Kurt Got Got

 (fly.io)
1P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • Fly.io의 트위터 계정이 피싱 공격을 받아 탈취된 사건 발생
  • CEO Kurt Mackey가 정교한 피싱 메일을 통해 계정 정보를 유출한 경위 설명
  • 트위터 계정은 사내에서 중요성이 낮은 자산으로 간주되어 보안 우선 순위에서 제외됨
  • 피싱 저지방안으로 피싱 저항성 인증(MFA, Passkeys, FIDO2 등) 의 중요성 강조
  • 해당 사건을 계기로 트위터 계정 MFA 보안 강화 및 보안 인식 재정립 필요성 언급

Fly.io 트위터 피싱 사건 개요

  • Fly.io의 트위터 계정이 피싱 공격을 당해 탈취됨
  • CEO Kurt Mackey가 정교하게 설계된 피싱 메일을 받고, 계정 정보를 입력해 공격에 노출됨
  • 피싱 공격이 성공한 본질적 배경은 해당 트위터 계정의 객관적 중요성이 낮게 인식된 점과, 관리팀이 젊은 인터넷 문화에 익숙하지 않은 심리적 취약점이었음

피싱 공격의 구체적 경위

  • Fly.io는 오래 전부터 트위터 채널 관리를 외주 계약자에게 일부 맡겼으며, 크리에이티브 밈 등 신세대 컨텐츠에 충분히 익숙하지 않았음
  • 이번 공격에서 사용된 피싱 메일은 실제 x.com(트위터)의 경고 알림처럼 보이도록 설계되어, 경영진의 불안감을 자극하는 심리적 포인트를 파고들었음
  • Kurt는 1Password에서 계정 정보를 꺼내 공격자가 조작하는 피싱 사이트로 로그인하게 됨
  • 트위터 계정의 이메일 주소가 공격자 소유로 바뀌는 등 공격 후 즉시 흔적을 발견했으며, 내부적으로 모든 접근 권한을 점검 및 차단 단계를 거침

피싱 방어 전략과 조직 보안 현황

  • 일반적으로 피싱 방지는 “직원 교육”만으로는 한계가 있으며, 누구나 실수로 클릭할 수 있음을 인정하는 것이 필요함
  • 피싱 저항성 인증(U2F, FIDO2, Passkeys 등) 을 통해 상호 인증 구조를 적용하는 것이 근본 대책임
  • Fly.io 내부 인프라는 Google IdP를 통한 SSO 및 안전한 MFA로 보호되고 있어, 트위터·레거시 영역만 상대적으로 취약점이 존재함
  • 이번 사건을 계기로 공유 SNS 계정 등 비핵심 영역에도 동일 수준의 인증 보안 적용이 필요함을 인식함

사고 대응 및 복구 과정

  • 공격자는 즉시 모든 세션을 폐기하고 2FA 재설정을 시도해, Fly.io 측에서 신속히 비밀번호를 변경해도 계정 복구까지는 시간이 소요됨
  • X.com의 수동 지원을 받아 15시간 내외 만에 계정 권한을 완전히 회복함
  • 전체적으로 사용자나 고객 정보 유출은 없었으며, 단기적 브랜드 이미지 손상과 엔지니어의 대응 업무 부담이 발생함
  • 공격자가 Fly.io 트위터 기록을 일부 삭제했으나, 실질적 피해는 크지 않았음

결론 및 교훈

  • 이번 사건의 핵심 교훈은 “CEO조차 이메일을 신뢰하기 쉽고, 피싱은 누구나 당할 수 있음”임
  • 앞으로 모든 중요 계정에는 Passkeys 기반 MFA를 필수로 적용하며, SOC2 등 보안 컴플라이언스 사례로 본 사건을 활용할 계획임
  • 조직 내 보안 의사결정에서 “피싱 저항성 인증 및 SSO IdP 적용” 이 미적용된 자산이 있다면 반드시 위험 요인으로 인식해야 함
  • 이번 사고가 유사 조직에 경각심을 심어주는 사례가 되기를 바람
GN⁺ 4일전  [-]
Hacker News 의견

  • 이전 회사에서 매년 펜테스트 보안 감사를 받을 때마다 감사 회사가 항상 피싱이나 소셜 엔지니어링 공격도 해보자고 제안했음, 하지만 항상 성공한다며 권하지 않았음
    기억에 남는 얘기로는, 펜테스트하는 회사 주차장에 USB를 일부러 버려두면 누군가는 꼭 그걸 주워서 사무실 PC에 꽂아보려고 해서 결국 해킹당하는 경우가 있었음
    피싱도 사실 크게 다르지 않음
    Passkeys 설정할 좋은 타이밍임 Passkeys 가이드 참고

