정용환 기자
2억 건이 넘는 트위터 계정 이메일 주소 등을 포함한 개인 정보가 유출되어 해커 포럼에서 불과 2달러에 판매되고 있는 것으로 밝혀졌다. 이들 데이터는 2021년 트위터 API 취약성을 악용해 도난당한 것으로 보인다.
트위터는 2022년 1월 버그 보상금 프로그램을 통해 밝혀진 계정 작성을 할 때 자동으로 할당되는 식별 번호를 취득할 수 있는 트위터 API 취약성을 수정했다. 이 취약점은 2021년 6월 트위터에서 수행한 코드 업데이트로 인해 발생한 것으로 보인다. 하지만 일부 해커는 취약점이 수정되기 전 악용해 데이터를 훔치고 있으며 트위터 아이디와 이메일 주소, 전화번호와 ID를 통해 얻은 공개 정보를 연결하는 데이터세트를 만들었다는 것. 2022년 8월에는 해커가 540만 명 분량 계정 정보를 3만 달러에 판매하고 있었다는 보도도 나왔다.
11월에는 540만 명분 사용자 데이터가 해커 포럼에서 공개된 것으로 밝혀졌다. 더구나 12월말 해커가 4억 건에 달하는 계정 정보 삭제와 교환해 일론 머스크 CEO에게 20만 달러에 구입하라고 요구하는 사태가 발생했다.
이어 2023년 1월 해커 포럼에선 2억 건이 넘는 트위터 계정 데이터가 불과 2달러에 판매되고 있다는 보도가 나왔다. 이번 데이터는 12월 다크웹에서 판매된 4억 건 데이터세트에서 중복 건을 뺀 것으로 보이지만 보도에 따르면 이번 데이터세트에서도 중복이 확인되고 있다고 한다.
데이터는 59GB 텍스트 파일로 이뤄진 RAR 아카이브 6개로 판매되며 2억 2,160만 행이 있다. 각 행은 이메일 주소, 사용자명, 팔로어수, 계정 작성일 등으로 이뤄져 있다.
한 보안 전문가는 이 데이터베이스가 해커, 정치적 허티비스트, 정부가 프라이버시를 더 침해하는데 사용될 것이라며 정부와 권력자를 비판하는 트위터 사용자가 위험에 처할 수 있다고 지적했다.
개인 정보가 유출됐는지 확인할 수 있는 웹서비스인 HIBP(Have I Been Pwned?)는 이미 이번에 유출된 트위터 계정 데이터도 목록에 추가하고 있다. HIBP 측은 이번에 유출된 데이터에는 고유한 이메일 주소가 2억 1,152만 4,284건 포함됐다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
