트위터가 월스트리트저널(WSJ), 뉴욕타임스(NYT), CNN 등 미국 주요 언론사들에 이어 해커들의 공격을 받았다.
3일 WSJ·포브스 등 외신에 따르면 트위터는 해킹 공격을 받아 25만명의 회원 개인 정보가 유출됐을 수 있다고 1일(현지시각) 밝혔다. 유출 가능성이 있는 정보는 사용자 이름과 이메일 주소, 비밀번호, 로그인 정보 관리 세션 등이다.
트위터는 해킹 가능성이 있는 회원의 비밀번호를 리셋하고 이메일을 통해 해당 회원들에게 비밀번호 변경을 요청했다. 지난주 트위터는 사용자 데이터에 접근을 시도하는 비정상적인 공격을 감지했으며 첫 공격 이후 시스템을 차단했지만 일부 사용자 정보에 이미 접근한 것으로 파악해 이같이 조치했다.
밥 로드 트위터 정보보안 총괄 임원은 블로그를 통해 “이 공격은 아마추어의 소행이 아니며 단발적인 사건이 아니다”며 “해커들은 매우 정교한 기술을 갖고 있으며 다른 기업과 조직들도 유사한 공격을 받은 것으로 보인다”고 밝혔다.
전문가들은 이번 공격이 자바 취약점을 이용한 것으로 분석하고 있다. 트위터는 비밀번호와 세션 토큰의 정확한 유출 경로는 밝히지 않았지만 미국 정부가 권고했던 것처럼 브라우저에서 자바를 사용하지 말아달라고 고객들에게 요청했다. 최근 몇 달간 미국 국토안보부와 보안 전문가들은 자바의 심각한 보안 취약점이 발견됐다며 브라우저에서 자바 언어를 사용하지 못하도록 한 바 있다.
앞서 두 주에 걸쳐 뉴욕타임스와 월스트리트저널이 해킹 공격을 받은 것에 이어진 것이란 분석도 나왔다. 해당 언론사들은 해킹 공격이 중국 정부 관료들의 재산 축적 사실에 대해 보도한 후 일어난 보복성 공격이라 밝혔지만 중국 정부는 반발하고 있다.
트위터는 미국 정부와 함께 공격 근원지를 파악하기 위한 조사에 착수했다. 또 사용자들에게는 최소 10글자 이상의 영문, 숫자 등 복잡한 구성의 비밀번호 사용을 권했으며 가능한 다른 사이트와 같은 비밀번호를 사용하지도 않도록 했다. 여러 사이트에 걸쳐 같은 비밀번호를 사용하는 것이 해킹 공격 피해를 높인다고 경고했다. 안전한 비밀번호 관리와 개인정보 보호를 위해 미국연방통상위원회(FTC)의 비밀번호 가이드를 참조하는 방안도 제시했다.
유효정기자 hjyou@etnews.com
