문자를 기반으로 한 이중인증은 더 이상 무료 트위터 사용자들에게는 없다. 문자 이중인증으로 계정을 보호하고 싶다면 유료 고객이 되어야 한다. 계속 무료로 트위터를 쓰고 싶다면 다른 이중인증을 쓰거나 이중인증을 포기해야 한다.

[보안뉴스 문가용 기자] 트위터가 갑자기 문자 메시지를 기반으로 한 이중인증 옵션을 폐기하겠다고 발표했다. 유료 서비스인 트위터 블루(Twitter Blue)에 가입한 사용자들은 포함되지 않는 말이다. 이 발표가 나오자 보안 업계에서는 성난 목소리가 나오기 시작했다. 이미 떨어지기 시작한 트위터의 평판은 더더욱 나락으로 가게 됐다.

​

[이미지 = utoimage]

트위터는 2월 15일 문자 메시지 기반 이중인증을 30일 안에 비활성화시키겠다고 발표했다. 유료 고객에게는 해당되지 않는다고도 설명했다. “2023년 3월 20일부터 일반 트위터 사용자들에게는 문자 기반 이중인증 옵션이 제공되지 않습니다. 3월 20일 이후에도 문자 기반 이중인증이 활성화 되어 있으면 자동으로 비활성화 됩니다.”

일부 보안 분석가들은 “매우 잘못된 선택이며, 이중인증을 사용해 트위터 계정을 보호하는 수많은 사용자들을 위험에 처하게 하는 결정”이라고 비판의 목소리를 냈다. 트위터는 “문자 기반 이중인증은 취약하다”는 입장을 내세우며 문자 기반 이중인증 폐지 이유를 밝혔는데, 이 말 자체는 보안 분석가들도 동의하기는 한다. 그럼에도 아예 없애버리는 것보다는 문자 기반 이중인증이라도 있는 게 낫다는 게 대부분의 의견이다.

보안 업체 IT하베스트(IT-Harvest)의 수석 연구원인 리차드 스티에논(Richard Stiennon)은 “솔직히 말해 더 나은 보안 옵션을 돈 주고 팔겠다는 뜻으로 보인다”고 말한다. “물론 트위터가 이중인증을 완전히 삭제한 건 아닙니다. 물리 키나 인증 전용 앱을 사용한 이중인증은 여전히 가능합니다. 그러나 문자 인증보다 불편하죠. 트위터가 모든 트위터 계정이 이중인증으로 로그인 되도록 강제하고 물리 키를 무료로 풀지 않는다면 이중인증이라는 것 자체를 사람들이 사용하지 않기로 결정할 겁니다. 즉 트위터는 이번에 이중인증에 사람들이 익숙해질 기회를 앗은 겁니다.”

수익을 올리기 위한 수단?

SANS인스티튜트(SANS Institute)의 보안 트렌드 부문 국장인 존 페스카토어(John Pescatore)는 “여러 가지 이중인증 기술 중 문자를 기반으로 한 것이 약한 편에 속한 것은 사실입니다만 비밀번호 하나로 계정을 보호하는 것과는 비교하기 힘들 정도로 안전하다”며 “덜 안전한 이중인증이라 폐기하고 일부 유료 고객들에게만 허락하겠다는 건 논리적이지도 않고 이성적이지도 않은 설명”이라고 주장한다.

그 설명을 이해하려면 “수익성이라는 키워드를 떠올리면 된다”고 페스카토어는 말한다. “무료 고객으로부터는 안전할 수 있는 옵션을 하나 뺀 것이 현재 그들이 내린 결정의 본질입니다. 그리고 좀 더 불편한 것으로 알려진 옵션만을 유지시켰죠. 유료 고객은 뭐든지 사용할 수 있도록 해 두면서 말이죠. 이것만으로 설명이 다 된다고 봅니다.”

