텀블러의 실수

스팸과 피싱이 끊이지 않는 세상, 카페에서 링크를 하나 클릭했다는 이유만으로 관리자에게 지적받는 세상, 어떤 회사는 이메일 자체를 포기하는 방법까지 고민하는 세상, 그 와중에 한 회사가 유례 없는 행동에 돌입했다. 이 회사는 고객에게 급박한 메시지와 함께 클릭할 버튼 하나가 들어 있는 이메일을 보냈다. 버튼을 눌러라 그렇지 않으면 2주 내에 모든 자료가 삭제될 것이다라는 내용의 이메일은 수많은 이메일보안 관리자들의 분노를 살 지경이 됐다. 여기에 한 블로거가 더 이상은 안 되겠다며 맞서고자 한다.

위 내용은 시적으로 과장되긴 했지만 사실 텀블러가 도대체 무슨 생각으로 위와 같은 행태를 보였는지 지적하지 않을 수 없다.

 

이메일관리자의 입장에서 이메일에 첨부된 클릭해서는 안 되는 링크를 사용자가 클릭해 버린 경우는 가히 최악의 사태라고 할 만하다. IT 예산의 상당부분은 스팸차단/피싱차단/맬웨어차단 필터링 솔루션에 투자되며 이는 사용자 메일함에 골칫거리가 침투하지 않도록 하기 위함이다. 그리고 사용자들이 피싱에 넘어가 물질적 손해를 입는 사고를 뒷처리하고 또한 사용자들이 앞으로는 피싱을 가려낼 수 있도록 하는 교육에도 상당한 시간이 투자된다.

 

침입자들은 언제나 정상적인 서비스를 가장하기 위해 온갖 수단방법을 가리지 않으며 정상 서비스가 오히려 침입자의 행태를 보이는 경우만큼 곤란한 일도 없을 텐데 텀블러는 이번에 그런 우를 범하고 말았다.

 

필자는 이름이 흔하지 않은 편이어서 어떤 서비스에 새로 가입할 때 사용자 이름이 중복되는 일은 별로 없지만 만약 그럴 경우에 난감하긴 마찬가지다. casper라는 이름을 놔두고 cmanes73과 같은 다른 아이디를 만드는 건 무척 번거로운 일이다. 이렇게 보면 텀블러가 아이디 중복을 줄이기 위해 비활성 계정을 조사하는 조치는 확실히 수긍할 만하다. 이는 필요한 일이며 구글도 이를 본받을 필요가 있다. 다만 이렇게 좋은 목적을 실제로 실행하는 방법이 문제였다.

 

피싱 공격에서 가장 흔하게 나타나는 징표를 떠올리면 다음과 같다.

 

◆ 예정에 없던 이메일

◆ 첨부된 링크

◆ 특정한 행동 요구

◆ 요구사항을 따르지 않을 경우의 불이익 예고

◆ 어색한 문장

 

그리고 다음은 필자가 얼마 전 텀블러로부터 수신한 이메일이다.

 

 

◆ 예정에 없던 이메일 - 해당

◆ 첨부된 링크 - 해당

◆ 특정한 행동 요구 - 해당

◆ 요구사항을 따르지 않을 경우의 불이익 예고 - 해당

◆ 어색한 문장 – 적어도 철자를 교정하고 문법을 지키는 정도의 노력은 보였다.

 

이상과 같이 5개 지표 중에 4개가 해당되기 때문에 피싱일 가능성이 아주 크다고 진단된다. 버튼 위에 마우스를 올리면 다음과 같은 모양의 링크를 볼 수 있다.

 

보이는 모습처럼 URL이 하도 길어서 마우스 커서로 미리보기를 할 수조차 없었다. 주소를 복사해서 메모장에 붙인 결과는 다음과 같다(안전을 위해 몇 글자를 바꿨다).

