Jerry's BLOG

트위터의 보안 위협과 피해 예방법

최근 국내에도 140자 이내의 짧은 메시지로 자신의 생각을 남기는 트위터(Twitter.com) 사용자가 점차 늘어나고 있다. 특히 오바마 대통령, 김연아 선수 등 유명인사들도 사용한다는 것이 알려진 이후 그 사용자가 급격하게 증가하는 추세이다. 또한 언론에서도 트위터를 사용하는 유명인사들의 발언을 인용하여 기사를 쓰는 사례도 증가하고 있다. 트위터 덕분에 필자는 영화배우 박중훈이 현재 미국에 있으며 의도하지 않게 과식을 했다는 소식을 알 수 있었다. 이전엔 언론을 통해 기사화된 내용만 알 수 있었지만 지금은 트위터를 통해 유명 영화배우가 하는 이야기를 직접 들을 수 있으며 또한 나의 목소리를 전할 수도 있다.

트위터가 어떠한 서비스인지 알아보고 그로 인해 발생할 수 있는 보안상 위험 요소에는 어떤 것들이 있는지 살펴보자.


그림 1 트위터(twitter.com) 메인 페이지

트위터는 마이크로 블로그?
트위터는 그림, 음악, 동영상 등등 다양한 미디어를 이용하여 작성하는 기존의 블로그(Blog)와는 달리 140자 이내의 글자만 기록할 수 있어 마이크로 블로그라 부른다. 마이크로 블로그는 외형만 보면 오히려 시대에 역행하는 듯 하지만 내부를 살펴보면 다양한 휴대용 기기에서 손쉽게 접근 가능하고 활용할 수 있는 큰 장점이 있다. 인터넷만 되는 곳이면 언제 어디에서도 자신의 생각을 다른 사람들에게 전달할 수 있고 또 다른 사람들의 생각을 들을 수 있다. 또한 트위터는 “Follow”라는 시스템을 사용한다. 다른 사람이 쓴 글을 실시간으로 읽고 싶으면 그 사람에게 “Follow”하면 된다. 상대방의 허락 여부와는 상관 없이 그 사람이 쓴 글은 나의 트위터 홈페이지(Home)에서 실시간으로 확인 가능하다. 반대로 다른 사람이 나에게 “Follow”하면 내가 쓴 글들이 그 사람들(Followers)에게 실시간으로 전달이 된다. 이런 특이한 시스템으로 인해 단순한 마이크로 블로그를 벗어나 또 하나의 강력한 대중 매체가 될 수 있다. 이 글을 쓰는 시점에서 한국의 대표적인 피겨 스케이트 선수인 김연아 선수의 “Followers”를 보면 39558명이다. 김연아 선수가 트위터에서 한마디 하면 39558명이 동시에 그 소식을 접한다는 말이 된다. “Follower” 수만큼 시청자를 가진 매체가 될 수 있다는 이야기가 된다. 그리고 접근성 또한 매우 높은데 인터넷에 연결된 컴퓨터는 물론이고 인터넷 접속이 가능한 휴대기기를 통해서도 접근이 가능하다. 한국에선 정상적으로 제공되지 않지만 외국의 경우 휴대폰의 SMS(Short Message Service)를 통해서도 트위터를 사용할 수 있다. 이런 트위터를 잘 활용하면 누구나 자신의 막강한 소셜 네트워크(Social Network)를 구축할 수 있으며 이런 소셜 네트워크가 모이고 모여 또 하나의 가상 사회로 발전해 나가고 있다. 트위터는 다른 서비스에서는 볼 수 없었던 다양한 문화(Follow 문화, 해시태크(#), RT 등등)들이 존재한다. 이들 문화는 트위터를 서비스하는 회사에서 제공하는 것이 아닌, 트위터를 사용하는 사용자들끼리 스스로 만들어낸 문화이다.
트위터는 단순한 블로그가 아닌 또 하나의 매체이며 또 하나의 가상 사회가 되고 있다.