2021년 12월 트위터가 발표한 투명성 보고서에 의하면 이중인증 옵션을 활성화 하고 있는 트위터 사용자들은 2.4% 정도였다. 그 중 문자 기반 이중인증을 사용하는 사람들이 74.4%였다. 트위터가 권장하는 인증 앱을 사용하는 사람은 28.9%, 보안 물리 키를 활용하는 사람은 0.5%였다. 이번 트위터의 결정으로 영향을 받는 사람이 이중인증 사용자들 중에서는 가장 많을 가능성이 높다는 뜻이 된다. 트위터가 유료 고객을 한 명이라도 늘리기 위해 사용자 층이 가장 많은 옵션을 일부러 제거했다는 의심이 나오고 있는 이유다.

평소부터 보안에 무심했었던 트위터의 태도가 다시 한 번 모습을 드러낸 것이라는 의견도 있다. 올해 초에도 트위터 생태계에서는 API 엔드포인트가 침해되는 사건이 발생했고, 이 때문에 2억 명의 트위터 사용자 정보라는 데이터가 다크웹에 올라와 주목을 받았다. “보안이라는 측면에서 트위터는 그리 좋은 성적을 거두고 있는 회사가 아닙니다. 작년에도 FTC와 민사 소송을 시작했다가 패해서 1억 5천만 달러 벌금을 냈죠. 거의 매년 이런 식의 사고들이 트위터에서 일어나고 있습니다.”

경영진과 대표가 최근 바뀌었지만 보안 강화에 대한 의지는 아직도 보이지 않고 있다. “새 경영진이 들어와서 가장 먼저 한 일은 ID 인증 마크를 8달러에 판매하는 것이었습니다. 그리고 이번에 또 유료 고객들에게만 안전한 옵션이 주어졌고요. 이런 행보를 연속해서 보이는데, 그리고 보안에 미흡한 과거 트위터의 이미지를 개선하기 위한 움직임은 하나도 없는데, 어떻게 이번 결정을 곱게 볼 수 있을까요.”

트위터, 지켜보는 눈이 많아

일론 머스크(Elon Musk)가 트위터의 새 주인이 된 이후 트위터를 둘러싼 논란이 끊이질 않고 있다. 그렇기 때문에 많은 이들이 트위터를 유심히 지켜보는 중이다. 옴디아(Omdia)의 분석가 페르난도 몬테네그로(Fernando Montenegro)는 “오늘 날 트위터의 모든 움직임은 정치권의 주시 대상이 되고 있다”고 말한다. “미국만이 아니라 유럽에서 특히 더 그렇죠.”

몬테네그로는 “그래서 이번 움직임이 대단히 영리한 것”이라고 말한다. “문자를 기반으로 한 이중인증이 덜 튼튼하다는 건 사실입니다. 이번에 트위터가 ‘더 안전한 기능을 사용하게 하기 위해 이중인증 중 가장 약한 옵션을 뺐다’고 말하면 정치권에서는 통할 겁니다. 사용자가 편리한 것보다 더 안전한 장치를 사용하는 게 우선권을 갖게 되니까요. 그러면서 문자 메시지를 인증 때마다 보내지 않아도 되니 트위터로서는 운영비를 절감할 수 있게 됐고요. 이것 때문에 몇 명이라도 유로 구독자가 는다면 그건 그것 때로 이득이 되겠죠. 트위터 입장에서는 모든 것을 감안한 신의 한 수였습니다.”

이제부터 문제는 사용자들이 어떤 식으로 움직이느냐이다. 몬테네그로는 “이중인증 옵션들을 잘 알고 있는데 문자 인증이 쉬워서 문자 기반 인증을 사용했을 수도 있고, 다른 이중인증 기술에 대해 몰라서 그랬을 수도 있다”며 “전자라면 트위터의 계정들을 전반적으로 더 위험해질 것이고, 후자라면 오히려 트위터가 더 안전해질 수도 있다”고 예측한다. “시간이 지나야 우리는 결과를 알게 될 것입니다. 확률은 반반 정도라고 봅니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=114498&page=2&mkind=1&kind=1)]