어떤 해커가 엘론 머스크, 빌 게이츠, 기타 유명인의 트윗을 털어 한동안 화제가 되었는데. IT 커뮤니티에서 활발하게 논의되었던 것중 하나가 '왜 그 해커는 그정도 계정을 털고서도 겨우 비트코인 피싱 트윗이나 보냈는가' 입니다.
이 글의 저자는 그게 해당 트위터 해커가 할 수 있던 가장 최선의 수였다고 주장하는데요. 해커가 할 수 있었던 모든 방법을 분석해보면서 나쁜 해커가 할 수 있는 최선(?)에 대해 풀어 썼습니다.
저자가 분석한 방법들은 '주식 시장 조작하기', '협박하기', '다크웹에 뿌려버리기', '버그 바운티 제도 이용하기', '피싱 사이트 홍보용으로 쓰기' 등이 있었는데요, 모두 위험성, 실제 자본이 들어올 가능성을 들어 해커가 번 10만 달러 이상 벌 수 없었을 것이라고 말합니다. ( 공개된 비트코인 계정이라서, 해커가 실제로 얼마를 벌었는지 추적할 수 있었습니다 )
상상해보세요. 당신은 어떤 이번년도에 취약점을 우연히 발견하였어요. 유효한 트위터 유저의 계정에 접근을 어떻게 가져가는지에 관한 취약점이었죠. Joe Biden, Kim Kardashian, Kanye West, XXXTentacion, Apple .. 당신이 아는 모든 계정에요. 네. 이게 당신의 사악한 계획 중 1단계인데, 그럼 2단계는 뭘까요?
아마도 대통령 계정에 북한에 미사일을 쐈다는 가짜 트윗을 날릴 수도 있겠네요. 그렇지만 저는 그런 몇몇 가짜 트윗만으로 전쟁이 시작한다고 생각하지는 않지만, 뭐. 그냥 그렇다고 쳐봅시다. 그렇지만 당신은 세상이 불타는 걸 보고 싶지는 않고; 그냥 가능한 한 돈이나 많이 버는 거잖아요. 그럼 뭘 할 수 있을까요?
7월 15일, 트위터를 털어버린 한 해킹이 사람들에게 한 가지 답을 알려줬습니다 : 유명한 계정에 "1 BTC를 이 계정으로 보내면 2 BTC를 보내줄게!" 라는 메시지를 포스트하고, 실제로는 2BTC를 돌려주지는 않는 거죠.
트위터가 상황을 알아차리기 전까지 100,000$에 달하는 돈을 끌어 모았습니다. 몇몇 사람들은 ( 트위터에서나, Hacker News에서나, 기타등등. ) 저런 힘을 가지고 있는데도 저런 짓밖에 못하냐고 조롱했지요. 그럼 우리가 저 사람들보다 진짜 더 잘할 수 있을지, 몇몇 아이디어로 한번 생각해봅시다.
많은 사람들의 마음에 있을 첫 가정입니다. 듣기는 쉬워보이네요. 테슬라 주식을 사서, 엘론 머스크 계정에서 로그인한 다음 "$TSLA 주식이 2000$까지 갈 겁니다." 그리고 가격이 좀 오르고 엘론 머스크나 트위터나 아니면 누군가가 이 해킹을 깨닫기 전에 팔아버리는 거죠.
이걸 위해서 해커가 가지고 있지 않고. 이득을 볼만큼 주식을 구입해야 할 상당한 자본이 필요하겠지만, 다른 옵션도 있습니다. 주식에 공매도를 걸고, 테슬라의 새로운 자동차 라인이 타격을 입었다고 가짜 뉴스를 트윗하는 거에요. 아니면, 이 해킹으로 큰 타격을 입을 트위터의 주식을 공매도 걸수도 있겠죠. ( 주식 장 마감 후에 해킹을 했으니까요. )
이 모든 것의 문제는 익명으로 주식 시장에 참여하는 것은 아주 어렵다는 것입니다. SEC는 이것보다는 더 흔한 내부자 거래와 사기를 포착하기 위하여 모든 종류의 모니터링 기능을 갖추고 있으며, 가상의 해킹 기반 사기에 대해 오랫동안 철저한 조사를 수행할 수 있습니다. 비트 코인 거래와 다르게, 송금과 주식 구매는 이 사기가 터진 이후 취소될 수 있으며 미국 달러로 사기를 치면 노출과 위험이 증가됩니다.
해커가 모든 트위터-인증된 계정에 완전히 접근할 수 있다면, 그러니까 해커들이 이들의 DM에 접근할 수 있다면. 가짜 트윗을 올리는 것보다 더 가치있었지 않을까요? 계산할 수 없는 피해를 입은 소니의 유출과 가설이라도 끔찍하게 느껴지는, 하루 동안 Gmail 비밀번호 확인이 먹통이 된 걸 가정한 Tom Scott 비디오(https://www.youtube.com/watch?v=y4GB_NDU43Q) 보면 그게 더 가치 있어 보이긴 하네요.
인증된 사용자의 계정에는 세상의 빛을 보고 싶지 않아 할 아주 흥미로운 DM들이 있다는 것은 명백한 사실이지만, 이걸로 돈을 버는 건 조금 까다롭습니다. 가장 노골적인 방법은 협박이겠네요. 아주 유명한 계정들의 메시지들을 유출하고, 만약 X BTC를 Y 주소로 보내지 않으면 완전히 공개할 것이라고 위협하는거죠.
이건 확실히 돈을 벌 수는 있겠지만, 노력할만한 가치가 있을 거라고는 확신하지 않습니다. 첫 째, 어떤 계정이 꿀이 넘치는 많은 DM들이 있는지 미리 판단하기는 어렵습니다. Joe Biden과 같이 거대하고, 유명한 계정들은 소셜 미디어 팀에 의해 운영되며 트위터를 통해 민감한 정보를 교환하지 않을 수 있습니다. 더 작은 계정들은 아마 더 재미있는 가쉽거리를 들고 있을 수 있겠지만, 결과적으로는 지불할 의사가 적거나 지불할 능력이 떨어질 수 있습니다.
그리고 그런 다음에도 모든 데이터를 추출하고 저장하고, 해킹한 각각 유저들에게 개별 메시지를 보내고, 누가 돈을 지불했는지 지불하지 않았는지 추적하고, 유출할 자료를 공개적으로 공개하는 데에 문제가 실질적인 문제가 남아있습니다. 결국, '바보같은' 비트 코인 사기보다 돈은 덜 받는데 많은 운영 오버 헤드가 발생합니다.
일단 어떻게 실제 구매자를 찾을 지는 논외로 치고. (그냥 포럼에 포스트를 쓸 수도 없을 거고, 연준도 다크 웹을 읽습니다. ( 실제로, 연준은 다크 웹을 읽고 있습니다. https://www.wired.com/story/dark-web-drug-takedowns-deepdotweb-rebound/ ) ) 그럼 이 버그에 대해 구매자가 얼마를 지불할까요? 구매자가 이 익스플로잇을 통하여 $100k 이상의 수익을 올릴 계획이거나, ( 참고로. 이 글의 요점은 그게 어렵다는 걸 증명하는 겁니다! ) 구매자가 감시나 정보 수집과 같이 다른 목적으로 익스플로잇을 사용하려고 한다고 가정합시다.