Twitter 대규모 해킹, 17살 주범이 단 2주 만에 체포된 이유

미연방검찰청과 플로리다주검찰청은 7월 31일 트위터 계정 대규모 해킹사건에 대한 혐의로, 플로리다주에 거주하는 17세 등 3명을 기소했다고 발표했다.

버락 오바마 전 대통령, 조 바이든 전 부통령, 마이크로소프트 창업자 빌 게이츠, 아마존의 CEO 제프 베조스, 테슬라 CEO인 일론 머스크 등 유명인사, 애플 등 대기업을 포함한 130개 계정을 탈취한 후 그것들을 악용하여 피해액 10만 달러가 넘는 가상통화(암호화 자산) 사기 사건을 일으켰다.

주모자로 지목된 17세는 조직적인 사기, 통신 사기, 개인정보의 부정 사용, 부정 액세스 등 총 30여 건에 이르는 혐의를 받고 있다.

사건이 발각된 시점이 7월 15일이고 그로부터 불과 2주 후 체포되었다.

고등학교를 갓 졸업한 17세가 월간 이용자가 3억 명이 넘는 관리시스템에 어떻게 침입했고, 단 2주 만에 새벽시간 수사관들이 현관을 두드리게 된 것일까?

"결코 평범한 17세가 아니다"

,"그는 확실히 고등학교를 나온 지 얼마 안 되는 17세의 아동이다. 단지 평범한 17세가 아니라는 것이다. 이번 해킹은 전대미문 수준의 고도로 정교한 공격이었다."라고 7월 31일 플로리다주 검찰의 앤드류 워렌 씨는 기자회견에서 말했다.

체포된 것은 2003년 1월생인 17세로, 이날 오전 6시 39분 플로리다주 탬파시의 자택에서 수사원에 의해 구속됐다.

체포 혐의로 꼽히고 있는 것은, 조직적 사기(1건), 통신 사기(17건), 개인정보 무단 사용(11건), 무단 액세스(1건) 등 총 30건이다.

트위터 사용자 계정의 대규모 탈취 피해는 130건에 이른다. 이 중 비트코인을 사용한 사기에 이용된 계정이 오바마, 바이든, 게이츠, 머스크 등 45건. 다이렉트 메세지에 대한 액세스가 36건, 사용자 데이터의 다운로드가 7건이다.

이와 함께, 캘리포니아 북부지구 연방검찰청이 두 사람의 기소를 발표했다. 1명은 영국에 거주하는 19세. 다른 한 명은 플로리다주 올랜도시에 거주하는 22세이다. 플로리다주의 17세와 22세는 체포되었고 영국의 19세는 체포되지는 않았다.

플로리다주법은 금융범죄에 대해서는 미성년자를 성인으로써 기소하는 것을 인정하고 있어서 주모자로 지목된 17세는 주검찰청이 담당이 되었다고 한다.

이 세 사람의 기소자료에서 17세가 무엇을 했는지를 어렴풋하게 알 수 있다.

"어떤 @라도 손에 넣을 수 있다"

"트위터에서 일하고 있어요. 어떤 @(계정)도 손에 넣게 해줄 수 있어. 말해봐. 아무에게도 말하지 않을테니."

게이머를 위한 채팅서비스 디스코드에서 사용자명 'Kirk#5270'과 'Rolex#0373'이 이런 대화를 하고 있었다.

7월 15일 트위터 본사가 있는 샌프란시스코에서 오전 10시 반 전(태평양 시각). 이 때는 아직 계정에 대한 대규모 탈취 사건이 드러나지 않았다.

'Kirk#5270'은 말하자면 계정 도매 직무. 'Rolex#0373'은 거래의 중개를 맡았다.

알파벳이나 숫자 문자 하나같은 희귀 트위터 계정은 'Original Gangster(OG)'라고 불린다. 그런 거래가 이루어지는 사이트에서 'Rolex#0373'이 광고와 실제 거래를 담당했다.

연방검찰청이 발표한 기소문서에서는 사용자명 'Rolex#0373'이 플로리다주 올랜도의 22세, 사용자명 'ever so anxious#0001'이 영국에 거주하는 19세이다. 주모자로 지목된 'Kirk#5270'은 연방검찰청의 기소문서에는 실명이 없다.

