인스타그램 ‘스레드’가 비즈니스에 위협이 되는 이유

지난 7월 출시된 메타의 스레드(Thread)는 인스타그램을 텍스트 기반 SNS로 확장한 서비스다. 인스타그램을 사용하는 기업을 포함한 신규 사용자가 급증하면서 큰 호응을 얻었다. 

사용자는 인스타그램 계정을 통해 스레드에 로그인해 최대 500자의 글과 최대 5분 길이의 링크, 사진, 및 동영상을 게시할 수 있다. 첫 2주 동안 1,000만 건 이상의 사이트 트래픽을 기록했으며, 글로벌 웹사이트 순위가 54만 5,741위에서 5,813위로 급상승했다. 많은 사람이 엑스(X, 구 트위터)의 대안으로 여겼다.
 

인스타그램 스레드에 대한 호기심은 매우 높다. 그러나 스레드는 사기 및 악용 도구가 되고 있기도 하다. 여기서는 기업에서 고려해야 할 스레드 관련 보안 위험을 정리했다.

도메인 사기 및 브랜드 남용

CSC의 조사에 따르면, 2023년 6월 26일부터 7월 27일 사이에 ‘스레드’라는 용어를 사용한 428건의 신규 도메인이 등록됐다. 이 중 상당수는 기존 브랜드와 관련 있는 것으로 나타났다. 이는 기업이 도메인 활동을 모니터링해 스레드에서 어떤 등록이 승인되고 어떤 것이 진짜인지, 브랜드가 남용될 위험은 없는지 파악해야 할 필요성을 시사한다. 브랜드 남용에는 사칭과 해킹이 포함된다. 

보안 업체 베리티(Veriti) 역시 매일 스레드와 관련된 도메인이 700개가량 등록되는 등 의심스러운 도메인 생성이 급증한 것을 발견했다. 이런 도메인은 사용자를 속이고 맬웨어를 배포하며 의심하지 않는 개인이 신뢰할 수 없는 버전의 앱을 다운로드하도록 유도하는 데 악용될 수 있다. 

CSC는 “새로운 도구나 기술을 도입할 때처럼 기업은 위험을 주도적으로 파악하고 필요한 보안 조치를 고려한 후 일관된 사용 정책을 마련해야 한다”라고 말했다. 사이버 범죄자는 스레드와 같은 온라인 플랫폼은 먼저 공격하기 때문에 기업은 전체 도메인 환경을 파악하고 등록 시점에 익스플로잇과 침해를 원천적으로 차단하기 위한 사전 조치를 취하는 것이 중요하다고도 덧붙였다. 

악성 URL 및 맬웨어 다운로드에 악용

유명 제품은 악의적인 공격자의 관심을 끌기 마련이다. 스레드도 예외는 아니다. DNS필터(DNSFilter)의 수석 위협 연구원 알렉산더 애플게이트는 “스레드는 출시 첫 주에 1억 명 이상의 사용자를 끌어모았다. 챗GPT를 제치고 가장 빠르게 이런 기록을 달성한 앱이다. 하지만 출시 첫 주에 연구원들은 스레드와 관련된 의심스러운 URL을 2억 개가량 발견했다”라고 말했다.

이런 위협이 앱스토어의 울타리를 뚫고 들어올 가능성은 낮지만, 애플게이트에 따르면 대부분 맬웨어 다운로드를 유도하는 악성 링크였다. “나머지 링크는 스레드에 대한 보안 검토 상태가 낮다는 점과 사용자의 신뢰를 악용해 맬웨어를 배포하는 게시물을 올리도록 유도하려고 했다”라고 설명했다. 
 

 
의도하지 않은, 혹은 악의적인 데이터 유출

직원이 공식적인 커뮤니케이션이나 민감 데이터를 공유하는 데 스레드를 사용하는 경우, 데이터가 의도치 않게 유출될 위험이 있다. 겐터는 “개인적인 대화에 사용하더라도 회사 프로젝트, 전략 또는 내부 소문이 유출될 수 있다”라고 지적했다. 

스레드에는 위치 공유 기능이 있는데, 직원이 부주의하게 사용할 경우 민감하거나 전략적인 비즈니스 위치 데이터가 노출될 수 있다. 또한 다른 클라우드 서비스처럼 스레드에서 공유된 콘텐츠는 서비스 제공업체가 관리하는 서버에 저장된다. 암호화되어 있더라도 해당 데이터가 어떻게 사용될 수 있는지, 누가 액세스할 수 있는지에 대한 우려는 항상 존재한다.

또한 인스타그램 DM(Direct Message), 더 나아가 스레드는 기본적으로 메시지에 E2E 암호화를 적용하지 않는다. 겐터는 “이는 인스타그램과 인스타그램의 시스템을 손상시킬 수 있는 모든 사람이 메시지에 잠재적으로 액세스할 수 있다는 의미”라고 강조했다. 

