다른 유명 소셜 미디어 플랫폼과 마찬가지로 트위터도 보안 사고에서 자유롭지 못했습니다. 실제로 이 플랫폼은 시간이 지남에 따라 다양한 보안 침해 사고를 경험했으며 그 심각도도 다양했습니다. 따라서 트위터에서 최초의 보안 침해가 발생한 시점과 그 이후 상황이 어떻게 발전해 왔는지 이해하는 것은 흥미로울 수 있습니다.
2009년 트위터 보안 침해
’09년 7월 트위터에서 버락 오바마 전 미국 대통령의 계정을 포함한 33개의 사용자 계정이 권한이 없는 자의 플랫폼 내부 지원 도구 악용을 통해 침해되는 중대한 사이버 보안 사고가 발생했습니다. 또한 같은 시기에 트위터 사용자를 속이기 위한 피싱 캠페인이 진행 중이었습니다.
트위터 블로그 게시물 에 따르면 트위터 직원이 이 문제를 인지한 즉시 계정이 잠겼으며 영향을 받은 사용자가 완전한 통제권을 되찾는 데 오랜 시간이 걸리지 않았다고 밝혔습니다.
2009년 4월, 트위터는 직원의 개인 이메일 계정이 가해자에 의해 불법적으로 액세스되는 또 다른 보안 문제를 경험했습니다. 침입 과정에서 공격자는 트위터 계정과 연결된 적어도 하나의 비밀번호를 포함한 기밀 로그인 자격 증명을 발견했으며, 이후 이를 변경했습니다.
2013년 트위터 보안 침해
2013년 트위터에서는 2월에 시작된 일련의 보안 사고로 인해 약 25만 개의 사용자 계정이 침해당하는 사건이 발생했습니다.
트위터는 이 공격의 성격과 사용된 벡터에 대해 자세히 설명하지 않았습니다. 그러나 이 사건에 관한 트위터 블로그 게시물 에는 “공격자가 약 25만 명의 사용자에 대한 제한된 사용자 정보(사용자 이름, 이메일 주소, 세션 토큰, 암호화된/솔트화된 버전의 비밀번호)에 액세스할 수 있었을 수 있다”고 명시되어 있습니다.
2013년 4월 23일, 권한이 없는 개인이 AP 통신의 트위터 계정에 접속하여 백악관 근처에서 폭발물이 발견되었다는 허위 보고서를 게시하여 공황을 일으켰습니다. 이 해킹은 단 하나의 계정에만 영향을 미쳤지만, 광범위한 경보와 불편을 초래했습니다.
2018년 트위터 보안 침해
2018년 한 해 동안 트위터에서는 두 건의 주목할 만한 보안 침해 사건이 발생했습니다. 첫 번째 사건은 5월에 발생했으며, 트위터 시스템에 존재하는 결함으로 인해 약 3억 3천만 개의 사용자 비밀번호가 노출되었습니다. 그 결과 해당 기간 동안 트위터 계정을 보유한 모든 개인이 관련 위험에 노출되었습니다. 이 결함으로 인해 트위터 내부 네트워크에서 암호화되지 않은 사용자 비밀번호 사본이 발견되었습니다.
트위터 블로그 게시물 에서 사용자들은 “해싱 프로세스를 완료하기 전에 비밀번호가 내부 로그에 기록되었다”는 정보를 받았습니다. 그러나 같은 게시물에서 버그 악용 사례는 발견되지 않았다고 사용자들을 안심시켰습니다.
그해 12월, 트위터는 전월에 보안 사고를 일으켰던 또 다른 소프트웨어 취약점을 공개했고, 이로 인해 사용자 전화번호와 국가 코드가 노출되는 사고가 발생했습니다. 또한 이 결함으로 인해 계정이 잠겼는지 여부도 공개되었습니다. 하지만 다행히도 트위터는 조사를 시작한 지 하루 만에 문제를 신속하게 해결했습니다.
2019년 트위터 침해
2019년 하반기에 트위터는 여러 건의 보안 및 개인정보 보호 사고를 경험했으며, 첫 번째 사고는 10월에 발생했습니다. 특히 첫 번째 침해 사고는 트위터가 사용자의 개인정보를 활용하여 사용자 기밀을 침해했음을 인정한 것으로, 트위터의 자체적인 조치로 인해 발생했습니다.
문제의 데이터가 의도치 않게 광고 목적으로 활용되었다는 보고가 트위터에 올라왔습니다. 이는 트위터가 해당 정보를 의도적으로 사용하지 않았음을 시사합니다. 이메일 주소와 전화번호는 보안상의 이유로 트위터의 타겟 오디언스 및 파트너 오디언스 광고 시스템 내에서 사용된 것으로 알려져 있습니다. 그럼에도 불구하고 그 결과 소셜 미디어 플랫폼의 신뢰성에 대한 우려가 제기되고 있습니다.
2019년 11월 트위터의 보안과 관련하여 최근 두 가지 사건이 밝혀졌습니다. 첫 번째 문제는 두 명의 전직 트위터 직원이 적절한 승인 없이 사용자 활동을 모니터링하여 사우디아라비아 왕국의 대리인 역할을 했다는 주장과 관련된 것이었습니다.
