함됐다.

해당 데이터는 2021년 12월 해커원 버그 바운티 프로그램에 공개된 트위터 API 취약점을 사용해 수집된 것으로 확인됐다. 해당 취약점을 통해 사람들은 전화번호와 이메일 주소를 API에 제출해 연결된 트위터 ID를 검색할 수 있었다. 해커는 해당 ID를 사용해 계정에 대한 공개 정보를 스크랩해 비공개 정보와 공개 정보가 모두 포함된 사용자 기록을 만들 수 있었다.

당시 트위터는 패치된 제로데이 취약점으로 인해 사용자 계정 정보가 유출됐다고 시인하며, 해당 취약점은 2022년 1월에 보고돼 수정했다고 밝혔다. 트위터는 "해당 버그는 2021년 6월 코드 업데이트로 인해 발생했다"며 "이에 대해 알게 된 즉시 조사하고 수정했으며, 당시에는 누군가가 취약점을 이용했다는 증거가 없었다"고 말했다.

유출된 데이터는 로그인 자격 증명에 대한 접근 권한을 얻기 위한 표적 피싱 공격에 사용될 수 있다. 블리핑컴퓨터는 트위터에서 온 것으로 추정되는 모든 이메일을 면밀히 조사하는 것이 중요하다고 강조했다. 또한 계정이 정지됐거나 로그인 문제가 생겼다는 이메일을 받고 트위터가 아닌 도메인에 로그인하라는 메시지가 표시된다면, 피싱 시도 가능성이 있기 때문에 해당 메일을 무시하고 그대로 삭제하라고 조언했다.

트위터는 이에 대해 아직 아무런 입장을 내놓지 않고 있다.