    • 우리 회사도 내부 팀을 상대로 정기적으로 피싱 훈련을 하는데, 클릭 안 하는 비율이 90%에 달함(정확한 수치는 확실하지 않음)
      그래도 10%가 1500명이라는 사실에 새삼 놀람
      최근엔 피싱 메일 발신 도메인을 내부 도메인으로 바꿔서, 보통 있던 외부 메일임을 알리는 배너가 안 뜨다 보니 나도 당했음

    • 누군가 주워 온 USB를 꽂고 해킹당했다는 얘기가 나왔는데, 내가 좋아하는 인용구가 있음
      2012년 이란 원전 공격(스턱스넷)에 관여한 익명의 관계자 말임
      "언제나 손에 든 USB에 대해 별 생각 없는 바보가 꼭 있다"라고 했음

    • 작년 회사 메일로 피싱 메일을 받았는데 꽤 설득력 있었음
      피싱임을 알긴 했지만 정말 정신이 없었다면 당했을 수도 있었음
      이런 정교한 피싱 사이트를 보면 일부러 샌드박스 환경에서 열고, 폼엔 더미 정보만 넣어서 공격자 시간을 낭비시키는 걸 좋아함
      근데 알고 보니 우리 회사에서 고용한 펜테스트 회사에서 보낸 거였고, URL에 내 계정과 연결된 코드가 들어있어서, 아무 정보도 입력하지 않았음에도 피싱에 당했다고 보고됨
      이런 기준으로 피싱 성공여부를 판단한다면, 펜테스트가 별 의미 없다는 생각임

    • USB 드라이브 등에서 실행 파일을 무심코 실행해서 해킹되는 거라면, passkeys도 소용 없을 것임
      소셜 엔지니어링으로 랜덤 실행 파일을 깔게 하는 식이면 마찬가지임

    • Stuxnet이 바로 이렇게 USB 드라이브로 배포됐다는 얘기가 있지만, 솔직히 요즘 세상에 이런 방식이 여전히 먹히는지 잘 모르겠음

  • 예전에 거의 피싱당할 뻔한 적이 있었음
    도메인명이 살짝 변형된 걸 못 보고 들어갔는데, 하드웨어 지갑을 써서 막을 수 있었던 경험임
    누구라도 바쁘거나 피곤하거나, 한 순간 정신 안 차리면 피싱에 당할 수 있다는 걸 깨달음
    Thomas 말처럼 모든 서비스에 passkeys를 쓰는 게 중요함

    • Apple 생태계에 익숙하다면, iOS 앱에서 PassKey를 구현하는 방법을 직접 정리해둔 튜토리얼이 있음

    • 반론을 얘기하자면, passkeys는 아직 혼란스럽고 제약만 많아서 좋은 패스워드 매니저와 강력한 비밀번호를 쓰는 것과 비교해 별 이점이 없다고 생각함

    • "누구도 피싱에서 100% 안전하지 않다"는 말에 깊이 공감함
      몇 년 전에 보안 책임자도 테스트 중에 피싱에 당하게 만든 적이 있음
      정말 누구나 위험하다는 걸 느낌

  • Fly.io 사기 피싱 관련 주제에서, 공격이 만약 정말 큰 피해를 줬다면 이렇게 가볍게 넘기지 않았을 것 같음
    그래도 누군가가 실제로 링크에서 암호화폐를 잃었다면, Fly.io 측의 책임이 문제가 될 수 있지 않을까 하는 걱정이 남음

  • 피싱 트레이닝이 별 효과 없다는 연구 결과가 있음
    "Understanding the Efficacy of Phishing Training in Practice" 참고

    • "비밀번호를 입력하면 안 되는 웹사이트에는 입력하지 마세요, 입력해야 할 곳에만 입력하세요"라는 식 조언은 결국 동어반복임
      마치 2FA SMS에서 "이 코드를 아무에게도 알려주지 마세요!"라고 하면서 정작 로그인할 때 그 웹사이트에 직접 입력하고 전달하는 구조랑 비슷함
      이런 경고성 메시지들에 늘 답답함이 큼

    • 나는 규제가 엄격한 산업에서 근무하는데, 몇 년 전 직원 한 명이 피싱에 당한 후, 규제 기관에서 5년간의 피싱 테스트 및 교육 기록을 요청했음
      우리 같은 사람들에게는 이런 훈련도 필요악 역할임

    • 원래 기사에서 똑같은 논문의 링크가 언급되고 있음

    • "우리 Zoomer(젊은 세대) 자녀가 말하길, 우리 같은 어른들은 너무 촌스러워서 이런 것에 관해 믿을 수 없다고 한다"는 말이 공감됨
      그래도 유머러스하게 받아들이는 자세가 좋다고 생각함

