Twitter는 사용자의 개인정보 보호에 대한 책임을 매우 중요하게 생각합니다. 최근 Twitter 사용자의 데이터가 온라인에서 판매되고 있다는 언론 보도가 있은 후 Twitter는 이에 대해 철저히 조사했으나, 최근 판매되고 있는 데이터가 Twitter의 시스템 취약성을 악용하여 입수된 것이라는 근거는 없었습니다. Twitter는 또한 올해 초에 발생한 사건에 대한 업데이트를 공유하고, 이를 해결하기 위해 Twitter에서 취한 조치를 투명하게 전달하고자 합니다.

사고 개요

앞서 2022년 8월에 사용자들에게 공지한 바와 같이, 2022년 1월 Twitter의 버그 바운티 프로그램을 통해 Twitter 시스템에서의 취약성에 대한 신고가 접수되었습니다. 이러한 취약성의 결과로, 어떤 사용자가 Twitter에 이메일 주소나 전화번호를 제출하면 Twitter에서는 해당 사용자가 제출한 이메일 주소나 전화번호에 연결되어 있는 Twitter 계정이 있는 경우 이 계정을 알려주게 됩니다. 이 버그는 2021년 6월 코드 업데이트로 인해 발생했습니다. Twitter에서는 이러한 사실을 발견한 후 즉시 문제를 조사하고 바로 잡았습니다. 

2022년 7월, Twitter는 언론 보도를 통해 누군가 이러한 취약성을 악용하여 수집한 정보를 판매하려 했다는 사실을 파악했습니다. 판매 가능한 데이터의 샘플을 검토한 후, Twitter는 해당 문제가 파악되기 이전에 악의적인 행위자가 이로부터 이득을 취했음을 확인했습니다. 당시 Twitter는 피해를 입은 사용자들과 관련 당국에게 이 사실을 신속히 알렸습니다.

2022년 11월, 일부 언론에서 Twitter 사용자들의 데이터가 온라인상에 유출되었다고 보도했습니다. Twitter의 사건 대응팀은 이 소식을 접한 후 곧바로 이 보도에서 언급된 데이터를 2022년 7월 21일에 언론에서 보도된 데이터와 비교했습니다. 비교 결과, 두 사건에서 노출된 데이터는 동일한 데이터로 확인되었습니다. 

2022년 12월에는 특정 인물이 4억 개 이상의 Twitter 관련 사용자 이메일과 전화번호에 액세스할 수 있다고 주장하며 이 데이터가 2022년 1월에 발견된 것과 동일한 취약점을 통해 노출되었다고 주장하는 추가적인 언론 보도가 발표되었습니다. 최근에는 2023년 1월, Twitter 관련 계정 2억 개의 데이터를 판매하려는 유사한 시도가 언론을 통해 보도되었습니다.  

Twitter의 사건 대응팀과 개인정보 보호 및 데이터 보안팀은 철저한 조사 후 다음과 같은 결론을 내렸습니다. 

• 11월에 보도된 사용자 계정 540만 개는 2022년 8월에 노출된 계정과 동일한 것으로 확인되었습니다.
• 두 번째로 제기된 정보 누출 의혹에서, 4억 개의 사용자 데이터 인스턴스는 이전에 보고된 사건이나 새로운 사건과 관련이 없었습니다.
• 2억 개의 데이터세트는 이전에 보고된 사건이나 Twitter 시스템의 악용에서 비롯된 어떠한 데이터와도 관련이 없었습니다.
• 두 데이터 세트는 동일했지만, 두 번째 데이터세트는 중복 항목이 삭제되어 있었습니다.
• 분석된 데이터세트 중 어느 것도 비밀번호나 비밀번호 해킹에 사용될 수 있는 정보를 포함하지 않았습니다.

결론적으로, 문제 조사를 위해 분석한 자료와 정보를 토대로 할 때, 온라인에서 판매된 데이터가 Twitter 시스템의 취약성을 악용하여 입수한 것이라는 근거는 없었습니다. 해당 데이터는 다른 소스를 통해 이미 온라인에서 공개적으로 사용 가능한 데이터의 모음일 가능성이 높습니다. 

Twitter는 서로 다른 국가의 데이터 보호 당국 및 기타 관련 규제 기관에 연락하여 문제가 제기된 사건을 해명하고 있으며, 향후에도 이러한 노력을 계속 이어가고자 합니다. 

Twitter는 계속해서 사건에 관한 보도를 모니터링하고 그에 따라 업데이트를 제공하겠습니다.

계정 보호 방법

노출된 비밀번호는 없었으나 Twitter의 모든 사용자는 권한이 없는 로그인으로부터 계정을 보호하기 위해 인증 앱이나 하드웨어 보안 키를 사용하여 2단계 인증을 사용 설정할 것을 권장합니다. 계정의 안전이 염려되거나 개인정보를 보호하는 방법에 대해 궁금한 사항이 있는 경우 이 양식을 통해 Twitter 개인정보 보호 오피스에 문의하시기 바랍니다.

또한 위협적인 행위자가 유출된 정보를 활용하여 매우 효과적인 피싱 캠페인을 만들 수 있으므로 Twitter 사용자는 이메일을 통한 모든 종류의 통신을 수신할 때 각별히 주의할 것을 권고합니다. 위급한 분위기를 조성하는 이메일이나 개인 정보를 요청하는 이메일에 주의를 기울이고, 적법한 Twitter 출처에서 발송된 이메일인지 다시 한번 확인하세요.

보안 위험 신고에 대해 자세히 알아보려면 Twitter 고객센터를 방문해 주세요. 또한 Twitter 투명성 보고서에서 플랫폼 조작 및 국가 지원 활동으로부터 Twitter를 보호하기 위한 당사의 노력에 대해 자세히 알아볼 수 있습니다.