할리우드 배우 제니퍼 로렌스부터 ‘팝의 요정’ 아리아나 그란데, 모델 케이트 업톤 등 100명이 넘는 여성 유명인의 사적인 사진이 인터넷상에 유출됐다. 아이클라우드 계정에서 유출된 이미지는 공유 포럼인 포찬(4Chan)에 처음 공개됐고 이어 여기저기 확산된 것으로 알려졌다.

이번 대규모 해킹 사건에 원본이 저장돼 있던 아이클라우드의 안전성에 대한 우려가 커지고 있다. 애플은 이번 유출 원인에 대해 적극적으로 조사하고 있다고 발표해 아이클라우드가 원본의 출처임이 확실 시 되고 있다.

누구의 사진이 유출됐는지 걱정반 호기심반으로 주목받고 있는 것도 현실이지만, 이번 아이클라우드 유출 사건이 어떻게 일어나게 됐는지 또한 알아보는 것도 중요하다고 할 수 있다. 이는 당신이 스마트폰으로 아이클라우드나 다른 클라우드에 지극히 사적인 데이터를 저장하는 데 제한이 될 수도 있기 때문이다.

다음은 미국 IT전문 매체 테크크런치가 이번 유출 사건이 어떻게 일어나게 됐는지 보안적인 측면에서 분석하고 앞으로 사용자들이 이를 예방하는 방법을 1일 소개한 것이다. 인터넷 보안 전반을 다시 확인하는 기회로 연예인 사진 해킹이 어떻게 일어났는지 생각해보자.

아이클라우드는?

뜨거운 감자로 떠오른 애플의 아이클라우드는 사진과 이메일, 연락처, 기타 정보 등을 자동으로 클라우드라는 가상의 저장 공간에 백업하고 이를 사용자가 이용하는 아이폰이나 아이패드와 같은 애플 장치간에 동기화할 수 있는 서비스다.

해커의 행동

유출된 사진은 우선 포찬(4Chan)이라는 이미지 공유사이트에 게시됐다. 해커는 이번 사진을 아이클라우드 계정에서 빼온 것이라고 주장하고 있다. 그는 사진을 공개하는 댓가로 페이팔과 비트코인을 통해 기부금을 모집하고 있다. 비트코인에 지금까지 모인 돈은 0.257666BTC(비트코인)로, 이를 환산(preev.com 기준)하면 123.1달러(약 12만5000원)이다. 기부금은 다음의 주소에서 확인할 수 있다. 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa

언론

주류 언론은 “스마트폰이 해킹됐다”고 보도했다. 하지만 언론이 사용하는 ‘해킹’이라는 단어는 그 내용이 매우 모호하다. 로렌스는 이전 “내 아이클라우드가 ‘백업하라’고 알려줬지만, 어떻게하면 좋을지 모르겠다. 스스로해 준다면 좋을텐데”라고 말하고 있었으므로, 아이클라우드를 이용하고 있던 것은 확실한 것으로 알려졌다. 이미지의 메타 정보에서 유출 사진의 대부분은 애플 장치에서 촬영된 것으로 전해졌다.

해킹의 내용

애플이 유출 원인에 대해 적극적으로 조사하고있다고 발표했지만, 아이클라우드 자체의 보안이 깨졌을 가능성은 낮다. 하지만 해커가 특정 연예인 사용자를 대상으로 암호를 ‘크레킹’하거나, ‘사회 공학’적인 공격, ‘암호 분실 시’ 변경 과정 절차를 공격하는 등의 방법을 조합한 것으로 생각되고 있다.

이메일 주소와 암호 추측

제니퍼 로렌스는 타임지에서 “자신의 메일 주소에 키워드가 포함돼 있다”고 말했다. 이는 현명한 발언이 아니다. 어쨌든 이메일 주소를 알면 가짜 아이튠 스토어로 유인하는 피싱 메일을 보낼 수 있다. 피해자는 가짜 피싱 페이지에 암호를 입력할 수 있는 것이다. 영국의 가디언은 이런 피싱 공격이 유출의 원인이 아닐까 추측하고 있다. 타깃이 된 연예인의 생년월일과 ‘비밀 질문’의 답변을 알고 있는 경우 애플 시스템의 ‘암호를 잊어 버린 경우’를 사용해 새 암호를 설정할 수 있다. 연예인의 경우 개인 정보가 대량으로 나돌고 있으므로, ‘비밀 질문’의 대답을 추측할 가능성은 충분히 있다.

