트위터에서 자라는 소셜 네트워크 플랫폼의 보안 위협

IT 기술의 발달은 우리의 생활 전반적으로 큰 변화로 만들어 왔었다. 이미 여러 차례에 걸쳐 경제적인 부분과 사회적인 부분에서도 IT 기술의 효율성은 증명되었으며 우리의 실생활에서도 역시 밀접하게 와 닿아 있다는 것을 누구나 몸소 느끼고 있을 것이다.
고대 그리스의 철학자인 아리스토텔레스는 인간을 사회적인 동물이라 이야기하며 인간이 가지는 사회적인 성형과 특성들에 대해 잘 묘사한 명언을 남겼다고 한다. 여기서 언급한 인간의 독특한 성향은 인간은 혼자서 생활하는 것이 아니라 모여서 하나의 집단과 사회를 만들고 구성하게 된다는 것이며 이러한 일련의 성향적 특성들은 현대 산업 사회의 뼈대가 되어 있는 IT 기술과도 맞물려지게도 되었다.
이러한 대표적인 사례로 소셜 네트워크 서비스(Social Network Service)라고 알려지며 이를 대표하는 트위터(Twitter)와 페이스북(Facebook) 그리고 링크드인(Linkedin) 등을 들 수가 있다. 인간 관계를 IT 기술을 통해 연결해주는 소셜 네트워크 서비스의 성공은 바쁜 현대인들의 생활 속에서 과거와 동일한 방식으로 다른 사람들과 소통을 하기 어려운 현대 사회의 한 단면을 보여주는 사례라고도 할 수 있을 것이다.
그러나 소셜 네트워크의 등장은 IT 기술을 활용한 인간의 새로운 사회적 활동이라는 점에서는 여러 가지 장점들도 존재하지만 이미 IT 기술이 접목된 다른 분야에서와 유사하게 여러 새로운 보안 위협들이 만들어지고 발생하고 있는 실정이다. 이 중에서도 소셜 네트워크의 대표 주자라고 할 수 있는 트위터에서 발생하였던 보안 위협의 사례들을 살펴보게 된다면 크게 다음과 같은 5가지 형태들이 발생한 것을 알 수 있다.

1. 트위터를 이용한 허위 사실 유포

2009년 6월에는 트위터의 사용자 계정을 해킹해 허위 사실을 유포한 보안 사고가 발생하였다. 해당 보안 사고는 미국의 유명한 팝 스타인 브리트니 스피어스(Britney Spears)의 트위터 계정이 어떤 해커에 의해 해킹을 당함으로 발생하게 되었다. 그리고 브리트니 스피어스의 계정을 해킹한 해커는 장난성 목적으로 그녀의 계정을 이용해 그녀가 불의의 사고로 세상을 떠나게 되었다는 거짓 메시지를 작성하여 허위 사실을 트위터로 유포하게 되었다.

2. 트위터로 위장한 악성코드가 첨부된 메일 유포

2009년 6월과 9월에 악성코드가 첨부된 메일이 트위터의 사용자 계정에서 발송된 것으로 위장한 사례가 있었다. 악성코드가 첨부되어 유포된 해당 메일에는 트위터를 이미 사용 중인 친구에 의해 발송된 트위터 초대메일이며 첨부된 파일을 실행해서 친한 친구들과 가족을 확인하라는 내용을 담고 있었다.
2010년 6월에는 트위터 운영 팀으로 위장하여 사용하는 트위터 계정의 암호가 기억나지 않을 경우에는 이를 초기화 시킬 수 있다는 메일이 유포 되었다. 그리고 유포된 해당 메일의 본문에는 특정 웹 사이트로 연결해주는 링크가 존재하였으며 해당 링크를 클릭하게 될 경우에는 허위 백신을 설치하는 악성코드를 다운로드 하도록 되어 있었다.

 

[그림 1 – 트위터로 위장한 악성코드 유포 메일, 이미지 출처: Websense]

3. 트위터를 이용한 봇넷 구성과 조정

2009년 8월에는 트위터 사용자 계정을 이용하여 악의적인 봇넷(BotNet)을 운영 및 조정하는 사례가 발견되었다. 당시에 발견된 트위터의 사용자 계정은 트위터의 메시지가 RSS(Really Simple Syndication)와 웹 사이트를 통해 기록된다는 것에 착안한 것으로 분석하고 있다. 그리고 이미 유포된 악성 봇(Bot)들은 해당 트위터 계정에서 만들어내는 메시지를 RSS를 수신하고 그 메시지에 포함된 악의적인 명령들을 수행하는 방식으로 실행되도록 되어 있었다.

