정보 · 테크 미국 유명인사들의 트위터 계정이 해킹당하다
지난 7월 15일 애플의 공식 트위터 계정이 해킹되어 피싱 게시글이 업로드되는 사건이 발생했습니다. 애플뿐만 아니라 일론 머스크, 제프 베이조스, 빌 게이츠, 칸예 웨스트, 조 바이든 부통령, 버락 오바마 전 대통령, 우버 등 많은 미국 유명인사와 기업의 공식 트위터 계정도 피해를 입었습니다.
해커는 탈취한 계정에 특정 BTC 지갑 주소로 암호화폐를 전송하면 전송한 양의 두 배 만큼을 다시 돌려준다는 게시글을 업로드 했는데, 이러한 방법은 예전부터 사용되어 온 전형적인 암호화폐 피싱 방법입니다. 다행히 피싱 방법이 잘 알려져 있었던 만큼, 트위터 공식 인증 마크가 붙어있는 유명인의 계정으로 피싱 게시글이 업로드 되었음에도 불구하고 속은 사람이 많지 않아 해커가 행사할 수 있었던 영향력에 비해 피해액은 약 12.9 BTC (28일 기준 약 1억 7천만원) 정도밖에 발생하지 않았습니다[1].
해커는 어떠한 방법으로 특정 계정을 해킹해 원하는 포스트를 업로드할 수 있었을까요? 또한, 해커는 왜 계정을 해킹한 후에 정교하지 않은 방법으로 수익화를 시도했을까요? 이번 사건과 관련하여 여러가지 의문점에 대해 다뤄보고자 합니다.
해커는 어떠한 방법으로 계정을 탈취할 수 있었을까?
조사 결과가 발표되기 전 트위터가 어떤 방법으로 해킹되었는지 다양한 추측들이 있었습니다. 2FA와 여러 보안요소를 갖추고 있었을 특정 계정을 목표로 취약점 공격을 통해 Account Takeover 혹은 제한적인 계정 권한 획득을 하려면 CSRF, XSS로는 충분하지 않습니다. 해당 유형의 취약점을 활용하려면 탈취할 계정의 사용자와 해커 사이의 상호작용이 있어야 하는데, 이번 사건과 같은 경우 유명인사 혹은 기업 공식 계정과의 상호작용이 성립될 가능성은 희박하기 때문입니다. 그리고 다수의 계정을 한 번에 탈취하기 위해서는 개개인에 대한 공격이 아닌, 트위터 서버에 대한 공격이 필요합니다.
따라서 이번 사건에서 해커는 트위터 서버를 공격해 목표 사용자와 상호작용 없이 공격을 할 수 있는 OAuth 취약점, IDOR 등을 활용했을 것이라 추측했습니다. OAuth 취약점은 최근 Microsoft Azure 등 주요 기업의 서비스에서 발견되기도 했으며, IDOR의 경우에는 ads.twitter.com에서 발생해 account id만 알면 제 3자가 임의 계정으로 게시글을 업로드 할 수 있는 취약점이 Hackerone을 통해 과거에 발견되어 제보되기도 했기 때문입니다[2].
이후 사건 발생 다음 날인 16일에 트위터는 자체 조사 결과를 발표했습니다[3]. 몇 명의 트위터 임직원을 대상으로 전화를 사용한 스피어 피싱 공격이 시도되었고, 처음 해킹된 임직원 A는 주요 회사 내부 시스템과 내부 관리 도구에는 접근 권한이 없었다고 합니다. 하지만 임직원 A의 권한으로 접근할 수 있는 다른 임직원에 대한 정보를 얻어 추가 공격을 진행해서 내부관리 도구에 접근했고, 내부관리 도구에서 제공하는 2FA 설정 여부에 상관없이 임의 계정의 패스워드 초기화를 할 수 있는 기능을 사용해 결과적으로 총 130개의 계정을 탈취했다고 합니다. 그 중 45개 계정에서 피싱 메시지가 업로드 되었으며, 36개 계정의 DM이 열람되었고 7개 계정은 트위터 데이터를 다운로드했다는 내용이었습니다.
추측과 달리 0day를 활용한 공격은 아니었지만 이는 내부자 공격 위협의 심각성을 보여주는 조사 결과였습니다.
해커는 왜 해킹으로 얻은 영향력을 제대로 활용하지 않았나?
