엑스(X·옛 트위터)가 공식 인증 계정 표시법을 바꾸면서 사이버 범죄자들이 이를 악용하고 있다는 지적이 나온다. 트위터 시절에는 트위터가 직접 검증한 유명인이나 인플루언서, 기업 등의 공식 계정에 대해 파란색 체크 표시를 붙여줬다. 그런데 일론 머스크 최고경영자(CEO)가 트위터를 인수하고 난 뒤에는 돈만 내면 누구나 이 표시를 받을 수 있도록 했다. 사이버 공격자들이 가짜 계정을 만든 뒤 진짜처럼 보이도록 하기 위해 구독료를 지불하고 인증 표시를 붙이고 있다는 것이다.
17일 업계에 따르면 X는 ‘X 프리미엄’이라는 제도를 운영하고 있다. 월 8달러 또는 연간 84달러를 내면 파란색 체크마크를 받을 수 있도록 했다. X는 홈페이지를 통해 “예전에는 파란색 체크마크 특정 요건을 바탕으로 독립적으로 인증을 받았으며 진위성, 유명성 및 활동 중 조건을 갖춘 공인의 계정임을 나타냈다”며 “이제 파란색 체크마크는 해당 계정이 X 프리미엄을 구독 중인 계정임을 의미한다. 예전처럼 활동 중이거나 얼마나 유명한지, 진위 기준을 충족하는지 확인하기 위한 검토를 거치지 않는다”라고 했다.
X에는 은색 체크마크, 금색 체크마크 등도 새롭게 생겼다. 은색 체크마크는 정부 기관이나 공무원, 공공 기관에 붙여주는 것이고 금색 체크마크는 예전에 트위터에서 사용됐던 파란색 체크마크와 같은 의미다. 그런데 사용자가 금색 체크마크를 유지하려면 X에 월 1000달러의 구독료를 내야 한다.
문제는 작은 회사들의 경우 금색 체크마크를 받더라도 유지 비용이 부담된다는 점이다. 이들은 결국 공식 계정 없이 사업을 진행할 수 밖에 없고, 이를 돈 많은 해커들이 악용하는 상황이 발생할 수 있다. 특정 회사의 공식 계정과 비슷하게 보이는 계정을 만들고 금색 체크마크를 구독한 뒤 사용자들을 유인하는 것이다.
실제 지난 여름 영국의 저가 항공사인 이지젯(easyJet)이 이 같은 상황을 겪었다. 이지젯은 지난 7~9월 러시아와 우크라이나 전쟁 때문에 1700개의 항공편을 취소했다. 많은 고객들이 항의 또는 문의를 할 것이 예상되는 상황이 오자 사이버 공격자들은 X에 이지젯 가짜 계정들을 만들기 시작했다. 그 뒤 X 프리미엄 구독을 통해 파란색 체크마크를 달았다. 이지젯의 진짜 공식 계정에는 ‘온라인 지원 센터’로 연결해주는 링크가 걸려 있었는데 공격자들은 이를 똑같이 따라했다. 공격자들이 마련한 링크를 누르면 피싱 페이지로 연결되고 개인정보를 탈취당하는 것이다.
호텔 예약 사이트인 부킹닷컴을 악용한 사례도 있었다. 환불을 원하는 소비자가 X에 있는 부킹닷컴 계정을 통해 환불을 요청하려고 했는데 이 계정이 가짜였던 것이다. 그런데 이 사용자가 부킹닷컴 계정 이름 가운데에 하이픈(-)이 있다는 점을 이상하게 여겼고, 계정 가입 날짜가 2023년인 것을 발견해 피해는 발생하지 않았다.
사이버보안 기업 카스퍼스키랩은 블로그를 통해 “공격자들이 호텔 예약 시스템, 항공사, 은행 등 열악한 서비스에 대해 불평하기 위해 소셜미디어(SNS)를 사용하는 사람들을 표적으로 삼는다”고 설명했다. 그러면서 “X에서 프로필의 신뢰성을 나타내는 가장 유용한 지표는 생성 날짜일 것”이라며 “최근 만들어진 ‘공식 계정’은 컬러 체크 마크가 있어도 매우 의심스럽다”고 했다.
카스퍼스키랩에 따르면 X에 금색 체크표시를 단 마이크로소프트 계정이 여럿 있지만 이 중 어떤 계정도 마이크로소프트와는 관련이 없다. 반면 마이크로소프트의 기술지원 계정인 ‘Microsoft Help’라는 아이디는 회사가 운영하는 진짜 계정인데도 어떤 컬러 체크마크도 표시돼 있지 않다.
카스퍼스키랩은 “어떤 경우에도 X의 누군가에게, 즉 일부 회사의 직원이라고 밝히는 사람에게 금융 정보를 제공해서는 안된다”며 “이를 요청한 사람은 가짜일 가능성이 높으므로 그들과의 모든 통신을 차단하는 것이 가장 좋다”고 덧붙였다.