가디언 은 두 명의 직원이 사우디 당국의 승인 없이 수천 명의 사용자로부터 개인 계정 정보를 입수했다고 보도했습니다. 한 명은 미국 시민권자이고 한 명은 사우디 시민권자인 두 명의 가해자는 유명 언론인 오마르 압둘아지즈(Omar Abdulaziz)의 계정과 같은 유명인의 계정까지 침해했습니다. 제공한 정보에 대한 대가로 두 사람은 명품 시계와 수만 달러를 선물받은 것으로 알려졌습니다.
11월 말, 한 앱 스토어의 기술적 결함으로 인해 수백 명의 트위터 사용자의 민감한 데이터가 노출되는 사고가 발생했습니다. 이 문제는 해당 사용자들이 트위터 계정을 사용하여 다양한 구글 플레이 스토어 애플리케이션에 로그인했기 때문에 발생했습니다. 문제의 근본 원인은 원 오디언스라는 개발 도구가 해당 사용자의 개인 정보에 대한 승인되지 않은 액세스 권한을 부여하여 개인 정보를 침해한 데 있습니다. 트위터는 이 중대한 결함에 대해 관련 앱 스토어에 알리기 위해 신속하게 조치를 취했습니다.
2020년 트위터 침해
2020년은 코로나19 팬데믹의 광범위한 영향으로 인해 모두에게 힘든 한 해였음을 증명했습니다. 그러나 이 기간 동안 트위터에서는 일반 계정 소유자뿐만 아니라 엘론 머스크, 빌 게이츠, 카니예 웨스트 등 유명 인사들에게도 영향을 미치는 중대한 보안 침해가 발생하기도 했습니다.
트위터는 7월 15일 오전에 간단한 성명을 발표하여 당시 불특정 보안 이벤트가 진행 중이라는 사실을 인정했지만, 그 성격이나 범위에 대한 자세한 설명이나 구체적인 내용은 제공하지 않았습니다.
특정 유명 계정이 암호화폐 사기를 조율하는 데 활용되었다는 사실이 밝혀졌습니다. 예를 들어, 조 바이든의 계정이 해킹당했는데, 사이버 범죄자는 지정된 지갑 주소로 전송된 비트코인을 두 배로 늘린 후 송금인에게 돌려준다고 주장했습니다. 그러나 실제로 두 배로 늘어난 암호화폐는 없었고 반환된 암호화폐도 없었기 때문에 이 약속은 조작된 것이었습니다. 이 동일한 비트코인 지갑은 해킹된 각 계정에 다시 게시되었고, 그 결과 당시 10만 달러 이상의 가치가 있는 11개의 비트코인이 축적되었습니다.
2021/2022 트위터 침해
2022년은 소유권, 인증된 계정 상태의 수익화, 여러 보안 침해와 관련된 여러 논란으로 인해 저명한 소셜 미디어 플랫폼에 어려운 시기를 보냈습니다.
올해 7월 한 해킹 포럼에 5백만 명 이상의 트위터 사용자의 개인 정보를 불법적으로 입수했다는 게시물이 올라왔습니다. 이 정보는 이메일 주소와 전화번호로 구성되어 있었습니다.
한 개인이 트위터 시스템의 결함을 조작하여 민감한 정보에 접근한 사실이 밝혀졌지만 트위터는 문제를 수정했고 오용 증거를 발견하지 못했습니다.
트위터는 이 해킹 포럼 사용자의 주장이 사실인지 확인하기 위해 노력했습니다. 트위터 개인정보 보호 게시물 에서 트위터는 “판매 가능한 데이터 샘플을 검토한 결과, 문제가 해결되기 전에 악의적인 행위자가 이 문제를 이용했음을 확인했다”고 밝혔습니다.
앞서 언급한 사건으로 인해 트위터에는 심각한 문제가 발생했습니다. 같은 해 11월, 7월에 약 500만 명의 사용자 데이터를 입수한 것으로 추정되는 해커가 마침내 탈취한 정보를 공개했습니다. 해커는 트위터가 이 취약점을 인지하기 몇 달 전인 2021년에 이 취약점을 악용한 것으로 밝혀졌습니다.
2023년 첫 트위터 보안 침해
현재 시점에서도 올해가 아직 진행 중이며, 향후 추가적인 사이버 보안 사고가 발생할 가능성도 배제할 수 없습니다. 하지만 새해 초 트위터는 심각한 보안 취약점의 영향을 받았습니다.
최근 여러 뉴스 매체의 보도에 따르면, 트위터 계정과 관련된 약 2억 3,500만 개의 이메일 주소가 사이버 범죄 포럼에 공개되면서 상당수의 트위터 계정 소유자가 보안 침해를 경험한 것으로 나타났습니다. 유출된 정보의 민감도 수준이 심각한 수준은 아니지만, 노출된 이메일 주소가 다른 악의적인 단체에 의해 악의적인 목적으로 활용될 수 있으므로 영향을 받은 개인에게 잠재적인 위협이 될 수 있습니다.
보안 침해로 얼룩진 트위터의 과거
2006년에 출시된 트위터는 해커, 전 직원, 심지어 플랫폼 자체 등 다양한 원인에 의해 보안 및 개인정보 침해가 잇따라 발생했습니다. 사용자들은 스스로를 보호하기 위해 가능한 모든 보안 수단을 활용하는 것이 좋습니다. 그러나 이러한 노력에도 불구하고 일부 악의적인 행위자는 여전히 민감한 정보나 자금에 접근할 수 있습니다.