그리고 테크미디어 '마더보드'가 개봉한 플로리다주검찰청 검찰자료에는 17세의 본명이 기재되어 있고 주모자로 지목되어 있다. 사용자명 'Kirk#5270'의 기재는 눈에 띄지 않지만, 이것이 17세와 동일인물임을 알 수 있다.

기소문서에서는 Rolex#0373과 ever so anxious#0001의 두 사람은 어디까지나 희귀 계정을 암시장 거래로 처리하는 중계자로 자리매김하고 있으며, 유명 계정의 대규모 탈취가 발생하기 이전 단계의 등장인물들이다.

그 유명한 계정 대규모 탈취를 포함한 사건의 주모자로 자리매김하고 있는 인물이 'Kirk#5270'이다.

'Kirk#5270'이 7월 15일에 한 일

배후 'Kirk#5270'은 구체적으로 뭘 했을까?
연방검찰청의 기소문서는 먼저 소란이 발생한 7월 15일 오후 유명 계정 대규모 탈취에 대해 재정리하고 있다.

그들에 따르면, 저명한 계정 대규모 탈취가 표면화된 것은 태평양 시각으로 이날 오후 1시경.

오후 1시 1분에 bitcoin.org, 17분에 일론 머스크, 34분에 빌 게이츠, 58분에 애플, 오후 2시 3분에 카니예 웨스트 등의 계정이 일제히 비트코인의 송금을 배로 반환한다는 트윗을 투고한다. 지정했던 비트코인용 주소는 동일했다.

그 후 7월 16일까지 지정된 비트코인용 주소에는 415건의 송금이 있었고, 총액은 12.86비트코인으로 달러로 환산하면 11만 7,457달러 58센트(약 1억 2440만 원)에 이른다.

송금액의 99.74%는 그동안 11차례에 걸쳐 다른 주소로 옮겨져 지정 주소에 남은 것은 274달러뿐. 송금에 대한 반환은 일절 없었다.

이에 앞서 계정 암거래는 'ever so anxious#0001'이 4만 달러어치를 팔아치워, 그 중 33만 달러를 'Kirk#5270'에게 송금했다.

Kirk#5270은 트위터 계정을 자유자재로 탈취할 수 있다고 자신을 소개했고, 실제로 뒷거래가 이루어졌다. 따라서 7월 15일 오전과 오후의 움직임은 일련의 것으로, Kirk#5270이 주도적 역할을 담당하고 있었다고 연방검찰청은 보고 있다.

5월 3일부터 침입

플로리다주검찰청의 검찰자료에 따르면, 주모자로 지목된 17세가 트위터에 침입했던 기간은 대규모 탈취가 밝혀진 7월 15일보다 2개월 반이나 이전인 5월 3일로 되어 있다. 단, 침입에 사용된 구체적인 수법 등의 기술은 눈에 띄지 않는다.

사건 이틀 뒤인 7월 17일 뉴욕타임즈는 이번 대규모 탈취에 대한 정보를 가진 관계자의 말을 인용해, 범행은 우선 트위터의 사내업무 연락용으로 사용되는 비즈니스 채팅 도구 'Slack'으로의 액세스에서 시작되어 거기서 얻은 정보를 단서로 내부시스템에 침입한 것 같다고 보도했다.

그리고 피해의 당사자인 트위터는 이번 체포 전날인 7월 30일 공식블로그에서 "전화 스피어피싱 공격'이라는 키워드를 사용하여 침입 상황을 설명하고 있다.

"7월 15일에 일어난 Social engineering은 전화 스피어피싱 공격에 의한 것으로 몇몇 직원을 대상으로 한 것이었다. 공격이 성공하려면 공격자는 우리의 회사 네트워크에 액세스하는 방법을 얻을 때 특정 직원만이 보유한 내부사용자 관리도구에 액세스하기 위한 인증정보가 필요하게 된다. 공격자가 당초 목표로 한 직원은 사용자계정 관리도구에 대한 액세스 권한이 없는 사람도 포함되어 있었다. 하지만 공격자는 직원의 인증정보를 사용하여 먼저 사내시스템에 접속하였고 당사의 업무 프로세스에 대한 정보를 입수. 공격자는 사용자계정 관리도구에 대한 액세스 권한을 가진 직원을 특정할 수 있었다."

