By MATT BURGESS, WIRED UK

2022년 8월 말, 션 머피(Sean Murphy)는 케냐 항공의 케냐 나이로비발 우간다 엔테베행 항공편을 예약하려 했다. 웹 3 기업 임팩트스콥(ImpactScope)의 공동 창립자인 머피는 “예약 페이지 정보가 모호했다”라고 말했다. 결국, 머피는 즉시 케냐 항공의 공식 인증을 받은 트위터 계정으로 연락해, 항공편의 수하물 허용량을 확인하려는 메시지를 보냈다. 다음날, 케냐 항공 계정의 답변이 없었을 때, 케냐 항공의 공개 트윗을 통해 자신이 문의한 사항을 상기시켜 주었다. 그 후 케냐 항공이 문의에 답변하기 시작했다.

단 몇 분 만에 케냐 항공이라고 자처하는 여러 트위터 계정이 머피에게 답변을 보냈다. 모두 머피에게 도움의 손길을 내밀었으나 케냐 항공 공식 계정이 아니라는 점을 확인할 수 있었다. 모두 케냐 항공의 로고와 슬로건을 사용하는 계정이었으나 프로필 클릭 시 경고 알림이 등장했다. 머피는 “대다수 메시지는 제법 완벽하게 작성됐다. 하지만 팔로워 수가 적은 데다가 철자가 틀리거나 실제 트위터 장벽의 기이한 특정 선택이 가짜 계정임을 알 수 있는 주된 증거였다”라고 말했다. 케냐 항공의 가짜 계정 중에는 @_1KenyaAirways와 @kenyaairways23 등이 포함되었다.

이제는 트위터 계정의 공식 인증이 수월해졌다. 일론 머스크가 440억 달러에 트위터 인수를 마치고 즉시 직원 수천 명을 해고한 이래로 이어진 혼란스러운 날이 계속되면서 트위터는 계정 인증 방식을 변경했다. 일부 사용자를 대상으로 새로이 배포한 트위터 블루(Twitter Blue) 구독 서비스는 누구나 월 구독료 8달러를 결제하기만 하면, 파란색 인증 마크를 받아 프로필에 ‘인증’된 계정임을 보여줄 수 있다. 인증 마크는 트위터 블루 구독료 결제 완료 후 즉시 프로필에 등장한다. 계정 인증을 위한 별도의 질문은 없다. 심지어 트위터 블루 가입자의 신원 인증도 필요하지 않다.

계정 인증 배지는 트위터의 기존 계정 인증 방식과 큰 차이가 있다. 그동안 트위터는 브랜드와 공인, 정부 공식 계정에만 이름 옆에 인증 마크를 추가했다. 인증 마크를 추가할 때마다 트위터 직원이 계정 인증을 승인했다. 직원의 계정 인증 승이니 없는 새로운 계정 인증 과정은 스캐머와 사이버 범죄 세력, 거짓 정보 확산 영향력을 행사하려는 세력이 교묘하게 제작한 계정을 약간 변경하고 합법적인 계정처럼 보이도록 할 수 있다.

사이버 보안 기업 이셋(ESET)의 세계 사이버 보안 자문 위원 제이크 무어(Jake Moore)는 “사이버 범죄 세력은 SNS를 피해자도 모르는 사이에 표적을 지정할 완벽한 수단으로 손쉽게 이용한다. 하지만 계정 주인의 신원을 확인할 분명하면서도 진정한 방법이 없다면, 사이버 위협 세력이 사기 방법을 모색하는 과정에서 악용할 것이 분명한 사칭 계정에 노출될 수 있다”라고 설명했다.

상황은 이미 혼란스럽다. 트위터 블루 인증 기능 배포 직후부터 타인과 브랜드를 사칭한 여러 계정이 등장했다. 일부 사용자는 시스템을 테스트하는 것으로 나타났다. 문제가 발생한 사용자도 등장했다. 간혹 트위터 블루 인증 시 신규 계정을 사용한 사례도 있었으며, 수년 전 생성된 트위터 계정이 인증 완료 계정으로 전환된 사례도 있었다. 닌텐도 미국(Nintendo of America, @nIntendoofus)이라는 계정은 마리오 캐릭터가 가운뎃손가락을 펼친 사진을 게재했다. 애플 TV+와 게임 기업 밸브(Valve), 도널드 트럼프, 농구 스타 르브론 제임스 등의 트위터 사칭 계정이 등장했다. 사실 인증 기관 스놉스(Snopes)는 ESPN 애널리스트인 척한 어느 한 계정이 올린 게시글은 삭제 전까지 총 1,000건이 넘는 참여 반응을 기록했다고 발표했다. 해당 기록은 ESPN이 관리하는 계정이 아니었으며, 계정 프로필에는 패러디 계정이라는 설명이 포함됐다. 11월 9일(현지 시각) 기준, 사칭 계정이 급격히 증가한 가운데 트위터는 신규 계정의 계정 인증 구매를 중단했다.

