Offcanvas

CSO / 보안 / 분쟁|갈등 / 소비자IT

“트위터, 데이터 유출 사건 내막 밝히고 책임져야” 보안전문가 경고 잇달아

2023.01.09 Cynthia Brumfield  |  CSO
트위터가 최근 들어 수억 명의 사용자 데이터를 탈취당했다는 혐의를 여러 차례 받고 있다. 명백한 증거가 발견된다면 유럽연합 규제당국이 트위터의 유럽 운영 자체를 중단시키는 최악의 상황까지 치닫을 수 있다. 전문가들은 트위터가 그전에 먼저 나서 사건의 내막을 속속들이 파악하고 사실을 투명하게 밝혀야 한다고 경고했다. 
 
ⓒGetty Images Bank

일론 머스크가 10월 말 트위터를 인수하고부터 끊임없는 논란에 휩싸였다. 대규모 해고부터 CEO직 사임까지 머스크의 기이한 행보로 인해 트위터의 평판이 크게 훼손됐다. 여기에 더해 최근 1년 동안 대규모 사용자 정보 유출 사건에 여럿 연루되면서 회사가 더더욱 나락에 빠질 수 있다는 경고의 목소리가 커지고 있다. 

작년 12월 트위터는 사용자 540만 명의 개인정보를 탈취당했다는 혐의로 유렵연합(EU)의 조사를 받기 시작했다. 하지만 트위터나 일론 머스크는 아직도 데이터 유출에 대한 공식 입장을 밝히지 않았다. 전문가들은 트위터가 앞장서 규제당국에 모든 정보를 공유하고 이용자에게 데이터 유출 현황에 대해 투명하게 알리지 않으면 회사 운영과 매출에 큰 타격을 받을 것이라 경고했다. 
 

트위터 데이터 유출 사건 타임라인 

다크웹에서 불법으로 판매되는 데이터처럼 트위터의 데이터 유출 현황은 불투명한 상태다. 지난 7월 ‘데빌(Devil)’이라는 닉네임의 위협행위자가 트위터 계정 540만 개의 전화번호와 이메일 주소를 3만 달러의 가격으로 데이터 포럼에 판매한 것이 사건의 시작이었다. 데빌은 2022년 1월 1일 트위터의 취약점을 악용해 이 데이터 탈취했다고 주장했다.

안드로이드 사용자가 노출됐던 이 취약점을 악용하면 공격자는 사용자 승인 없이도 전화번호 및 이메일 정보를 요청해 트위터 ID를 탈취할 수 있다. 데빌이 판매 글을 게시한 지 한 달이 지나서야 트위터는 해당 취약점을 인정했으며 피해를 본 사용자에게 연락을 취하겠다고 전했다

이어 540만 개의 사용자 데이터가 11월 27일 무료로 풀렸으며, 이에 더해 트위터 사용자 1,700만 명의 데이터로 추정되는 별도의 데이터베이스가 11월 비공개로 유포됐다는 사실이 밝혀졌다. 

그러던 중 12월 말, 이스라엘 사이버 범죄 정보 업체 허드슨 록(Hudson Rock)의 공동설립자이자 CTO인 알론 갈은 데이터 범죄 포럼에서 ‘류시(Rhyshi)’라는 사용자가 트위터 사용자 4억 명의 이메일과 전화번호를 판매하겠다고 올린 게시물을 발견했다고 전했다. 또 다른 위협행위자가 트위터 사용자 2억 3,500만 명의 데이터베이스를 무료로 배포하겠다고 밝히자 갈은 두 데이터베이스 중 겹치는 계정이 있을 것이라 말했다. 이 정도 규모의 데이터 유출은 “전례를 찾아볼 수 없는 일”이라고 그는 말했다

그는 두 위협행위자의 판매 글을 바탕으로 유출된 계정의 수가 4억개가 아닌 2억 3,500만 개일 것이라 추정했다. 또한 해당 데이터가 트위터 사용자의 이메일 주소와 공개 프로필 정보를 포함하지만, 전화번호는 없을 것이라 덧붙였다. 물론 알려지지 않은 트위터 사용자의 전화번호 데이터베이스가 다크웹에 떠돌아다니고 있을 가능성도 있다.

데이터 유출 추적 사이트 ‘HaveIBeenPwned’를 운영하는 트로이 헌트에 따르면 유출된 이메일 주소의 수는 2억 1,150만 개에 달한다. 지난 4일 또 다른 위협행위자가 트위터 프로필 2억 개로 이뤄진 데이터 세트를 판매하고 있다는 사실이 드러났다. 
 

유출된 계정에 유명 연예인도 포함 

연말연시와 새해 직후 영국, 인도, 호주 등 유명 연예인들의 계정이 해킹당한 사실이 알려졌다. 해킹된 프로필 중에는 영국의 TV 진행자 피어스 모건, 영국 교육부 장관 길리언 키건, 북아일랜드 장관 크리스 히튼-해리스, 미국의 팝가수 가수 에드 시런, 인도 TV 스타 살만 칸 등이 있다. 