 

[그림 2 – 트위터 봇넷 생성기 이미지 출처: ASEC Threat Research Blog]

그리고 2010년 5월에는 2009년에 발견된 형태와 다른 트위터를 이용한 악의적인 봇넷 구성 및 조정 사례가 발견되었다. 이 때 발견된 사례는 2009년에 발견된 형태에서 한 단계 발전한 형태로서 트위터를 통해 악의적인 봇넷을 구성하기 위해 맞춤형으로 제작된 특수한 프로그램들이 발견되었다. 발견된 프로그램들은 기존에 발견된 다른 형태의 악성코드 생성기와 유사하게 트위터 사용자 계정을 생성한 후에 특수한 형태의 메시지만 남기게 되면 그 메시지를 자동으로 수신하고 악의적인 명령을 수행 할 수 있게 해주는 악성 봇들을 손쉽게 제작할 수 있도록 되어 있었다.

4. 트위터를 이용한 스팸 및 피싱 그리고 악성코드 유포

2010년 2월에는 트위터 사용자들 사이에 단축 URL(URL Shortening)이 포함된 쪽지 형태인 다이렉트 메시지(Direct Message)가 유포되었다. 유포된 다이렉트 메시지에 포함된 단축 URL은 트위터 사용자 계정과 암호를 외부로 유출하기 위한 목적으로 제작된 중국에 위치한 피싱(Phishing) 웹 사이트로 재 연결하도록 되어 있다.

 

[그림 3 – 피싱 웹 사이트로 연결하는 다이렉트 메시지, 이미지 출처: ASEC Threat Research Blog]

같은 해 2월에는 다시 자신을 메신저 친구 리스트에 등록해달라는 다이렉트 메시지가 유포되었다. 해당 다이렉트 메시지에 포함된 메신저 계정을 친구 리스트에 등록하게 될 경우에는 성인 동영상을 제공하는 웹 사이트 주소를 메신저 채팅을 통해 알려주며 접속을 유도하였다. 그러나 해당 웹 사이트에서는 메신저 사용자의 신용카드 정보를 유출하기 위한 시도가 발생 하였다.
다시 같은 해 3월에는 트위터를 통해 러시아 지하철 폭파 사고와 관련된 동영상을 볼 수 있다는 내용의 메시지가 유포되었다. 해당 트위터 메시지에 포함된 단축 URL은 동영상을 볼 수 있다는 특정 웹 사이트로 연결되지만 해당 웹 사이트에서는 허위 백신을 설치하는 악성코드를 유포하고 있었다.

5. 트위터로 위장한 성인 약품 광고 스팸 메일 유포

2010년 5월에는 트위터에서 보내지는 메시지로 위장한 전자 메일이 유포되었다. 해당 전자 메일은 트위터를 통해 다른 사용자로부터 보내진 다이렉트 메시지가 수신 되었으며 이를 보기 위해서는 본문에 제공된 웹 사이트 주소를 클릭하도록 유도하고 있었다. 그러나 실제 해당 웹 사이트 링크를 클릭하게 되면 중국에 위치한 성인 약품 광고 웹 사이트로 연결 되었다.

 

[그림 4 – 트위터로 위장한 성인 약품 광고 스팸 메일, 이미지 출처: ASEC Threat Research Blog]

앞서 살펴본 현재까지 발견된 트위터 보안 위협 사례들은 기존 수년에 걸쳐서 PC에서 발생하였던 대부분의 보안 위협들이 단기간에 트위터를 통해 발생하였으며 발생한 보안 위협들의 그 내부적인 특성들을 종합 분석 해보면 결국 “트위터 내부 시스템적인 특성들을 악용한 사회 공학 기법과 접목된 보안 위협”이라는 압축된 문장으로 해석 볼 수가 있다.

