"트위터로 다른 웹사이트 로그인하지 마라"

로그인 시스템 고장…"2FA 방식, 문자 메시지→이메일·인증앱·물리적 보안 키로 변경 권장"

(지디넷코리아=황정빈 기자)트위터 로그인을 이용해 다른 웹사이트에 로그인하는 것이 위험하다는 의견이 제기됐다. 트위터 로그인 시스템의 일부가 고장났기 때문인 것으로 알려졌다.

미국 지디넷은 16일(현지시간) 트위터의 로그인 시스템 일부가 고장났다며, 트위터로 다른 웹사이트 로그인을 하지 말라고 보도했다.

미국 지디넷에 따르면 트위터의 텍스트 2단계인증(2FA)은 지난 14일부터 고장나기 시작했다. 일론 머스크 CEO는 15일 트위터에 마이크로서비스 블로트웨어를 끈다고 발표하기도 했다.

트위터(사진=씨넷)

지디넷은 마이크로서비스 블로트웨어 중 하나 이상의 서비스는 문자 메시지를 활용한 2FA에 필수적이었다고 지적했다. 머스크가 블로트웨어를 제거함으로써 해커로부터 계정을 보호하기 위해 설정된 2FA가 더 이상 제대로 작동되지 않는다는 설명이다.

이안 콜드워터 쿠버네티스 시큐리티 공동 회장은 트위터에 "SMS 기반 2FA 코드를 전달하는 마이크로서비스가 고장났다"며 "백업 코드가 손상됐다는 보고서도 있다. 만약 당신이 SMS 2FA가 있다면, 로그아웃을 하지 말라"고 말했다.

콜드워터는 로그인 상태를 유지하고, 2FA 방식을 문자 메시지에서 이메일 또는 인증앱, 물리적 보안 키로 변경할 것을 권장했다.

또한 콜드워터는 트위터를 사용해 로그인한 사이트를 확인해, 즉시 다른 로그인으로 대체해야 한다고 말했다.

그는 "만약 당신이 OAuth를 통해 당신의 트위터 계정에 연결된 다른 사이트나 앱이 있다면, 당장 바꿀 것을 강력히 추천한다"고 말했다. 싱글사인온(SSO)을 위해 트위터로 다른 사이트를 사용하면 해당 사이트에서 차단될 수 있다는 설명이다.

최근 일론 머스크가 트위터를 인수하면서 회사의 주요 임원은 모두 해고되거나 퇴사했다. 지난 10일에는 트위터의 최고 정보보안 책임자(CISO)인 리아 키스너도 사임했다. 리아 키스너의 사임 후, 트위터의 보안을 담당하는 사람이 불명확해지면서 트위터의 보안 시스템에 우려가 제기되고 있다.

황정빈 기자(jungvinh@zdnet.co.kr)