X 계정 보안 점검 및 강화 가이드
작자: 요
배경 개요
최근 Web3 프로젝트 팀 및 유명인사들의 X 계정이 해킹되어 피싱 트윗을 전송하는 사례가 빈번히 발생하고 있다. 공격자들은 다양한 수법으로 사용자 계정을 탈취하며, 대표적인 수법은 다음과 같다.
-
위조된 Calendly/Kakao 회의 예약 링크를 클릭하게 유도하여 사용자의 계정 권한이나 기기 제어권을 탈취;
-
직접 메시지를 보내 위조된 프로그램(가짜 게임, 회의 앱 등) 설치를 유도하며, 이 악성코드는 개인키/복구문 외에도 X 계정 권한까지 탈취할 수 있음;
-
SIM 스왑 공격을 이용해 휴대폰 번호에 의존하는 X 계정 권한을 탈취.
슬로우미스트 보안팀은 이러한 사고 여러 건을 해결한 바 있다. 예를 들어 7월 20일 TinTinLand 프로젝트 팀의 X 계정이 해킹당해 피싱 링크가 포함된 트윗이 상단 고정되었다. 슬로우미스트 보안팀의 지원 하에 TinTinLand는 신속히 계정 복구를 완료하고, X 계정에 대한 접근 권한 검토 및 보안 강화 조치를 시행했다.
피해자가 계속 발생하고 있으며, 많은 사용자들이 X 계정 보안 강화 방법에 대해 잘 알지 못하고 있는 실정이다. 이에 슬로우미스트 보안팀은 본 문서에서 X 계정의 권한 점검과 보안 설정 방법을 안내한다. 아래는 구체적인 절차이다.
권한 점검
웹 버전을 기준으로 x.com 페이지를 열고 사이드바의 “More”를 클릭한 후 “Settings and privacy” 옵션을 찾는다. 여기서 계정의 보안 및 개인정보 설정을 관리할 수 있다.
“Settings” 항목 진입 후 “Security and account access”를 선택하여 계정 보안 및 접근 권한을 설정한다.
허용된 애플리케이션 확인
피싱 공격 중 상당수는 사용자가 실수로 앱 인증 링크를 클릭해 X 계정의 트윗 발행 권한을 넘겨주게 만든 후, 이를 통해 피싱 정보를 전파하는 방식이다.
점검 방법: “Apps and sessions” 항목을 선택하여 현재 계정이 어떤 앱에 접근 권한을 부여했는지 확인한다. 아래 이미지에서는 시범 계정이 3개의 앱에 권한을 부여한 상태를 보여준다.
특정 앱을 선택하면 해당 앱이 가진 권한을 확인할 수 있으며, “Revoke app permissions” 기능을 통해 권한을 즉시 철회할 수 있다.
위임 상태 확인
점검 방법: Settings → Security and account access → Delegate
현재 계정이 관리 초대를 허용하고 있는 경우, “Members you've delegated” 항목에 들어가 현재 계정이 누구에게 공유되었는지 확인해야 한다. 더 이상 공유가 필요하지 않은 경우 즉시 위임을 취소해야 한다.
비정상 로그인 기록 확인
계정이 악의적으로 접속되었을 가능성이 있는 경우, 로그인 기록을 점검하여 비정상적인 접속 기기, 날짜 및 위치를 확인할 수 있다.
점검 방법: Settings → Security and account access → Apps and sessions → Account access history
아래 이미지와 같이 Account access history에 들어가면 접속 기기 모델, 접속 일자, IP 주소 및 지역을 확인할 수 있다. 비정상적인 로그인 기록이 발견될 경우, 계정이 이미 해킹되었을 가능성이 높다.
접속 기기 확인
X 계정이 해킹되어 악의적 접속이 발생한 경우, 현재 접속된 기기를 확인하고 악성 접속 기기를 강제 로그아웃시킬 수 있다.
조치 방법: “Log out the device shown”를 선택하여 특정 기기에서의 계정 접속을 종료한다.
보안 설정
2FA 인증
사용자는 2FA(이중 인증)를 활성화함으로써 계정에 추가 보안 장치를 마련할 수 있으며, 비밀번호 유출 시 계정이 즉시 탈취되는 위험을 줄일 수 있다.
설정 방법: Settings → Security and account access → Security → Two-factor authentication
아래와 같은 2FA 수단을 설정해 계정 보안을 강화할 수 있다: 문자 메시지 인증 코드, 인증 앱(Authenticator), 보안 키.
추가 비밀번호 보호
계정 비밀번호 및 2FA 외에도, 사용자는 추가 비밀번호 보호 기능을 활성화해 X 계정의 보안성을 더욱 강화할 수 있다.
설정 방법: Settings → Security and account access → Security → Additional password protection
결론
정기적으로 앱 권한 및 로그인 활동을 점검하는 것은 계정 보안 확보의 핵심이다. 슬로우미스트 보안팀은 사용자들이 정기적으로 위의 점검 절차를 수행해 X 계정의 권한을 검토하고, 보안성을 강화하며, 해커 공격 위험을 낮출 것을 권장한다. 계정이 해킹된 것으로 의심될 경우 즉시 비밀번호 변경, 권한 점검, 의심스러운 권한 철회 및 보안 강화 설정을 시행해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@SlowMist_Team
