Kurt Got Got

• Fly.io의 트위터 계정이 피싱 공격을 받아 탈취된 사건 발생
• CEO Kurt Mackey가 정교한 피싱 메일을 통해 계정 정보를 유출한 경위 설명
• 트위터 계정은 사내에서 중요성이 낮은 자산으로 간주되어 보안 우선 순위에서 제외됨
• 피싱 저지방안으로 피싱 저항성 인증(MFA, Passkeys, FIDO2 등) 의 중요성 강조
• 해당 사건을 계기로 트위터 계정 MFA 보안 강화 및 보안 인식 재정립 필요성 언급

Fly.io 트위터 피싱 사건 개요

• Fly.io의 트위터 계정이 피싱 공격을 당해 탈취됨
• CEO Kurt Mackey가 정교하게 설계된 피싱 메일을 받고, 계정 정보를 입력해 공격에 노출됨
• 피싱 공격이 성공한 본질적 배경은 해당 트위터 계정의 객관적 중요성이 낮게 인식된 점과, 관리팀이 젊은 인터넷 문화에 익숙하지 않은 심리적 취약점이었음

피싱 공격의 구체적 경위

• Fly.io는 오래 전부터 트위터 채널 관리를 외주 계약자에게 일부 맡겼으며, 크리에이티브 밈 등 신세대 컨텐츠에 충분히 익숙하지 않았음
• 이번 공격에서 사용된 피싱 메일은 실제 x.com(트위터)의 경고 알림처럼 보이도록 설계되어, 경영진의 불안감을 자극하는 심리적 포인트를 파고들었음
• Kurt는 1Password에서 계정 정보를 꺼내 공격자가 조작하는 피싱 사이트로 로그인하게 됨
• 트위터 계정의 이메일 주소가 공격자 소유로 바뀌는 등 공격 후 즉시 흔적을 발견했으며, 내부적으로 모든 접근 권한을 점검 및 차단 단계를 거침

피싱 방어 전략과 조직 보안 현황

• 일반적으로 피싱 방지는 “직원 교육”만으로는 한계가 있으며, 누구나 실수로 클릭할 수 있음을 인정하는 것이 필요함
• 피싱 저항성 인증(U2F, FIDO2, Passkeys 등) 을 통해 상호 인증 구조를 적용하는 것이 근본 대책임
• Fly.io 내부 인프라는 Google IdP를 통한 SSO 및 안전한 MFA로 보호되고 있어, 트위터·레거시 영역만 상대적으로 취약점이 존재함
• 이번 사건을 계기로 공유 SNS 계정 등 비핵심 영역에도 동일 수준의 인증 보안 적용이 필요함을 인식함

사고 대응 및 복구 과정

• 공격자는 즉시 모든 세션을 폐기하고 2FA 재설정을 시도해, Fly.io 측에서 신속히 비밀번호를 변경해도 계정 복구까지는 시간이 소요됨
• X.com의 수동 지원을 받아 15시간 내외 만에 계정 권한을 완전히 회복함
• 전체적으로 사용자나 고객 정보 유출은 없었으며, 단기적 브랜드 이미지 손상과 엔지니어의 대응 업무 부담이 발생함
• 공격자가 Fly.io 트위터 기록을 일부 삭제했으나, 실질적 피해는 크지 않았음

결론 및 교훈

• 이번 사건의 핵심 교훈은 “CEO조차 이메일을 신뢰하기 쉽고, 피싱은 누구나 당할 수 있음”임
• 앞으로 모든 중요 계정에는 Passkeys 기반 MFA를 필수로 적용하며, SOC2 등 보안 컴플라이언스 사례로 본 사건을 활용할 계획임
• 조직 내 보안 의사결정에서 “피싱 저항성 인증 및 SSO IdP 적용” 이 미적용된 자산이 있다면 반드시 위험 요인으로 인식해야 함
• 이번 사고가 유사 조직에 경각심을 심어주는 사례가 되기를 바람