 

https://mx.tumblr.com/wf/click?upn=pExFEqfPlO5duncgvWxELj6BdPKzY-2B2KpHskfyAsFCAmyalGjkZK-2Bgt8D-2BrZETmkWoWg3C3hRuBABHTYTEdRFPaCMBLNHc-2FAczjCqAlPPqGkkeM5T6HdBKYuVm51clmZzCVDqj0CcXlRaho-2BB2jgm2u4ysjXkLoiF57XaXZa7YHm2-2FBuCAs6madrUGkkJKW_bgMz1-2BBidWQ3wcPewwcNCT4-2BWbP-2Bg6-2F3nAWtZfQc3JsPVn6tMqyS3KCUuIdNTscNFFTX1SymnAVb4j83X2vynBJ1P2BiEPsg7mwEjyhBzgmZaWFrEeX7oHGDaOFTOysG-2FtItDt4AAErn2FeFezvliAQg1BSiMgr59hmD6xRB74nFUhyzYQPFzQOMmJetARmsvVwvKMjRWdkZL-2FfRn-2BgSrv7t4jtsaDf7xGaSln8Jt0PXWfgwPbgxbJ5rh7N-2BAH6s

 

이 주소만 놓고 보면 정상적인 주소라고 할 수도 있겠지만 그걸 어떻게 장담할 수 있는가? 이 수많은 글자가 의미하는 건 무엇인가? 이를 확인하려면 링크를 클릭할 수밖에 없는데 바로 그러한 행동이야말로 사용자가 해서는 안 되는 일이다. 하지만 이번 경우는 글을 작성하기 위해 필요했기 때문에 결국 링크를 클릭했다. 정확히 말하자면 완전 격리된 가상머신에 있는 브라우저를 통해 링크를 열었다. 그 결과 나타난 페이지는 실제 텀플러 페이지와 아주 비슷했고 텀블러의 SSL 인증서를 가지고 있었으며 텀블러로 이어지는 IP주소를 가지고 있었다. 결정적인 문제는 계정 확인을 위해 사용자 ID와 비밀번호를 입력하라는 요구가 떴다는 데 있다. 그렇다면 링크에 들어 있는 수백 개의 글자는 도대체 왜 있었는가?

 

참고로 텀블러에서 자체적으로 종종 띄우는 페이지를 소개하자면 다음과 같다.

 

 

위와 같이 사용자들에게 텀블러 계정을 다른 곳에서 입력하는 경우를 주의하라는 당부를 주는 걸 보면 텀블러에서도 피싱이 무엇인지는 지각하고 있긴 한 것 같다. 어쩌면 이러한 보안을 담당하는 직원들과 비활성계정 확인을 담당하는 직원들이 사내 야유회에서 서로 다른 팀에 들어가 경기를 벌이는 건 아닐까.

 

하지만 텀블러를 비롯한 소셜네트워크 및 인터넷 서비스 제공자들에게 진지하게 호소하고자 한다. 사용자 계정 데이터베이스를 싹 청소하는 건 좋은 일이다. 특히 마구잡이로 사용자이름을 선취하여 나중에 돈이라도 몇 푼 뜯어보려는 심보를 가진 몇몇 때문에 수많은 이름들이 중복에 걸린다는 점을 생각한다면 비활성 사용자이름을 회수하고자 하는 조치는 분명 칭찬받아 마땅하다. 하지만 그 방법이 보다 상식적이었으면 하는 생각이다. 링크를 넣어서는 안 된다. 계정정보를 요구하는 페이지로 이어지는 링크를 넣어서는 안 된다는 뜻이다. 별도 요구사항 없이 단순히 계정을 확인하기만 하는 간단한 링크를 삽입하거나 아니면 블로그 또는 홈페이지로 직접 연결하여 사용자들이 로그인하고 확인하도록 하면 된다. 관리자들이 시간과 정력을 들여 사용자들에게 뭔가를 "절대 하면 안 된다"라고 교육하다가 "이번만은 예외다"라는 식으로 얘기할 수밖에 없게 된다면 이는 무척 유익하지 못하다.

 

특히 일반소비자, 고객기업, 내부사용자 등에게 서비스를 제공하는 회사의 IT관리자라면 이제까지의 내용에 더욱 주의를 기울여야 한다. 여러분이 막아내고자 하는 피싱 공격자의 행태가 여러분 스스로의 모습이 되어서는 안 된다.

 

 

 

Casper Manes, Hey Tumblr, WTH Were You Thinking?, 10. 15. 2015.

http://www.gfi.com/blog/hey-tumblr-wth-were-you-thinking/