Offcanvas

SNS / 보안 / 애플리케이션

트위터, 540만 계정 정보 유출 '인정'

2022.08.08 강옥주  |  CIO KR
540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다. 

8월 5일(현지 시각) 트위터는 이를 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을 악위적인 행위자가 활용했으며, 이를 통해 수집한 정보를 판매하려 했다"라고 밝혔다. 
 
ⓒGetty Images Bank

트위터에 따르면 해당 제로데이 보안 취약점은 2021년 6월 코드 업데이트로 발생했다. 이를 악용하면 전화번호나 이메일 주소를 입력해 이 정보가 트위터 계정과 연결돼 있는지, 만약 그렇다면 어떤 계정과 연동돼 있는지 알 수 있었다고 회사 측은 설명했다. 

이어 트위터는 해당 보안 취약점이 해커원(HackerOne) 버그 현상금 프로그램을 통해 보고된 이후 즉각 조사에 착수해 수정했으며, 당시에는 취약점이 악용됐다는 증거가 없었다고 발표했다. 

하지만 지난 7월 블리핑 컴퓨터(Bleeping Computer)는 악의적인 행위자가 이 취약점을 악용해 총 548만 5,636개의 트위터 사용자 계정 정보를 수집했으며, 다크웹에서 이를 미화 3만 달러에 판매하고 있다고 보도했다. 이에 트위터는 "판매 데이터 샘플을 검토한 결과, 보안 업데이트가 이뤄지기 전에 악의적인 행위자가 이를 악용해 정보가 유출된 것으로 보인다"라고 전했다. 

트위터는 "영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있다"라며, "최대한 신원을 노출하지 않으려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 게 좋다. 비밀번호가 노출되진 않았을지라도 모든 트위터 사용자는 인증 앱 또는 하드웨어 보안 키를 사용해 2단계 인증을 활성화하여 무단 로그인으로부터 계정을 보호할 것을 권장한다"라고 말했다. ciokr@idg.co.kr 
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.