  • "X에 올라간 콘텐츠가 위반됐다"는 피싱 이메일이 너무 흔해서, 거의 매주 10개 이상씩 받음
    그래서 메일 필터를 여러 번 바꿔야만 했고(단순히 X라는 글자를 잡아내는 게 쉽지 않고, 사기꾼들이 문구도 계속 바꿈)
    원래 쓰던 이메일 보안 서비스를 결국 바꿨는데, 여러 업체를 써봤지만 Check Point만이 모든 X 피싱 메일을 차단해줌(광고 아님, 참고로 정보만 제공)
    보안회사 입장에서도 사실 피싱 징후가 명확한데도 못 잡는 경우가 많아서 부끄러울 정도였음

  • 나도 몇 달 전 똑같은 유형의 피싱 공격을 당한 적이 있음
    UI 엔지니어링 수준이 정말 대단했음
    피싱 화면 스크린샷 공유

    • Chromium이 브라우저에 AI 기능을 로컬로 추가하는 걸 개발한다는 소식이 있는데, 언젠가 이런 것이 보안 점검에도 쓰일 수 있겠다는 생각이 듦
      예를 들어, 외부에서 새 탭으로 열리는 링크 중에 AI가 '이 페이지가 유명 사이트처럼 보이지만 URL이 다르다'는 걸 감지해서 경고해줄 수도 있을 것임
      상위 1000개 정도 유명 사이트만 적용해도 피싱 사고를 많이 막을 수 있을 거라 봄

    • "imagecontent-x.com" 같은 URL은 누구라도 경계해야 할 단서라고 생각함

    • 그 경우 브라우저가 자동으로 로그인 정보를 채워주지 않았는지 궁금함
      혹시 legit한 트래픽 중에도 이런 일이 흔하게 발생하는지, 또 주소창 옆에 자물쇠 아이콘이 제대로 표시되는지 궁금함

  • 공격자가 가짜 랜딩 페이지와 피싱 메일을 아주 그럴듯하게 만든 걸 보면 대단하다고 생각함
    평소 암호화폐 쪽은 잘 몰라서 공격자들이 '성공 가능성이 낮고 피해도 없다'고 한 근거가 뭔지 궁금함
    가짜 랜딩 페이지에서 사용된 지갑을 추적해서 실제 피해가 없었는지 확인할 수 있는지 알고 싶음

  • 제대로 동작하는 패스워드 매니저의 중요성을 다시 느낀 경험임
    웹사이트 운영자라면 패스워드 매니저가 안 깨지게 신경 써야 함
    사이트에서 비밀번호 자동완성이 안 되면 즉시 굉장히 경계하는 경고 신호임
    코드 기반 2FA는 피싱 방지에 전혀 쓸모없다고 봄
    내가 로그인하면 공격자도 2FA 코드를 가져갈 수 있으니까, 방식에 상관없이 소용없음

    • haveibeenpwned.com 만든 사람도 피싱 경험이 있음(패스워드 매니저를 쓰는 데도 당함)

    • 기술적으로 능숙한 사람도 패스워드 매니저를 쓰고 있는데 피싱에 당한 사례와 어떻게 맞춰 생각하는지 궁금함

    • 자동완성 기능을 꺼야 함
      최신 공격에는 tapjacking 같은 방식도 있으므로 위험함

  • 왜 이 글이 상단에 올랐나 궁금했는데, 마지막에 저자의 이름(Kurt)을 보고 이해함
    교훈은 "Kurt도 당하면 누구나 당할 수 있다"는 것임
    이번엔 피해가 매우 작았지만, 누구나 사각지대를 갖고 있고, 특히 무심코 방치된 구석에 이런 취약점이 숨어 있음
    만약 공격자가 단순한 사기꾼이 아니라 진짜 악의적이었다면, 회사 공식 계정에서 시작해 소셜 엔지니어링을 더 이어갈 수도 있었을 거라 생각함

    • Kurt라는 사람을 말하는 게 맞을 것 같음

  • 글 자체도 훌륭하지만, 피싱 기법이 정말 정교하다고 느낌

    • 이 피싱 사기가 최근 유행한 거고, 우리만 당한 게 아니라는 얘기를 들음
      근데 이런 일이 벌어지기 전에는 몰랐음

    • 자기비하적인 유머 코드가 재밌었음
      나 역시 예전에 한두 번 정도 거의 당할 뻔한 기억이 있음
      보통 한 번 클릭한 바로 뒤에야 '아차' 깨닫고, 바로 계정 잠가서 피해를 막았던 적이 있음
      일화 참고 이미지

답변달기