지난 7월 트위터 해킹 사건으로 유명 기업 및 개인 계정이 비트코인 사기 유도 트윗을 올리는 일이 있었지요. 수사기관은 해당 해킹을 주도한 17세 소년 등을 해당 혐의로 체포해 조사를 이어가는 중입니다.
해당 사건이 슬슬 기억에서 멀어질 무렵 트위터 공식 블로그에 중장기적 개선안과 더불어 WIRED에서 당시 상황을 취재한 기사를 내놨는데, 흥미로운 대목이 있어 소개하고자 합니다.
기사에 따르면 범인은 광범위한 피싱으로 트위터 내부 접근권한 있는 계정을 탈취한 후 우선은 짧은 사용자명(@xx 등)의 소유권을 가져가기 시작했다고 합니다. 이 단계에서는 아직 보안팀이 상층부에 보고할 수준은 아니라고 판단했는데, 이후 유명인과 대형 기업 공식 계정으로 비트코인 사기 트윗이 올라가기 시작하면서 CTO의 모든 연락수단으로 보고가 올라오기 시작했다고 합니다.
사건 후 취재로 널리 알려진대로 트위터 내부에서 보안 투자는 후순위로 밀렸기 때문에, 사건이 벌어지는 와중에도 어느 직원 계정이 유출되었는지 바로 파악할 수 있는 상황도 아니었다고 합니다. 그래서 임시방편으로 모든 공식 계정의 트윗을 정지시키는 극단적 선택을 한 뒤, 순차적으로 모든 내부 계정을 로그아웃시키기 시작했습니다.
그렇게 하고 나서, 보안 전문가들이 "무신용" 상태라고 부르는 환경에서 재로그인을 하도록 했습니다. CEO 잭 도시부터 시작해 조직도 순서를 따라 각 개인은 상급자와 영상통화를 한 상태에서 직접 비밀번호를 바꿔야 했습니다. 모두가 IT 부서에 줄 서야 하는 걸 COVID 시대에 인터넷에서 재현한 셈이죠. [최고기술책임자(CTO) 파라그] 아그라왈은 곧 모든 중역과의 통화에 참여하게 되었는데, 이는 대책 회의 때문이 아니라 서로의 본인 인증을 위해서였습니다.
트위터 전세계 데이터 보호 책임자인 다미엔 키레란은 "모든 사람을 신용할 수 없다는 전제를 깔아야 했습니다"라고 말했습니다. 각 매니저가 담당하는 모든 직원을 상대로 일련의 절차와 비밀번호 변경을 수행하게 했습니다.
하지만 외부 보안 전문가들은 이 정도 일로 전체 로그아웃을 시키는 극단적이라며 '시스템의 실패'라 비판했습니다. 해당 해킹 사건 이후 트위터는 너무 많은 권한을 지나치게 많은 이에게 부여했음을 인정하고 사건 직후 공언한 대로 내부 보안을 강화하며 직원에 대한 권한은 예전보다 줄이고 세분화하였습니다.
이미 2017년 퇴사 직원이 트럼프 미 대통령 계정을 독단적으로 비활성화한 사건이 있었음에도 권한 분리를 안일하게 대처했다는 게 눈에 띄네요. 여담으로, 적어도 대통령 계정 보안만은 해당 사고가 강화한 걸로 보입니다. 해킹 사건 발생 직후 취재에 따르면 대통령 계정은 '사고' 이후 별도의 보호 절차가 마련되었다고 했으니 말이죠.
가장 큰 변화 중 하나는 전 직원의 물리키 이중 인증 의무화입니다. 해킹 사건 전부터 물리 보안키를 배포하기 시작했지만 사건 후 속도를 높인 겁니다. 사고 후 몇 주 뒤에는 계약직을 포함한 트위터 전 직원에 보안키 사용이 의무화되었습니다. [...]
7월 15일 해킹 사건은 모든 위험을 리허설할수 없음을 보여주었습니다. 상상력의 한계를 극복하는 방법 중 하나는 구조적 변화입니다. 물리 인증키 배포와 더불어 트위터는 내부 교육 규정도 강화하였습니다. 직원은 모두 상세한 배경 체크를 거치게 되며 개인정보 보호와 피싱 예방 교육을 받아야 합니다. 그 와중에, 지난 7월 피싱에 걸린 직원에 대해서는 어떤 조치가 내려졌는지는 분명치 않습니다. 개인정보 보호와 미 법무부 조사를 방해하지 않기 위해서 회사는 이에 대해 함구하고 있습니다. 지금까지 해당 인원의 정체는 사내에서도 몇 명만 알고 있습니다.
이미 트위터 전 직원 중에서 사우디 아라비아에서 심은 첩자가 2015년부터 반정부 인사의 정보를 제공하고 잠적한 사례가 2019년 적발되기도 했으니, 이 또한 시스템 실패라고 할 수 있었네요.
We're seeing a number of accounts that have been locked or limited by mistake and not because they Tweeted about any particular topic. We're working to undo this and get those accounts back to normal.
— Twitter Support (@TwitterSupport) September 23, 2020
The accounts that were mistakenly locked or limited have been restored. We’re sorry this happened in the first place.
— Twitter Support (@TwitterSupport) September 23, 2020
If you're having trouble accessing your account, here's what you can do: https://t.co/lxCGYu2ZcO
기사에서는 두 달도 남지 않은 미국 대선을 앞두고 이뤄질 국가 단위 공작까지도 상정하고 있지만, 정작 이 홍보기사가 올라오기 직전에도 결격사유가 없는 계정을 차단하거나 사용 제한하는 사건이 있었죠. 그래서 본인들이 주장하는 보안 강화가 조금 빛이 바랜다는 생각도 지울 수 없습니다.