양날의 칼이 될 수 있는 트위터
트위터는 우리에게 다양한 소식과 재미를 줄 수 있다. 하지만 이를 악용할 수 있는 요소 또한 존재하는데 이를 유형별로 살펴보면 다음과 같다.

- 유명인사 사칭
트위터는 실제 사용자 인증을 하지 않고 이메일(E-Mail)을 이용해 계정을 생성하고 사용할 수 있다. 이런 점을 악용해 유명인사를 사칭한 사례가 종종 발견되고 있다. 가수 손담비와 정치인 허경영을 사칭해 만든 트위터가 대표적인 예다. 이로 인해 직접적인 피해는 발생하지 않았지만 거짓된 소식등을 유포할 경우 당사자의 신뢰도에 문제가 생길 수 있으며 당사자의 사회적 영향력에 따라 그 파급 효과 또한 무시할 수 없다.

- 스팸(Spam)
스패머(Spammer – 사용자 동의 없이 전자 메일등 다양한 수단으로 광고를 전송하는 사용자)가 트위터를 개설한 후 불특정 다수의 사용자들에게 Follow를 맺어 방문을 유도하는 방법이다. 누군가 나에게 Follow를 맺으면 그 사람을 알기 위해 해당 사용자의 트위터를 방문한다는 점을 악용한 것이다. 트위터는 140자 제한으로 인해 긴 인터넷 주소를 짧게 줄여주는 서비스들이 존재한다. 이런 서비스들이 편리함을 주지만 동시에 광고나 기타 악성코드 배포에 직접적으로 사용될 수도 있다. 트위터에 야한 여자 사진을 가진 사용자들이 Follow를 맺는 경우가 많은데 방문하면 작성된 글마다 짧은 인터넷 주소를 가진 글들만 작성해 놓고 클릭을 유도한다. 방문을 해보면 불법 의약품 판매, 악성코드 배포 등 다양한 악의적인 행위를 한다.
 

그림 2 스패머(Spammer)의 트위터 게시물

트위터는 내부적으로 링크된 웹 페이지에서 악성코드가 발견되면 이를 사용자에게 알려주고 링크를 삭제하는 자체 시스템을 가동하고 있다. 하지만 이를 차단하는 기술이 발전함에 따라 우회하는 기술 또한 발전하게 된다. 또한 짧은 주소 등으로 실제 악의적인 인터넷 주소가 숨겨져 있거나 수 차례 리다이렉션(Redirection)된 페이지에서 배포되는 악성코드를 모두 추적해 확인 하는 데는 한계가 있다. 아무리 잘 만들어진 기술이라도 100% 완벽한 차단은 어려울 것으로 생각된다.

그림 3 트위터내 악성코드 링크를 경고하고 삭제하는 안내문

- 허위 정보 유포
얼마 전 안철수연구소장을 사칭해 허위 사실이 메신저를 통해 유포된 적이 있었다. 실제 안철수연구소에서는 이런 발표를 한적도 없는데 메신저를 통해 짧은 시간에 다수의 사용자들에게 유포가 되어 진위 여부를 확인하는 지인들의 연락을 받았었다.

그림 4 메신저를 통해 유포된 허위 정보

이로 인한 직접적 피해는 발생하지 않았지만, 이렇듯 진위 여부가 확인되지 않은 허위 정보가 얼마든지 다수에게 유포될 수 있다는 것을 알 수 있었다. 트위터는 매우 빠르게 다수의 사용자들에게 소식을 전할 수 있는 매우 강력한 매체이다. 이런 점을 이용해 악의적인 허위 정보가 유포된다면 이를 통제하기도 매우 어렵고 또한 불필요한 불안감을 조성할 수도 있다. 정보 전달의 순기능이 의도하지 않게 악의적인 목적으로도 사용될 수 있다.