트위터가 새로이 채택한 계정 인증 접근 방식은 트위터 블루 구독에 집중한다. 사용자가 구독료를 결제하면, 계정 이름 옆에 파란색 인증 마크가 표시된다. 인증 마크를 클릭하면, 트위터 블루 구독료를 결제하여 인증 마크를 받았다는 메시지를 볼 수 있다. 트위터 타임라인에서 사용자의 인증 마크는 얼마든지 손쉽게 변경할 수 있는 계정에 주어진 이름 바로 옆에 등장한다.
 
물론, 사이버 범죄 세력은 지난 몇 년간 사용자를 속이거나 타인을 사칭했다. 게다가 사이버 범죄 퇴치를 위해 플랫폼을 관리하는 이들보다 한 발 더 앞서 나가 교묘한 수법을 동원하기도 했다. 그동안 발견된 사기 행위 중 SNS 계정이 진짜 계정임을 신뢰하도록 한 뒤 소셜 엔지니어링을 통해 조작하여 신용 카드 정보나 개인 정보를 공유하도록 유도한 사례가 많았다. SNS 계정 조작을 이용한 사기 행위는 사이버 범죄 세력이 범죄에 성공할 수 있으므로 만연한 사기 수법이다.

앞서 언급한 케냐 항공 사례와 같이 사이버 범죄 세력이 기업 고객 서비스 팀을 사칭하는 지원 계정 사기는 흔한 수법이다. 케냐 항공의 공식 트위터 계정은 이전에도 사칭 계정에 주의를 당부하는 경고문을 게재한 적이 있다. (사칭 계정 중 하나는 계정 인증이 되지 않았다.) 소셜 엔지니어링 전문 기관인 소셜프루프 시큐리티(SocialProof Security) 공동 창립자 레이첼 토박(Rachel Tobac)은 이전보다 공식 계정 사기 시작 시 거쳐야 할 과정이 줄어들어, 지원 계정 사기를 개시하기 더 수월해질 것이라고 내다보았다.

토박은 “이전에는 계정 인증이 된 사용자를 대상으로 피싱 공격을 개시하여 인증된 트위터 페이지를 손에 넣어야 신원 정보 탈취나 온라인상의 탈취된 신원 정보 구매를 할 수 있었다. 혹은 데이터 침해 후 패스워드 저장소에서 재사용된 신원 정보를 찾을 수 있었다. 이제는 탈취된 신용카드 정보만 있으면, 인증 계정을 구매하고 사기 공격을 개시할 수 있다”라고 말했다. 온라인에서 수백만 명의 신용카드 상세 정보를 구매할 수 있다. 탈취된 카드 정보 1개당 비용은 1달러이다.

머스크는 트위터 블루 구독료로 8달러를 청구하면, 사이버 범죄 세력의 대규모 계정 생성 활동을 줄일 수 있다고 주장했다. 또, 트위터 블루 구독 계정의 트윗은 인증되지 않은 계정보다 먼저 검색 결과에 등장한다. 트위터 스페이스(Twitter Space)가 광고 기업의 활용을 대상으로 하는 가운데, 가짜 계정 중단을 원한다고 밝히면서 사이버 범죄 세력이 신용카드와 휴대전화 정보 100만 개를 대거 보유하지 않도록 할 것이라고 밝혔다. (2022년 2월, 우크라이나 관료가 러시아와 관련된 것으로 추정된 봇 작전을 차단했다. 해당 작전은 SIM 카드 3,000개를 동원해 온라인 계정 1만 8,000여 개를 생성하였다.)

트위터는 일부 공식 계정에 적용한 ‘공식’ 라벨을 일시적으로 출시한 뒤 제거했다. 머스크는 “트위터가 앞으로 몇 달간 각종 어리석은 행동을 할 수 있다고 알리고자 한다. 트위터는 효과가 있는 기능을 위해 꾸준히 작업하고, 효과가 없는 기능은 변경할 것이다”라는 트윗을 게재했다. (트위터는 와이어드의 문의에 답변하지 않았다. 그러나 트위터 언론홍보팀 인력 다수가 최근의 정리해고 사태로 트위터를 떠난 것으로 보인다.)

