2016.02.19

트위터, 비밀번호 복구 버그로 1만명 사용자 개인 정보 노출

Lucian Constantin | IDG News Service
트위터가 사용자 1만 명에게 이메일 주소와 휴대폰 전화번호가 외부에 노출됐을 가능성이 있다고 알렸다. 이유는 트위터 웹 사이트 비밀번호 복구 기능에 있던 버그다. 사용자 정보 유출은 지난 주 하루 중 24시간 동안 일어났으나 트위터는 수요일에야 사용자들에게 이 사실을 알렸다.

트위터는 블로그를 통해 “버그를 부당하게 이용해 다른 계정에 접근한 사용자는 영구적으로 계정이 정지될 것이며, 수사 기관의 철저한 조사 및 고발 절차를 위해 적절한 협조를 구할 예정”이라고 밝혔다.

웹 사이트 기능이 부당하게 악용돼 이메일 주소나 휴대폰 번호 등 다른 사용자의 식별 정보를 노출하는 것은 드문 사례에 속한다. 지난 2012년 페이스북은 모바일 웹 사이트에서 전화번호 검색 횟수를 제한했다. 해커들이 보안 상의 헛점을 이용해 전화번호를 연속해서 검색하고 기존 사용자 정보와 대조할 위험이 있었기 때문이다.

개인 정보 유출은 일반 사용자에게는 추적이 어려울 수 있다. 예를 들어, 최근 온라인 데이트 웹사이트 어덜트 프렌드 파인더나 애슐리 메디슨에서의 데이터 유출은 당연스럽게도 배우자, 파트너, 친구 등이 데이트 사이트에 가입한 것을 몰랐던 많은 사람들의 분노를 샀다. 그러나 대다수 사용자가 심지어 이메일 주소가 웹 사이트의 비밀번호 복구 시스템에 등록됐는지 누구라도 알아볼 수 있었다는 사실을 알지 못했다.

사용자의 가입 정보 보호에 있어서 웹 사이트만 의지해서는 안 된다. 등록 정보 유출 자체는 매우 흔한 사례이기 때문이다. 보안적 관점에서 보자면 프라이버시에 높은 가치를 두는 사용자들은 하이재킹 등으로부터 계정을 보호하는 다양한 도구를 사용해야 한다. 예를 들어 2단계 인증을 활성화하는 방식이 있다.

트위터는 ‘로그인 인증’ 기능을 제공한다. 사용자가 휴대폰에 전송된 1회용 코드를 입력하는 방식이다. 여기에 더해 비밀번호 변경 시에 사용자의 이메일 주소나 전화번호 등 추가 정보를 요구하는 옵션도 있다. 이들 옵션은 설정 > 보안 및 프라이버시 설정에서 찾을 수 있다.

트위터 사용자의 경우 10자 이상의 강력한 비밀번호나 암호를 사용하는 것도 고려해 봄직하다. 또 정기적으로 로그인 히스토리를 점검하고 계정과 연계된 애플리케이션 탭을 확인해 더 이상 사용하지 않는 애플리케이션 권한을 회수하는 것도 대책이다. editor@itworld.co.kr 


2016.02.19

트위터, 비밀번호 복구 버그로 1만명 사용자 개인 정보 노출

Lucian Constantin | IDG News Service
트위터가 사용자 1만 명에게 이메일 주소와 휴대폰 전화번호가 외부에 노출됐을 가능성이 있다고 알렸다. 이유는 트위터 웹 사이트 비밀번호 복구 기능에 있던 버그다. 사용자 정보 유출은 지난 주 하루 중 24시간 동안 일어났으나 트위터는 수요일에야 사용자들에게 이 사실을 알렸다.

트위터는 블로그를 통해 “버그를 부당하게 이용해 다른 계정에 접근한 사용자는 영구적으로 계정이 정지될 것이며, 수사 기관의 철저한 조사 및 고발 절차를 위해 적절한 협조를 구할 예정”이라고 밝혔다.

웹 사이트 기능이 부당하게 악용돼 이메일 주소나 휴대폰 번호 등 다른 사용자의 식별 정보를 노출하는 것은 드문 사례에 속한다. 지난 2012년 페이스북은 모바일 웹 사이트에서 전화번호 검색 횟수를 제한했다. 해커들이 보안 상의 헛점을 이용해 전화번호를 연속해서 검색하고 기존 사용자 정보와 대조할 위험이 있었기 때문이다.

개인 정보 유출은 일반 사용자에게는 추적이 어려울 수 있다. 예를 들어, 최근 온라인 데이트 웹사이트 어덜트 프렌드 파인더나 애슐리 메디슨에서의 데이터 유출은 당연스럽게도 배우자, 파트너, 친구 등이 데이트 사이트에 가입한 것을 몰랐던 많은 사람들의 분노를 샀다. 그러나 대다수 사용자가 심지어 이메일 주소가 웹 사이트의 비밀번호 복구 시스템에 등록됐는지 누구라도 알아볼 수 있었다는 사실을 알지 못했다.

사용자의 가입 정보 보호에 있어서 웹 사이트만 의지해서는 안 된다. 등록 정보 유출 자체는 매우 흔한 사례이기 때문이다. 보안적 관점에서 보자면 프라이버시에 높은 가치를 두는 사용자들은 하이재킹 등으로부터 계정을 보호하는 다양한 도구를 사용해야 한다. 예를 들어 2단계 인증을 활성화하는 방식이 있다.

트위터는 ‘로그인 인증’ 기능을 제공한다. 사용자가 휴대폰에 전송된 1회용 코드를 입력하는 방식이다. 여기에 더해 비밀번호 변경 시에 사용자의 이메일 주소나 전화번호 등 추가 정보를 요구하는 옵션도 있다. 이들 옵션은 설정 > 보안 및 프라이버시 설정에서 찾을 수 있다.

트위터 사용자의 경우 10자 이상의 강력한 비밀번호나 암호를 사용하는 것도 고려해 봄직하다. 또 정기적으로 로그인 히스토리를 점검하고 계정과 연계된 애플리케이션 탭을 확인해 더 이상 사용하지 않는 애플리케이션 권한을 회수하는 것도 대책이다. editor@itworld.co.kr 


X