아이클라우드 보안 대책

하지만 아이클라우드에 접속하는 경우, 애플은 몇 가지 보안 대책을 시행하고 있다. 사용자가 새 애플 장치(OSX 또는 iOS)에서 아이클라우드에 접속하면 아이클라우드는 사용자의 이메일 주소로 새로운 장치에서 로그인이 됐다고 알려준다. 또한 아이클라우드 계정이 설정돼있는 모든 애플 장치(아이폰, 아이패드, 맥)에 같은 메시지가 보내진다. 만약 해커가 새 장치에서 로그인할 수 없다면 그 통지를 받은 사용자는 ‘해킹’되는 것을 알게 되는 것이다. 메시지는 새로운 로그인과 동시에 송신되므로, 만일 사용자가 즉시 암호를 변경했다면 해커가 대량의 사진을 내려받을 시간은 부족했을지도 모른다.

무작위 공격

또 암호를 얻는 방법은 임의로 비밀번호 입력을 반복하는 무작위 공격이다. 아이클라우드 계정에 대한 무작위 공격은 이론적으로 가능하다고 알려졌다. 미국 IT전문매체 더넥스트웹(The Next Web)에 따르면 최근 해커가 아이클라우드 계정을 해킹하기 위해 오픈 소스 개발자 커뮤니티인 ‘기트허브’(Github)에 게재된 파이선(Python) 스크립트를 사용했다. 이는 무작위 공격 방식으로 비밀번호를 빠르게 알아내기 위해 ‘내 아이폰 찾기’(Find my iPhone) 서비스의 취약점을 역이용했다. 하지만 애플은 이미 이 취약점을 수정한 것으로 나타났다. 따라서 이 스크립트가 이번 유출의 원인인지 여부는 전혀 알 수가 없다.

또 다른 가능성

이외에도 유출 원인은 여러 가지를 생각할 수 있다. 안드로이드에서 촬영된 사진도 있으므로 유출 출처는 모두 아이클라우드가 아닐지도 모른다. 연예인의 와이파이가 도청된 것이 아니냐는 주장도 있다. 유출은 종종 비서와 경호원 등 집안의 인물이 손을 빌릴 수 있다. 장치를 분실하거나 도난당하면 계정에 접속할 수 있다.

대책: 2단계 확인을 쓰자

가장 효과적인 대책은 아이클라우드의 2단계 확인(구글의 경우 ‘2단계 인증’)을 사용하는 것이다. 새 장치에서 로그인할 때 사용자는 암호와 동시에 지정한 모바일 장치로 전송된 인증코드를 입력해야 한다. 즉 해커가 암호를 알고도 확인 코드를 알아야만 로그인할 수 있다는 것이다. 애플, 구글 뿐만 아니라 대부분의 주요 서비스가 2단계 인증을 지원하고 있다. 또 비밀번호 재발급시 필요한 ‘비밀 질문’을 ‘애완 동물의 이름’ 같은 뻔한 것으로 설정하지 말아야 한다. ‘qwerty’라든지 ‘123456’처럼 바보 같은 암호도 마찬가지다. 여전히 걱정하고 있다면 설정을 열고 아이클라우드에 사진 자동 백업을 ‘끄기’로 두는 것이다.

처음이 아니다

연예인의 개인 사진이 유출 된 것은 이번이 처음은 아니다. 2011년에도 많은 연예인 사진이 유출됐다. 범인으로 알려진 크리스토퍼 채니는 단순한 추측으로 암호를 얻어 메일 계정에 침입했다. 채니는 재판에서 징역 10 년을 선고받았다. 그러나 이런 사건에서 해커가 체포되는 사례는 거의 없다. 사용자는 결국 스스로 자신을 보호할 수밖에 없는 것이다.

윤태희 기자 th20022@seoul.co.kr