지난 5일(현지 시간) 로이터 통신(Reuters) 보도에 따르면, 한 위협 행위자가 ‘바빌드(Vaviled)’ 온라인 해킹 포럼에 2억 명 이상의 트위터 사용자 이메일 주소를 대략 2 달러로 공개했다. 유출된 메일은 모두 실제 유효한 상태인 것으로 확인됐다.
지난해 7월부터 위협 행위자들은 다양한 온라인 해커 포럼과 사이버 범죄 시장에서 트위터 사용자 프로필의 대규모 데이터셋을 판매하고 유통해 왔다. 데이터에는 개인 전화 번호와 이메일 주소처럼 비공개 데이터도 포함돼 있지만 트위터 상에서 쉽게 볼 수 있는 공개 데이터도 포함됐다.
해당 데이터셋은 트위터 API 취약점을 악용해 스크랩된 데이터 모음집이다. 당시 사용자가 이메일 주소와 전화번호를 입력하면 관련 있는 트위터 ID를 확인할 수 있는 API 취약점이 이용됐다.
그런 다음 위협 행위자들은 다른 API를 사용해 트위터 사용자의 ID에 대한 공개 데이터를 긁어내고 이 공개 데이터와 개인 이메일 주소나 전화 번호와 결합해 트위터 사용자들의 프로필을 만들었다.
해당 취약점은 지난해 1월 이미 수정됐기 때문에 현재 위협 행위자들이 이용할 수 없다. 하지만 최근 여러 위협 행위자들이 당시 이용할 수 있었던 취약점을 기반으로 수집한 데이터셋을 무료로 유출하기 시작했다.
지난해 7월, 트위터 사용자 540만 명의 데이터셋이 3만 달러(한화 3729만 원)에 판매됐고 이후 11월에 무료로 공개됐다. 그리고 11월에는 1700만 명의 트위터 사용자 데이터가 포함된 다른 데이터셋이 비공개로 유통됐다.
그리고 최근에 한 위협 행위자는 당시 취약점을 사용해 4억 명의 트위터 프로필이 포함된 데이터셋을 판매하기 시작했다. 이번에 유출된 데이터셋은 지난 11월에 유통된 4억 명의 데이터셋과 동일하다. 그렇지만 위협 행위자가 중복이 없도록 정리해 총 2억 160만 명의 데이터가 포함됐다. 미국 IT 전문매체 블리핑 컴퓨터(Bleeping Computer) 보도에 따르면, 블리핑 컴퓨터는 이번에 유출된 데이터에도 중복이 존재하는 것으로 확인했다고 밝혔다.
이번에 공개한 데이터는 총 6개의 텍스트 파일(.txt)로 구성됐으며 크기는 59GB다. 텍스트 파일의 제목명은 ‘Hits’로, 3번부터 9번까지 존재한다. 각 파일들을 아카이브(.rar) 파일로 묶어 배포하고 있다. RAR 파일은 하나 이상의 다른 파일과 폴더가 존재하는 압축 파일이다. 파일에는 트위터 사용자 이름, 계정 이름, 이메일 주소, 트위터 계정 팔로우 수, 계정 생성 날짜 등 각 트위터 사용자의 데이터가 정렬돼 있다.
같은 트위터 API 취약점을 이용한 수집에도 불구하고, 이번에 공개된 데이터는 이전에 유출된 데이터와 다른 점이 존재한다. 이번 데이터에서는 계정이 실제 존재하는지에 관한 확인 여부가 나와 있지 않았다.
각종 해외 IT 전문매체들은 이번 트위터 데이터 유출 건과 관련해 트위터에게 거듭 연락했지만 응답은 없었다고 밝혔다.
한편 이번 사건으로 인해 자신의 이메일 주소가 실제로 유출됐는지 여부를 파악할 수 있는 방법이 존재한다. 데이터 침해 알림 서비스인 ‘HIBP(Have I Been Pwned)’에서 이번 트위터 데이터 유출 정보들을 시스템에 추가했기 때문이다. 데이터셋에 이메일이 존재하면 해당 트위터 가입자에게 알리는 방식이다.
HIBP 제작자인 트로이 헌트(Troy Hunt)는 유출된 고유 이메일 주소가 총 2억 1152만 4285개로, 원래 존재하는 데이터보다 대략 1천 만 개가 줄었다고 말했다.
이번 트위터 유출 건으로 자신의 이메일이 확인하고 싶은 사용자는 HIBP 공식 사이트(https://haveibeenpwned.com/)에 접속하면 된다. 접속해서 트위터 계정이 존재하는 이메일 주소를 입력해서 검색하면 된다. 만약 유출된 데이터셋에 이메일 주소가 포함되면 사이트는 빨간 결과 창을 띄우고 사용자에게 데이터 침해 사실을 안내한다. 포함되지 않았다면 결과 창이 초록색으로 변하고 데이터셋에 해당되지 않음을 알려 준다.
자신의 이메일 주소가 데이터셋에 포함됐다면 사용자는 이메일 주소로 인한 피싱(Phishing) 공격을 경계해야 한다. 특히 사용자의 비밀번호나 다른 민감 정보를 수집하고자 시도하는 피싱 공격을 조심해야 한다. 만약 팔로워가 많은 계정이라면 해당 계정은 온라인 사기로 암호 화폐를 훔치는 데 이용될 가능성이 높다. 그리고 트위터가 익명으로 글을 작성하는 공간인 만큼 익명의 사용자를 식별하고 실제 신원을 노출할 가능성이 높으므로 이 또한 주의해야 한다.
테크플러스 에디터 박효정
tech-plus@naver.com
