애플이 연예인 사진 유출 사고에 대한 공식 입장을 밝혔습니다. 최종 확인은 아니지만 비밀번호를 입력해서 클라우드에 접근하는 표적공격이라는 점은 어느 정도 가시화됐습니다. 먼저 애플의 조사 결과에 대한 설명부터 옮깁니다.

유명인 사진 유출 건 조사 관련 업데이트

일부 유명인의 사진 유출 건에 관한 조사 진행 상황을 알려드립니다. 저희는 사진 유출 건에 관해 처음 알게 되었을 때 분노했으며, 즉각 애플의 엔지니어들로 하여금 진원을 찾도록 조치하였습니다. 고객의 개인 정보와 보안은 애플에게 가장 중요한 사안입니다. 40 여시간 동안의 조사 끝에 일부 유명인들의 계정이 사용자 아이디, 비밀번호, 보안 질문에 대한 표적화된 공격에 의해 유출되었음을 확인하였으며, 이는 인터넷 상에서 이미 흔해져 버린 수법입니다. 애플이 조사한 내용 중 어떤 건도 아이클라우드나(iCloud) ‘내 아이폰 찾기’(Find my iPhone)와 같은 애플의 시스템이 침해 당해 발생한 결과가 아닙니다. 애플은 본 건과 관련된 범죄자의 신원을 확보하기 위해 법 집행 당국과 지속적으로 협력하고 있습니다.

이러한 유형의 공격을 방지하기 위해 모든 사용자에게 강력한 비밀번호를 설정하고, 2단계 확인 절차를 사용할 것을 권장하는 바입니다. Apple 웹사이트(http://support.apple.com/kb/HT4232?viewlocale=ko_KR)에서 두 가지 방법에 관한 설명을 확인하실 수 있습니다.

여전히 수사는 진행중입니다. 아직도 많은 부분은 추측에 기댈 수밖에 없습니다. 다만 조금씩 그 베일이 벗겨지고 있습니다. 현재로서는 애플은 약 40시간 동안 조사를 한 결과 아이디와 비밀번호와 보안질문에 대한 표적 공격에 의해 클라우드 정보가 유출됐다고 밝혔습니다. 또한 직접적으로 시스템이 해킹당한 것은 아니라고 거리를 두었습니다. 많은 사람들의 정보가 일괄적으로 털린 건 아니지만 대상자와 목표물이 아주 명확한 표적 공격입니다.

iphone5C_6

명백한 것은 해커가 유명인들의 비밀번호를 얻었고, 이를 통해 클라우드에 접속했다는 사실입니다. 처음 사고가 알려지고 나서는 ‘내 아이폰 찾기’의 반복적인 비밀번호 입력에 허점이 있다는 것과 연예인들의 사진이 유출됐다는 각자의 사건이 있었지만 둘 사이의 직접적인 연관성을 찾기는 어려웠습니다. 그 고리는 아직 온전히 맞춰지지 않았습니다. 애플의 조사 결과 발표로 보아 아이디와 비밀번호를 입력해 정상적인 트래픽을 타고 접근했다는 점은 확실합니다. 다만 그 비밀번호를 얻은 창구가 ‘내 아이폰 찾기’였다는 것은 100%라고 말하기는 어렵지만 여전히 가장 가능성이 높은 이야기입니다. ‘월스트리트저널‘은 “애플이 ‘내 아이폰 찾기’에도 어느 정도 비밀번호 입력이 틀리면 계정이 잠기는 기능이 있다”고 했지만 그 회수가 안전하지 않았고, 생각보다 비밀번호가 매우 빨리 뚫렸을 가능성도 제기했습니다. 또한 해커가 여러 클라우드를 뚫었지만 그 중에서 아이클라우드만 입에 올렸을 가능성도 여전히 남아 있습니다.

애플은 입장 발표에서 ‘인터넷에서 흔히 일어나는 수법’이라고 거리를 두었지만 해커의 실력과 별개로 누군가 비밀번호를 탈취해 대규모의 치명적 개인정보를 빼낼 수 있었다는 것은 흔하다고 하기엔 무서운 일입니다.

