1_개요

7월 15일, 저명한 정치인, 기업인, 연예인, 기업의 트위터 계정이 무더기로 해킹당한 사건이 있었다.

해킹 당했던 계정은 버락 오바마(미국 전 대통령), 조 바이든(미국 민주당 대통령 후보), 빌 게이츠 (마이크로소프트), 일론 머스크(테슬라), 제프 베조스(아마존), 칸예 웨스트 & 카다시안 부부, 우버, 애플, 바이낸스, 비트파이넥스, 코인베이스 공식 트위터 계정 등이었다.

7월 31일, 미국 법무부와 FBI는 미국 플로리다 주 탬파에 거주하는 그레이엄 아이번 클라크를 해당 사건 혐의로 체포하여 기소하였다고 발표했다. 이들은 이들은 특히 유명인 트위터 계정을 도용해 '1천달러(약 120만원)를 비트코인으로 보내면 30분 안에 돈을 두배로 돌려주겠다'는 글을 올린 뒤 자신의 계좌로 입금된 $118,000 상당의 비트코인을 가로챘다. 현재 30건의 중범죄 혐의를 적용하여 기소했으며 클라크와 공모한 용의자로 플로리다 주 올랜도 의 니마 퍼젤리와 영국 보그너 레지스의 메이슨 쉐퍼드도 함께 기소했다.

[그림 1] 트위터 해킹사건 2020 Timeline (출처: 연합뉴스)

2_세부내역

가. 용의자 [OGUsers(해커 포럼)&디스코드 닉네임, 실명, 나이, 거주지, 사건 역할 순]

- Kirk#5270, Graham Ivan Clark - 17 yo, Tampa in USA, 설계자

- Rolex#0373, Nima Fazeli - 22 yo, Orlando in USA, 계정 판매중개자

- Chaewon, Mason John Sheppard - 19 yo, Bognor Regis in UK, 계정 판매중개자

나. 피해상황

- BTC 12.83 (사고 당시 약 $118,000)

- 트위터 계정 130개 탈취 , 계정 45개 초기화, 개인 메시지박스 36개 열람

다. 사고 추적

- 미 국세청 (IRS)의 비트코인 흐름 및 지갑 추적

- 니마 퍼젤리가 생성한 비트코인 업체 Coinbase 계정에 본인 운전면허증 등록

- 메이슨 쉐퍼드의 디스코드 와 OGUsers의 계정을 연결하여 추적

- 디스코드 OGUsers 채널 채팅 로그

[그림 2] 디스코드 채팅 로그 (출처: zdnet)

라. 공격 방법

= SIM Swapping

= Phone Spear Phishing

    -  Twitter 직원으로 위장하여 트위터 직원 전용 번호로 유선 전화연결

    - 트위터 내부 VPN으로 위장한 페이지로 관리자 유도

    - 관리자에게 위장한 페이지에 2FA 확인 코드 입력 유도, 자격 증명 탈취

= Info gathering : Linkedin

마. TimeLine

- 2020-07-07 : 클라크가 디스코드에서 Kirk#5270 계정 생성

- 2020-07-08 : 클라크가 쉐퍼드에게 트위터 계정 판매 중개인이 될 생각이 있는지 문의

- 2020-07-15 : 클라크가 트위터 내부 침투 후 계정 속성 변경 후 탈취

- 2020-07-15 : 쉐퍼드가 클라크에게 3.69 BTC 전송(계정 양도 댓가)

- 2020-07-31 : 미국 플로리다주 탬파에서 클라크 체포, 힐스브로 카운티 형무소로 이송

3_Twitter 측의 대응

- 피해 계정 정지 및 롤백

- 미국 법무부(DoJ), FBI 수사 의뢰

4_Issue's turning Point

- 2 Factor Authentication (2FA)가 적용되어 있었으나 스피어피싱 전화로 이를 무력화 함

5_ 기타

- 클라크는 이 해킹 사건과 별도로 2020년 4월에 U.S. Secret Service에게 약 $700,000 상당의 BTC 압류 당한 상태

- 클라크는 미국 연방법으로는 미성년자이고 플로리다주 정부법으로는 성인이라 플로리다주에서 성인으로 기소함

- 클라크는 본인의 행위로 크나큰 파장을 일으켜 두려워했으며 체포 후 모든 행위 진술했다 알려짐