공유된 크리덴셜 및 계정 탈취

스레드는 사용자의 인스타그램 계정과 통합되기 때문에 가입이 쉽다. 하지만 보안업체 애자일블루(AgileBlue)는 원활한 통합은 보안 위험을 초래할 수 있다고 지적한다. 인스타그램, 페이스북, 스레드는 모두 메타의 소유이며, 대부분 사용자가 동일한 로그인 자격 증명을 플랫폼 간 공유한다. 

애자일블루는 블로그에서 “하나의 계정에만 액세스하면 궁극적으로 모든 메타 계정에 액세스할 수 있으므로 악의적인 공격자는 정보에 훨씬 쉽게 접근할 수 있다”라고 지적했다. 실제로 스레드 계정은 인스타그램 가입자만 만들 수 있으므로, 개인이 스레드에 가입하려면 먼저 인스타그램 계정을 만들어야 한다.

겐터는 “직원의 스레드 계정이 유출되면 악의적인 공격자가 해당 직원을 사칭해 정보를 수집하거나 주변에 잘못된 정보를 퍼뜨릴 수 있다”라고 덧붙였다.

개인정보 보호 및 규정 준수 문제

겐터는 특정 규정을 준수해야 하는 기업에서는 직원들이 업무 관련 문제로 스레드와 같은 개인용 앱을 사용하는 것이 어려울 수 있다고 말한다. EU처럼 개인정보 보호법이 엄격한 지역이 대표적이다. 소비자 개인정보 보호와 관련한 EU의 규제는 다른 국가보다 훨씬 엄격하다. 하지만 스레드에 대한 엄격한 조사는 미국 및 기타 국가로 확대되고 있다.

애자일블루는 블로그에서 “스레드 모회사인 메타는 사용자 개인정보를 취급할 때 ‘불공정하거나 기만적인’ 관행을 금지하는 2012년 FTC 명령에 따라야 한다. 인스타그램과 스레드 계정 간 강제 연결로 인해 사용자가 데이터 프라이버시에 대한 적절한 통제권을 상실하거나 데이터 보안을 보장하기 위해 부담되는 추가 조치를 취해야 하는 경우, FTC 명령 위반으로 간주될 수 있다”라고 설명했다. 스레드가 다른 SNS 플랫폼보다 더 많은 사용자 데이터를 수집한다는 점을 고려하면 스레드 사용 시 발생할 수 있는 법적 영향과 사용자의 개인정보 보호 권리를 보장하는 것은 매우 중요하다.

애플게이트는 “가장 먼저 우려되는 것은 개인정보 보호에 대한 메타의 과거 행적인데, 스레드도 예외는 아니다. 애플리케이션을 사용하지 않을 때도 위치 추적 정보, 소셜 네트워킹 데이터, 금융 데이터 등 모든 종류의 개인 데이터에 대한 액세스를 요구한다”라고 말했다.

피싱 및 취약점 노출

모든 메시징 플랫폼은 피싱 메시지를 전달하는 데 사용될 수 있으며 취약점에 노출되기 쉽다. 겐터는 “직원들은 악성 링크를 받거나 민감한 정보를 공유하도록 할 수 있다”라고 설명했다. 스레드가 인스타그램과 연결되어 있기 때문에 한 앱에서의 취약점 악용이나 데이터 유출이 다른 앱에 영향을 미칠 수 있다. 또한 취약점을 악용해 연락처 및 위치 액세스 권한처럼 스레드에서 요청하는 권한을 악용할 수 있다. 

스레드, 안전하게 사용하려면…

겐터는 기업에서 스레드를 안전하게 사용할 수 있도록 직원 교육, 정책, 모니터링을 함께 시행할 것을 권한다. “직원들은 업무적인 목적으로 개인용 메시징 앱을 사용할 때 발생할 수 있는 위험에 대해 알고 있어야 한다. 정책에는 업무용 기기에서의 개인 앱 사용에 관한 명확한 지침이 명시돼 있어야 하고 모니터링 도구는 미승인 앱이나 활동을 감지해야 한다”라고 강조했다. 

애플게이트는 사이버 괴롭힘에 사용될 수 있는 쪽지 기능이 스레드에 없다는 점과 광고가 없어 멀버타이징 및 기타 광고 기반 사기 위협에서는 안전하다고 말했다. 이어 “초기의 열기도 상당히 식은 것 같고 플랫폼 가입자가 절반 정도 줄어든 것으로 보인다. 사용자가 줄면 위협 그룹의 관심도 줄어들기 마련이다”라고 덧붙였다.
editor@itworld.co.kr