- 트위터 계정 해킹
아직 실 사례는 보고되지 않았지만 상당히 우려되는 부분이다. 일반적인 사용자들은 아이디와 비밀번호를 동일하게 사용하는 경우가 많다. 따라서 보안이 취약한 다른 사이트 한 곳이라도 계정 정보가 유출 된다면 이는 곧 보안을 잘 유지하는 서비스의 계정 또한 위험하다는 말이 된다. 트위터 또한 예외일 수 없다. 가정이긴 하지만 유명인사로 공인된 계정이 해킹된다면? 그리고 해킹한 사람이 악의적인 마음을 가지고 여론 조작이나 기타 악의적인 행위를 한다면? 유명인사의 트위터는 그 유명인사의 신뢰도를 바탕으로 운영되는 곳이기 때문에 파급 효과는 미루어 짐작하기 조차 어려울 것이다.

- 휴대용(모바일-Mobile) 기기 해킹
트위터는 컴퓨터 이외 휴대용 기기에서도 많이 사용하고 있다. 이들 휴대용 기기의 웹브라우저 프로그램에 취약점이 존재하는 경우 해당 기기의 해킹과 직결된다. 감염 경로 확보에 어려움을 겪던 휴대용 기기들도 트위터라는 범용적인 서비스를 이용하면 보다 손쉽게 악성코드를 배포할 수 있다.

- 트위터 파생 서비스
트위터는 140자라는 글자 제한으로 인해 이를 해소하기 위한 다양한 서비스들이 등장하고 있다. 또한 트위터 사용을 도와주는 다양한 클라이언트 프로그램들이 존재한다. 이들 프로그램은 보다 편리하게 트위터를 사용하게 도와주며 트위터에선 불가능 했거나 기능적 제한을 가지고 있는 부분을 해소할 수 있어 큰 인기를 얻고 있다. 하지만 이런 점을 악용해 개인 정보 유출이 시도될 수 있다. 실제 인기 있는 글로벌 메신저 서비스의 경우 자신을 삭제한 친구 리스트를 확인해 준다는 피싱 사이트를 개설해 놓고 사용자의 아이디와 비밀번호를 입력 받는 사례가 지속적으로 발견되고 있다. 또한 이렇게 수집된 정보를 이용해 스팸 메일 발송, 금전 요구 등 악의적인 방법으로 사용되고 있고 실제 피해 사례도 발견되고 있다. 트위터 또한 현재의 인기를 감안할 때 충분히 가능성이 있다.

이런 보안 위협을 예방하기 위해서는 몇 가지 신경 써야 할 사항이 있다.

첫째, 트위터는 기본적으로 웹(Web)을 통해 서비스되고 있어 보안 취약점이 있을 경우 악성코드 감염으로 이어질 수 있다. 따라서 트위터 접속 전 가능하면 자신의 운영체제와 웹브라우저의 보안 패치를 모두 완료하는 것이 좋다. 또한 가능하면 신뢰할 수 있는 컴퓨터 보안 제품을 사용하고 최신 버전의 엔진을 유지하고 실시간 감시를 사용하는 것이 바람직하다. 또한 휴대용 기기도 보안 패치가 발표되는지 살펴보고 이를 가능한 빨리 적용하는 것이 좋다.

둘째, 트위터에 글을 작성할 때 휴대폰 번호와 같이 개인 정보가 포함되지 않는지 확인해야 한다. 트위터는 그 특성상 Direct Message를 제외하면 모든 글들이 공개되어 있다. 따라서 개인 정보가 노출되어 수집될 경우 악의적으로 사용 가능할 수 있으므로 주의 해야 한다. 또한 다른 사람의 사생활이나 관련 사항을 언급할 경우 이 또한 문제가 될 수 있다. 실제 외국의 경우 트위터에 남긴 짧은 메시지로 인해 5만 달러 손해 배상 소송이 진행되고 있다.

셋째, 파생서비스 사용시 특별히 주의를 해야 한다. 가급적 새로 생긴 파생 서비스의 경우 바로 사용하지 말고 검증된 후 사용하는 것이 좋다. 또한 파생서비스 사용 시 지나치게 개인 정보 입력을 요구 한다면 사용 하기에 앞서 한번 더 생각해 보고 주위의 평가를 충분히 알아본 후 사용해야 한다. 서비스 제공 보단 개인정보 수집이 목적일 수 있기 때문이다.@