이미 여러 매체를 통해 익히 알려진 바와 같이 트위터는 자신이 사용하는 메일 주소만 있으면 누구나 어렵지 않게 가입을 할 수 있으며 기존에 가지고 있던 인적 네트워크 외에도 팔로우(Follower)와 팔로잉(Following)이라는 독특한 연결 관계를 통해 잘 알지 못하는 새로운 사람들과도 관계를 형성 할 수 있는 장점들이 있다. 그리고 트위터 웹 사이트와 RSS 그리고 스마트폰(SmartPhone) 어플리케이션 등을 통해 자신의 메시지를 트위터 내외부의 인적 네트워크로 전파 할 수 있으며 140자로 제한된 문장 길이와 단축 URL을 통해 부가적인 설명이 필요 없이 핵심적인 간결한 문장만으로 전파 할 수 있는 특징들이 있다.

이러한 트위터만의 독특한 특징들은 앞서 살펴본 트위터 보안 위협 사례들과 비교하여 살펴본다면 악의적 목적으로 이러한 트위터의 특징들이 악용되고 있다는 것을 알 수가 있다.
“트위터를 이용한 봇넷 구성과 조정” 사례를 통해서는 트위터의 가입이 손쉽게 이루어진다는 특징과 트위터의 서비스가 메시지의 전파와 유지를 위해 24시간 중단 되지 않는다는 가용성을 가진다는 특성을 악용한 사례로 볼 수 있다.
그리고 “트위터를 이용한 허위 사실 유포”와 “트위터를 이용한 스팸 및 피싱 그리고 악성코드 유포” 사례의 경우에는 트위터의 독특한 연결 관계를 통한 빠른 정보의 전파력, 140자의 제한된 메시지의 길이로 인한 단축 URL의 사용 그리고 다이렉트 메시지를 이용한 사적인 메시지 전달과 같은 특성들을 악의적인 목적으로 악용해 제작된 보안 위협 사례들로 볼 수 있다.
그리고 “트위터로 위장한 악성코드가 첨부된 메일 유포”와 “트위터로 위장한 성인 약품 광고 스팸 메일 유포”의 경우에도 트위터가 가지는 시스템적인 특성들인 팔로우가 추가될 경우와 다이렉트 메시지가 수신될 경우에 별도의 지정된 메일로 이를 사용자에게 알려준다는 특성을 악용한 사례로 볼 수 있다.

그러나 무엇보다도 더 큰 문제는 트위터를 악용하거나 사칭하여 발생하는 여러 보안 위협 사례들의 근간에는 인간적인 신뢰와 믿음을 악용하는, 인간을 공격하는 해킹 기법이라고도 일컬어지는 “사회 공학 기법(Social Engineering)이 사용되고 있다는 점이다. 이는 트위터가 근본적으로 가지는 사회적인 관계를 형성하게 해줄 수 있는 소셜 네트워크 서비스라는 점 자체를 악용하는 문제이다. 이러한 문제점은 다른 보안 위협들의 경우에는 시스템적으로 그 예방을 고려해 볼 수 있는 가능성이 있지만 사회 공학 기법은 공격을 받는 대상이 시스템이 아닌 사람이라는 점에서 더 위협적인 보안 위협의 양산과 그에 따른 큰 피해를 유발 할 수 있게 된다는 점이다.
그리고 앞서 언급한 트위터에서 발생하였던 다양한 보안 위협의 사례들은 결코 트위터에만 국한 되어 발생할 수 있는 문제는 아닐 것이라고 보여진다. 이러한 보안 위협들은 소셜 네트워크를 서비스하거나 소셜 네트워크를 다른 비즈니스 모델과 결합하여 제공하는 다른 형태의 비즈니스 플랫폼에서도 유사한 보안 위협들이 발생할 가능성이 높을 것으로 보여진다.
그러므로 결국 소셜 네트워크 서비스를 제공하는 서비스 제공자와 이를 사용하는 서비스 사용자 입장에서는 시스템적인 보안 요소들에 대한 고려뿐만이 아니라 소셜 네트워크 플랫폼을 악용한 사회 공학 기법적인 공격에 대한 대응 방안에 대해서도 동시에 고려해야 되는 보안성 검토가 이루어 져야 할 것이다.

출처: 안철수 연구소 분석1팀 선임연구원 장영준