스피어피싱은 특정 개인을 대상으로 회사관계자나 거래처 등 친밀한 사람의 행세를 하여 표적으로 하는 시스템 침입에 필요한 인증정보를 입수하는 수법이다.

메일을 사용한 사례가 널리 알려져 있지만, 이번은 '보이스피싱'과 같이 전화를 통해 이루어진 것 같다.

뉴욕타임즈가 보도한 Slack과의 관련이 불분명하지만 (1) 직원의 인증정보를 입수하여 회사 네트워크에 침입, (2) 회사의 정보 수집, (3) 사용자 관리도구에 액세스 권한이 있는 직원을 특정, (4) 사용자 관리도구에 대한 액세스 권한을 입수, (5) 사용자 관리도구에 침입하는 단계를 밟은 것으로 보인다.

이 공정에 2개월 반이 소요되었다고 볼 수도 있을 것 같다.

뉴욕타임즈는 이 경위에 대해, 플로리다주검찰청의 고발자료를 바탕으로 주모자로 지목된 17세가 '직원 1명을 대상으로 기술부문 동료를 가장하여 사용자 관리도구에 액세스하기 위해 직원에 부여되는 인증정보가 필요하다고 신용시켰다"고 보도했다.

2주간의 추적

뉴욕타임즈는 이 큰 탈취 과정에서 용의자들이 신원이 판명날 단서를 남겨버렸다고 보도하며, 그것이 무엇인지는 분명하지 않지만, 그 단서가 체포로 이어지는 유력한 증거가 되었다고 한다.

사건의 수사는 연방수사국(FBI) 외에 국세청 범죄수사 사이버유닛, 시크릿 서비스, 캘리포니아주 산타클라라 카운티 보안관 사무소, 플로리다주법집행국이 담당했다.

단서가 되는 정보는 다양한 형태로 남아 있었다.
먼저 탈취의 무대가 된 사용자 관리도구의 캡처 이미지.

Kirk#5270은 디스코드에서 계정 거래를 제시하며 탈취 능력을 가지고 있다는 것을 증명하기 위해 'ever so anxious#0001'들에게 트위터의 사용자 관리도구의 캡처 이미지를 전송했다.

사건 발각 직후부터 이 이미지가 트위터상에 확산하였고 언론에서도 보도되었다.

Hackers Convinced Twitter Employee to Help Them Hijack Accounts
https://www.vice.com/en/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

Hackers Convinced Twitter Employee to Help Them Hijack Accounts

또한 수사의 움직임이 빨랐다. 사건 발각 이틀 뒤인 7월 17일에는 용의자들이 연락을 하고 있던 채팅서비스 '디스코드'에 대한 수색영장이 나왔고 Kirk#5270 등의 채팅내역을 수사기관이 입수했다.

게다가 Rolex#0373, ever so anxious#0001이 희귀 트위터 계정을 팔아치우는 데 사용한 거래사이트에서는 2020년 4월에 사용자데이터 유출 사건이 발생했다. 그 때 FBI는 이 사용자 데이터를 입수하고 있었다고 전해진다.

또한 거래에 사용한 가상통화(암호화 자산) 거래소의 계정에 운전면허증을 사용하는 등의 단서도 있었다고 한다.

주모자로 지목된 17세는 2020년 4월, 시크릿 서비스에 의해 76만 달러어치의 비트코인을 압수된 것으로 공고되어 있다.

이 경위는 밝혀지지 않았지만, 수사기관 측이 이전부터 움직임을 파악하고 있던 인물인 것은 확실한 것 같다.

시크릿 서비스 샌프란시스코 사무소의 특별수사관 토마스 에드워즈 씨는 이번 기소발표에서 "오늘의 발표는 사이버범죄가 이른바 세계적 익명성의 그림자 속에 숨는 것이 더 이상 불가능하다는 것을 증명했다."고 말했다

수사는 아직도 계속되고 있어 용의자가 늘어날 가능성도 있는 것 같다.

출처 참조 번역
· Wikipedia
· Twitter大規模ハック、17歳はなぜたった2週間で逮捕されたのか？
https://news.yahoo.co.jp/byline/kazuhirotaira/20200803-00191358/