직접적으로 ‘내 아이폰 찾기’가 해킹돼서 비밀번호를 뱉어냈다거나 해커가 아이클라우드 서버의 보안을 뚫고 들어가 원하는 정보를 얻어낸 것이 아니라는 것도 맞는 것 같습니다. 하지만 ‘내 아이폰 찾기’ 서비스가 무작위 비밀번호 입력 공격에 대비하지 못했기 때문에 이를 통해 답이 나올 때까지 비밀번호를 확인할 수 있는 수단이 되었다는 점은 여전히 이 사건의 중심에 있습니다. 이는 명백히 해킹의 한 가지 방법입니다.

보안 업체들은 온라인에서 개인 취미나 선호하는 취향 등을 수집하는 것 자체가 요즘 표적 공격의 핵심 기술이라고 입을 모읍니다. 그래서 그렇게 얻은 정보를 들키지 않고 몇 번 입력해 정답을 찾아낼 수 있느냐의 정확도를 높이는 것이 이런 APT 공격이 집중하는 부분입니다. 혹시라도 비밀번호의 난이도가 이용자의 책임 여부를 가르지는 않았으면 좋겠습니다. 그게 시스템이니까요. 물론 이용자가 비밀번호를 헷갈려 몇 번 정도는 반복해 입력할 수 있게 할 필요도 있습니다. 애플은 다른 서비스에는 모두 반복 입력에 대응하는 장치를 해 두었는데 왜 ‘내 아이폰 찾기’에만 느슨했는지 이해하기가 쉽지 않습니다.

iphone_touchid_hacking

최근의 해킹은 대개 고도의 기술로 이뤄지는 게 아니라 정상적인 경로로 들어오는 경우가 많습니다. 그래서 관제 시스템이 정상적으로 작동할 여지를 주지 않습니다. 이번 역시 마찬가지입니다. 대개 고도의 해킹보다도 오픈소스가 직접적인 도구가 되는 경우가 많습니다. 이번에도 ‘아이브루트'(iBrute)라는 오픈소스 스크립트가 쓰였을 가능성이 가장 높다고들 합니다.

사실 아직도 정확한 비밀번호와 사진을 뽑아내는 과정에 대해서는 밝혀지진 않았습니다. 그 과정도 빨리, 뚜렷하게 밝혀졌으면 좋겠습니다. 아이클라우드에 로그인·로그아웃하면 본래 쓰는 기기에 알림 메시지가 가는데, 어떻게 들키지 않고 비밀번호를 입력할 수 있었는지는 아직도 모를 일입니다. 추가로 해킹이 더 일어날 가능성은 별로 없겠지만 이용자가 모르는 새에 백업으로 똑같은 기기 한 벌을 더 만들 수 있다면 섬찟한 일입니다.

이번 일이 아이클라우드를 비롯해 모든 클라우드의 보안을 더 단단하게 만들어주긴 하겠지만 클라우드 서비스를 하는 기업들이 위축될까 걱정됩니다. 클라우드 서비스에 대한 걱정은 늘 제기돼 왔고 실제로 개인정보 수준이 아니라 사생활이 노출되는 큰 사고가 벌어졌습니다. 주민등록번호나 비밀번호를 훔치는 해킹은 정말로 많지만, 그게 직접적으로 개인을 공격한 사례로는 이번 사고가 두고두고 이야기될 만 합니다.

동료 기자들끼리 이야기하다가 이번 사고로 클라우드 보안에 대한 불안감이 증폭되지 않을까, 또 다른 클라우드 안전에 대한 규제가 서지나 않을까 하는 우려도 나왔습니다. 사실 이번 아이클라우드 해킹은 불특정 다수가 대상이 되지 않았고, 저도 (유명인사가 아니니) 공격 대상이 되진 않았습니다. 하지만 아이클라우드는 애플의 기기를 점점 더 유기적으로 엮어주는 수단이 되고 있습니다. 그 의존도가 지속적으로 높아지는 상황에서 벌어진 사건이기에 여간 씁쓸한 일이 아닙니다.

allove@bloter.net

프리랜서 IT 컬럼니스트, 기술과 사람이 더 가까워질 수 있는 이야기를 담고 싶습니다. e메일 work.hs.choi@gmail.com