해외 테크 전문 매체 Ars테크니카가 성 소수자 스토킹 및 협박 행위를 일삼던 인터넷 포럼 키위팜스(Kiwi Farms)의 사이버 공격 피해 발생 소식을 보도했다.
키위팜스 크리에이터 조슈아 문(Joshua Moon)은 해커 세력이 자신의 계정 접근 권한을 손에 넣었다고 밝혔다. 현재 해커 세력의 정체는 밝혀지지 않았으며, 키위팜스가 사용자 포럼 운영 시 사용한 사이트인 XenForo에 악성 콘텐츠를 업로드한 뒤 세션을 탈취한 것으로 알려졌다.
악성 파일의 파일명은 특정 오디오 포맷의 확장 파일과 같은 ‘.opus’로 끝난다. 파일은 맞춤형 러스트 기반 채팅 프로그램 주입 후 XenForo에 직접 게재되었다.
문은 “해커 세력이 XenForo에 오디오 파일로 위장한 악성 파일을 게재했다. 또, 해커 세력은 웹페이지에 악성 파일을 실행하면서 임의의 사용자가 자동화된 요청을 실행하고 키위팜스 사이트 외의 다른 곳으로 인증 쿠키를 전송하도록 유도하면서 계정 정보를 탈취했다. 사용자 정보 탈취에 앞서 이와 같은 방식으로 관리자 계정도 탈취되었다”라고 설명했다.
그리고 사용자에게는 “사용자 계정 패스워드와 이메일 정보, IP 주소 모두 유출되었다고 추측해야 한다”라고 경고했다.
해커 세력은 관리자 계정을 이용해 XenForo에 명령을 내린 뒤 이메일 주소와 사용자 명칭, 마지막 활동, 사용자 개인 정보 등을 손에 넣었다.
키위팜스 해킹 사태는 키위팜스 사용자가 성소수자 개인을 겨냥해 집단 희롱과 신체적 위협, 스토킹 등과 같은 범죄로 논란이 되자 네트워크 공급사 클라우드플레어(Cloudflare)의 서비스 공급 중단 결정이 공식 발표된 시점에 발생했다.
이에, 개인 보안 연구원 케빈 뷰몬트(Kevin Beaumont)는 “조슈아 문은 텔레그램 채팅을 통해 키위팜스 커뮤니티에서 발생하는 일을 인지한 상태였지만, 문제를 해결하지 않았다. 다른 사용자의 범죄를 눈감아준 셈이다”라고 비판했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