스캐머 계정이 진짜 계정임이 드러나더라도 다수 전문가는 인증 변화가 합법 계정에 SNS 인증이 의미하는 바를 저하할 것으로 본다. 토박은 “인증된 계정 구매는 사용자와 긴급 서비스, 공공 기관, 언론인, 브랜드가 트위터 인증 계정 구매의 신뢰도 저하로 이어질 확률이 높다. 트위터가 즉시 사칭 계정임을 확인한 트위터 블루 신규 계정을 잡아내고 차단할 것이기 때문이다”라고 말했다.

스캠 이외에도 진짜인 것처럼 보이는 인증 계정을 재빨리 생성할 수 있는 능력은 거짓 정보 작전에도 도움이 될 수 있다. 지난 몇 년간 러시아와 중국, 이란 정부 지원을 받는 해커 세력이 수많은 온라인 대화를 조작하려 했다. 가짜 계정을 무더기로 생성해 거짓 정보를 널리 확산하려 했다. 가짜 계정 수천 개를 생성해 거짓 정보를 퍼뜨리려 할 수 있다. 과거, 의도 여부를 떠난 거짓 정보 유포 작전을 집중 연구한 전략적 대화 연구소(Institute for Strategic Dialogue)의 수석 OSINT 애널리스트인 엘리스 토마스(Elise Thomas)는 “특히 정부와 관련된 거짓 정보 유포 세력이 작전을 펼칠 충분한 자금을 보유한 것을 확인했다. 웹 도메인 구매, 거액을 지출한 거짓 정보 유포, 봇 계정 대량 구매, 거짓 정보 확산 인력 동원 등 다양한 거짓 정보 작전을 발견했다”라고 말했다.

러시아의 의도적인 거짓 정보 작전과 러시아의 대외 첩보 요원 네트워크의 현실을 폭로한 탐사 보도 기관 벨링캣(Bellingcat) 창립자인 엘리엇 히긴스(Eliot Higgins)가 알아낸 바와 같이 정부에는 인증된 계정을 구매하는 일이 매우 사소한 일이 될 수 있다. 2018년, 주기적으로 거짓 정보를 널리 확산시킨 러시아 인터넷 조사국은 약 1,000만 달러 상당의 예산을 보유했다. 토마스는 “실제 인물이나 기관을 사칭하는 것 이외에도 새로운 신원을 생성한 거짓 정보 유포 작전도 펼칠 수 있다. 예를 들어, 실제로 존재하지 않는 언론인이나 정부 기관으로 위장한 가짜 계정을 생성한다. 실존하지 않는 인물 계정에 인증 마크까지 있다면, 더 신뢰하기 쉽기 때문이다”라고 설명했다.

과거, 국가 산하 해커 세력은 정보 혼란을 유발하기 위해 계정 인증 마크가 필요하지 않았다. 아메리칸대학교 신기술 및 보안 부교수 사만다 브래드쇼(Samantha Bradshaw)는 “다수 국가 주도 거짓 정보 작전은 가짜 계정을 동원해, 다양한 주제가 화제가 되도록 할 의도로 분열과 양극화되는 사용자 생성 콘텐츠를 널리 확산한다. 그리고 중요하지 않은 곳에서 실제보다 더 중요한 것처럼 보이도록 한다. 따라서 트위터 블루가 의미 있는 방식으로 영향력 행사 작전의 비용을 높일 수 있을지는 분명하지 않다”라고 말했다. 러시아 정부 산하 트위터 계정은 과거, 어떠한 인증도 없이 언론 보도에 수백 번 인용된 적이 있다.

트위터 블루를 더 널리 지원하면서 인력이 감축된 새로운 트위터 소속 직원은 특정 계정이 타인을 사칭하여 온라인 대화의 영향력 강화에 협력하는 계정인지 아니면 실제 사용자 계정이 맞는지 판단하기 어려워질 것이다. 트위터 직원은 신원 인증 과정이 없는 계정 인증 때문에 미래의 트위터 모습이 달라질 것이라고 암시했다. 트위터 신뢰 및 안전 총괄 관리자인 요엘 로스(Yoel Roth)는 단기적으로 트위터가 타인을 사칭한 것으로 드러난 계정을 더 적극적으로 검토할 것이라고 말했다. 그는 “유료 인증은 (완벽하지는 않지만) 계정 운영자가 실제 인간임을 강력하게 시사해, 봇과 스팸에 맞서 싸우는 데 도움이 된다. 하지만 신원 인증과 같은 수준으로 유용하지는 않다”라고 언급했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Elon Musk’s Twitter Is a Scammer’s Paradise