이번 사건에서 인지도 있는 유명 정치인과 연예인의 계정을 탈취한 해커가 행사할 수 있었던 영향력은 무궁무진 했습니다. 예를 들어 탈취했던 조 바이든 미국 부대통령의 트위터 계정으로 요즘 미국과 마찰을 빚고 있는 중국이나 북한과 전쟁을 선포한다는 가짜내용을 포스팅했다면 일시적이라도 사회적 혼란을 조장하거나 주가를 하락시키는 등 큰 영향이 있었을 것입니다. 하지만 해커는 행사할 수 있었던 영향력을 범죄수익을 최대화하는데 사용하지 않았으며 대중에게 이미 잘 알려져있어 의심하기 쉬운 피싱 방법을 사용했습니다. 이에 해커가 영향력을 사용하지 않은 것인지 혹은 못한 것인지에 대한 의문이 든 해킹 커뮤니티에서는 해커가 택할 수 있었을 방법들에 대해 몇 가지 재미있는 아이디어를 제시하였는데요, 어떤 아이디어들이 있었을까요?[4]
주가 조작
만약 일론 머스크의 계정으로 과거 사례[5] 처럼 “주당 2,000달러에 $TSLA를 비공개 전환하겠다”는 내용을 포스트하고 사람들이 믿는다면 해킹이라고 밝혀지기 전까지 주가는 상승할 것입니다. 혹은 해킹 사실을 공개하고 트위터 주식을 공매도하는 등 해커는 다양하게 상황을 조작하며 주식매매를 통해서 큰 수익을 기대할 수 있을 것입니다. 하지만 주식거래는 익명으로 참여가 어려우므로 SEC(미국 증권거래위원회)의 모니터링에서 이상거래로 잡힐 가능성이 있습니다.
그렇다면 암호화폐를 사용할 수도 있습니다. 기업 계정으로는 특정 암호화폐를 공식적으로 채택해 사용하겠다는 내용을 발표하거나, 정치인의 계정으로 암호화폐의 규제를 해제하거나 강화하겠다는 등 잘못된 내용을 전파할 수 있습니다. 이후 주식과 같은 방법으로 해커는 적절한 포지션을 취해 이익을 얻습니다. 이상 거래를 적발하기 위해서는 전 세계의 모든 거래소를 조사해야 하므로 추적이 어려울 것입니다.
협박 혹은 제 3자에 정보 판매 및 사용
트위터 조사에 따르면 해킹당한 계정의 모든 기능에 접근 할 수 있었으므로 DM에도 접근할 수 있었을 것 입니다. 한국에서 발생했던 연예인의 클라우드 해킹 사건 때와 같이 정치인이나 기업인의 DM에서 내부자 정보 등 중요하거나 사적인 정보가 있다면 이를 공개한다며 협박하여 암호화폐를 거래하거나 언론인이나 경쟁국 정보기관 등에 판매하는 행위도 가능할 것입니다.
더 정교한 피싱
지금과 같이 알려진 방법이 아닌 만약 정교하게 웹사이트를 제작해 정당이나 기업 후원 혹은 새로운 사업에 대한 ICO를 진행한다며 해커의 계좌로 모금을 진행하는 등, 사람들이 쉽게 해킹당했음을 구분하기 힘든 방법으로 피싱을 했다면 피해액이 더 커질 수 있었을 것입니다. 하지만 웹사이트를 통한다면 Google의 Safe Browsing 등 다양한 피싱 방어 기술에 의해 빠르게 차단될 수 있습니다.
버그바운티
만약 소셜 엔지니어링이 아닌 취약점을 통해 권한 탈취에 성공했다면 트위터에서 진행하는 버그바운티에 responsible disclosure를 하는 선택도 있었을 것입니다. 범죄수익보다는 부족하다고 생각할 수 있지만, 합법적으로 보상금을 받을 수 있고 최대 $20,000까지 받을 수 있습니다.
결론
위에서 알아보았듯이 해커가 선택할 수 있는 방법은 많았기 때문에 해킹한 계정에 포스팅을 올린 것은 연막일 뿐이고 관심을 포스팅으로 집중시킨 뒤 다른 행위를 수면아래에서 하고 있지 않겠냐는 추측도 나오고 있습니다.
정리해보면 트위터의 경우 Hackerone 버그바운티 프로그램을 운영하며 취약점들에 대응하고 있었지만, 소셜 엔지니어링를 통한 내부자 공격으로 최초 해킹된 임직원으로부터 다른 임직원의 접근권한으로 피봇하는데 성공하여 내부 시스템과 관리 도구에 해커가 접근할 수 있어 발생한 사건이었습니다.
티오리에서 다양한 취약점 진단 프로젝트에 참여한 경험에 비추어 보았을 때, 외부 취약점에 대한 보안도 중요하지만 회사 내부의 적절한 권한 통제, 사내 자원 접근 시 2FA 인증 강제 등 내부자 공격에 대비한 보안도 중요합니다.