허드슨 록 CTO 갈은 유명인의 프로필과 다크웹 데이터 판매자 류시가 올린 샘플 파일 사이에 연관성이 있다고 생각한다. 그는 “우연이 아닐 가능성이 크다. 해커가 류시가 판매한 데이터의 이메일을 사용해 유명인 계정의 비밀번호를 알아내거나 소셜 엔지니어링에 이용했을 수 있다”라고 말했다
 

보안전문가들의 경고··· "잘못 했든 안했든 책임져야"

트위터의 데이터 유출 사건에 대한 상반된 보도가 계속되면서 사이버보안 전문가들은 머스크가 사태 수습에 적극적으로 나서야 한다고 입을 모아 말했다. 사이버보안 저널리스트 브라이언 크렙스는 트위터에서 “@elonmusk, 이제 미디어/커뮤니케이션 팀도 없는 것 같은데 이제 누군가가 트위터 계정 수억 개를 탈취해 판매하고 있다는 소식에 대해 대응해야 하지 않겠는가? 당신의 지휘하에 벌어진 일이 아니라도 책임져야 한다”라고 말했다

갈은 “트위터가 아직 데이터 유출에 공식적으로 대응하지 않았다는 점은 부끄러운 일이다. 하루빨리 사태 수습에 나서 사용자에게 위험성을 알려야 한다”라고 말했다. 그는 “일단 트위터 사용자는 얼른 비밀번호를 바꾸고 피싱 공격에 주의해야 한다”라고 당부했다. 

미국 로펌 코헨 밀스턴(Cohen Milstein)의 소비자 보호 파트너 더글러스 J. 맥나마라는 트위터가 이 사안에 “관여해 검토했을 것”이라고 추정한다. 그는 회사가 단지 이를 “공식적으로 밝히지 않았으며, 밝히고 싶어 하지 않을 것”이라고 말했다. 

미국의 법을 따지면 상황은 더 복잡해진다. 그는 “어떤 사용자의 정보가 포함됐는지, PII(개인 식별 정보)가 있는지에 따라 법 준수 여부는 달라진다. 법적으로 소비자에게 알려야 한다고 명시되어 있는 PII가 유출된 데이터에 포함되어 있는지에 위법 여부가 달려있다”라고 말했다. 

하지만 그는 여전히 순전히 경영의 차원에서 봤을 때 트위터가 깔끔하게 사실을 밝히는 것이 제일 바람직하다고 전했다. 그는 “내가 만약 정말 고객을 생각하는 회사의 수장이었다면 정말 데이터가 유출됐는지 확인하고 사용자를 안심시키는 걸 우선으로 삼았을 것이다”라며 “데이터 유출 사건이 머스크가 트위터에 부임하기 전에 일어났든 후에 일어났든 상관없이 책임져야 한다”라고 말했다. 맥나마라는 “회사를 인수했다는 건 모든 책임을 떠안는 것과 마찬가지다”라고 덧붙였다. 
 

EU의 ‘GDPR 칼날’ 피하기 힘들 것 

트위터가 미국의 모호한 데이터 침해 주법 덕분에 책임을 회피할 수 있더라도, 유럽 당국의 규제 칼날을 피하긴 힘들 전망이다. 유럽 규제당국은 트위터의 데이터법 위반을 판단하는 데 훨씬 더 많은 위법 사항을 적용할 수 있다.  

2022년 12월 23일 트위터 데이터 침해 사건이 보도되기도 전 아일랜드 데이터 보호 위원회(Data Protection Commission, DPC)가 540만 명의 데이터 유출 사건에 대한 조사에 착수했다. DPC는 트위터가 당국의 질의에 응했으며 EU의 GDPR 규정 중 한 개 이상을 위반했다고 주장했다. 

버클리 리서치(Berkeley Research)의 전무 이사 겸 부총무 에이미 월리는 “GDPR의 데이터 침해 보고 요구 사항은 매우 엄격하다. 데이터 침해에 대한 정의도 넓다. 특히 미국 법에 비하면 훨씬 더 포괄적이다”라고 말했다. 

그는 “GDPR의 위법 여부는 미국과 같이 소비자의 재정적 손실에 초점을 맞추지 않는다. 개인정보는 유럽에서 기본적인 인권으로 여겨져 데이터 유출 사건은 시민의 권리와 자유의 문제다”라고 덧붙였다. 

GDPR에 따르면 기업은 데이터가 유출됐다는 사실을 발견한 뒤 72시간 안에 해당 사실을 보고해야 하며, 영향받은 사용자의 수를 파악해 보고하는 데 총력을 다해야 한다. 월리는 “만약 기업이 이런 요구사항을 무시하면 큰 곤경이 빠질 것”이라고 말했다. 법에 따르면 GDPR을 위반한 기업은 최대 전체 매출의 4%에 달하는 벌금을 물을 수 있다.

최악의 상황은 명백한 위법 증거가 발견될 시 유럽연합이 트위터의 유럽 운영 자체를 중단하는 것이다. 월리는 “유럽연합은 트위터 유럽이 유럽 시민의 데이터를 다루는 것 자체를 금지할 수 있으며, 나라 간 데이터 이전을 막을 힘을 가지고 있다”라고 말했다. 

그는 트위터나 혹시라도 비슷한 상황에 처할 수 있는 조직에게 다음과 같은 조언을 전했다: “하루빨리 사태를 파악해야 한다. 중점은 데이터 유출이 사용자의 개인 정보 보호 권리와 자율성을 침해했는지 검토하는 것이여야 한다. 그게 바로 EU가 위법 여부를 판단하는 기준이다. 단지 금전적 손실이 아니다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.