트렌드

누드사진 유출, 아이클라우드 해킹 탓?

2014.09.02

미국 연예인들의 누드사진 유출이 점점 큰 파장으로 번지고 있다. 사진을 퍼뜨린 해커가 출처로 지목한 것은 애플의 ‘아이클라우드’다. 그는 커뮤니티 사이트인 4챈(4chan)과 레딧에 아이클라우드의 보안 취약을 이용했다며 누드 사진을 공개했다.

이 해커는 100명이 넘는 배우들의 목록을 공개하며 개인 사진을 갖고 있다고 밝혔다. 현재 유출된 사진만도 400장이 넘는다. 현재 공개된 연예인들이 목록의 전부라는 보장도 없다.

iphone09

해킹 경로는 여러가지로 추측된다. 아직 정확한 경위는 밝혀지지 않았다. 해커는 직접 아이클라우드를 지목했다. 현재로서는 비밀번호를 탈취하는 방법이 쓰였을 개연성에 관심이 쏠려 있다. 비밀번호를 알아내는 루트로 지목받는 것은 ‘내 아이폰 찾기’ 서비스다. e메일 주소는 트위터나 페이스북 등을 통해 캐내고 깃허브에 올라온 브루트포스 스크립트를 이용해 비밀번호를 맞추었다는 것이다.

브루트포스는 컴퓨터를 통해 기계적으로 반복해서 비밀번호를 입력하는 공격 방식이다. 대부분 이를 막기 위해 일정 횟수 이상 비밀번호가 틀리거나 기계적인 입력이 들어오면 별도의 인증을 하도록 한다. 애플은 2차 인증을 통해 반복 입력을 막는데 ‘내 아이폰 찾기’가 이 부분에서 취약해 무제한으로 비밀번호를 대입할 수 있다는 지적이 일었다. 아예 ‘아이브루트'(iBrute)라는 스크립트까지 나왔다. 애플은 현재 이 서비스에서 브루트포스 위협을 막았다.

브루트포스 공격과 사진 유출 사이의 직접적인 관계는 밝혀지지 않았다. 하지만 서비스의 보안 취약점과 해킹 사고가 동시에 벌어졌고 아이클라우드가 지목된 만큼, 모든 부분에서 애플이 자유로울 수는 없다. 둘 사이의 개연성을 밝히는 것이 이 사건의 중심이다.

비밀번호를 알아내 아이클라우드로 정보를 내려받았다는 주장이 힘을 받고 있지만 일부 석연치 않은 대목은 있다. 특히 유출된 자료 안에 동영상이 들어가 있는 점이 의아하다. 아이클라우드의 사진 자동 백업은 사진에만 해당되고, 동영상을 아이클라우드에 보관하려면 직접 영상을 업로드해야 한다. 해커가 비밀번호를 입력하고 아이포토 등 PC 응용프로그램을 이용해 내려받았다면 동영상이 섞여 있기 쉽지 않다.

icloud_500

모든 자료를 완벽하게 뽑아내려면 아이폰을 아이클라우드로 복원하는 방법이 있다. 아이클라우드로 아이폰을 백업하면 사진과 동영상 뿐 아니라 앱 안에 기록한 데이터, 심지어 공인인증서까지 클라우드에 이미지 형태로 보관된다. 다른 iOS 기기로 아이클라우드에 접속해 복원하면 그 정보가 고스란히 딸려 들어온다. 하지만 애플은 새로운 기기가 아이클라우드에 연결되거나 끊어지면 당사자에게 e메일을 보내 그 내용을 알려준다. 사진이 유출된 연예인들이 e메일로 아이클라우드 로그인 알림을 받았는지 여부는 밝혀지지 않았지만, 실제 전송됐다면 100명에 달하는 피해자들이 모두 이 e메일을 인지하지 못했다고 단정짓기도 어렵다.

애플은 사건에 대해서 진지하게 조사하겠다고 밝혔다. 명확한 것은 이들 중 상당수가 아이폰을 쓰고 있었고, 해커는 아이클라우드를 지목했다. 또한 이와 맞물려 브루트포스를 통한 비밀번호 공격 방법이 드러났다. 브루트포스를 통해 비밀번호가 새어나갔다면 애플은 책임을 벗어나기 쉽지 않다. 이는 클라우드가 중심이 될 여러 서비스에도 영향을 끼친다.

클라우드 서비스의 편리함은 곧 위험성으로 연결된다. 특히 기기가 직접적으로 복원되면 그야말로 모든 정보가 해커 손에 넘어가게 된다. 아이폰이나 아이패드 혹은 아이팟터치든 맥이든 일단 아이클라우드로 연결된 뒤에는 사진과 e메일 뿐 아니라 주소록도 손에 넣을 수 있다. 아이메시지 내용도 드러나고, 각 웹사이트에 접속할 때 쓰는 암호를 보관하는 키체인은 즐겨찾기에 넣어둔 모든 웹사이트를 열어준다. 클라우드에 대한 보안 위협을 제기하는 까닭도 ‘편리한 만큼 새어 나갔을 때 피해가 크다’는 점 때문이다. 이용자에게 비밀번호 간수에 대해 책임을 물을 수는 없다. 비밀번호를 자주 바꾸게 하고 더 복잡하게 하거나 2·3차 안전장치를 더하는 것도 더 단단한 잠금 장치를 다지는 시스템의 일부다.

icloud_findmyiphone

시스템이 해킹되진 않았을까? 그 가능성은 상대적으로 적다. 애플이 클라우드 시스템의 구조를 공개하진 않았지만 대부분의 클라우드 시스템이 데이터를 분산해서 저장하기 때문에 서버를 직접 해킹해서는 원하는 정보를 얻어내는 건 쉽지 않다.

해킹이라면 해커가 정상적인 루트로 클라우드에 접근했을 가능성을 무시할 수 없는데, 그 부정적인 접근에 대한 경로를 제대로 막아내는 시스템이 갖춰져 있지 않다면 애플이 책임을 면하기는 어렵다. 최근 KT도 2013년 개인정보 유출 사고에 대해 판매점에서 접근했다는 이유를 들어 ‘피해자’라고 해명하고 있는데, 정상적인 트래픽으로 들어왔다는 점은 책임을 덜어낼 수 있는 이야기는 아니다. 이용자들이 어떻게 쓰든 기기나 개인정보를 안전하게 보관, 이용할 수 있도록 시스템으로 만드는 것은 클라우드를 서비스하는 기업의 가장 중요한 책임이다.

아직 사건이 아이클라우드의 해킹이라고 결론난 것은 아니다. 아직 드러난 정보는 별로 없는데다, 해킹이라는 것도 해커의 주장 뿐이다. PC가 해킹당했거나 유출된 것이라는 가능성도 제기된다. 피해자 모두가 아이폰을 쓴 것도 아니라고 한다. FBI도 비밀번호를 통한 해킹에 비중을 두고 수사를 벌이고 있고, 애플도 뚜렷한 이유를 밝혀내겠다는 입장이다.

allove@bloter.net

프리랜서 IT 컬럼니스트, 기술과 사람이 더 가까워질 수 있는 이야기를 담고 싶습니다. e메일 work.hs.choi@gmail.com