[테크홀릭] 제니퍼 로렌스(Jennifer Lawrence. 사진)는 영화 헝거게임과 아메리칸 허슬 등에 출연한 인기 배우. 그녀 뿐 아니라 케이트 업톤(Kate Upton)과 팝스타 아리아나 그란데(Ariana Grande) 등 가수와 모델 다수의 누드 사진이 대량 유출됐다.
유출 사진은 모두 애플이 제공하는 클라우드 서비스인 아이클라우드에 저장되어 있던 것이다. 사건의 발단은 미국 커뮤니티 사이트인 포첸(4chan)에 지난 8월 31일(현지시간) 제니퍼 로렌스를 비롯한 100명이 넘는 배우와 가수 이미지가 게시되면서다. 이미지는 포첸 측이 즉시 삭제했지만 이미 늦어 트위터나 파일 공유 사이트를 통해 확산되기 시작했다.
유출 사진에 포함된 것으로 보이는 여배우 빅토리아 저스티스(Victoria Justice)는 자신의 트위터 계정을 통해 유출 이미지는 가짜라고 주장하기도 했다. 반면 영화배우 메리 엘리자베스 윈스티드(Mary Elizabeth Winstead)는 유출 이미지가 몇 년 전 집에서 찍힌 것이라는 사실을 인정했다. 또 제니퍼 로렌스 측 대변인은 유출 사진이 진짜라고 인정하면서 유출범을 고소할 것이라고 밝힌 상태다.
포첸에 이미지를 올린 사람은 이들 사진이 아이클라우드를 통해 얻은 것이라고 주장하고 있다. 이를 증명하듯 PC에 저장된 사진 폴더 스크린샷을 동시에 공개했다.
애플 측은 이 사건에 대해 현재 조사 중이라고 밝힌 상태다. 사진 게시자가 아이클라우드를 해킹한 것으로 밝혔지만 아이클라우드가 정말 해킹된 것인지 여부가 확실한 건 아니다. 가디언은 애플 같은 대기업은 상당 수준의 보안 시스템을 채택한 만큼 아이클라우드 자체가 해킹 공격을 받았다고 생각하기는 어렵다고 보고 이번 유출은 피싱 공격에 의해 피해자가 사용하는 계정에서 이메일 암호가 유출된 게 원인일 것으로 추정하고 있다.
한편 더넥스트웹(TheNextWeb)은 취약점을 이용한 공격 발생 가능성을 지적하고 있다. 실제로 이미지가 유출되기 하루 전에 애플 ID 암호를 무차별 공격하기 위한 패스워드 생성 툴인 iBrute 소스 코드가 깃허브(GitHub)에 올라왔다고 한다. 하지만 이게 설령 맞다고 해도 이런 공격을 수행하려면 공격 대상 애플 ID와 사용자 이름 등을 알아야 한다. 범인이 100개가 넘는 계정의 사용자 이름을 손에 넣게 된 경위는 알 수 없다.
이틀이 지나 애플은 이미 ‘나의 아이폰 찾기’의 취약점은 수정한 상태지만 수정되기 전에 공격이 이뤄졌을 가능성도 부정할 수 없다. 이런 점에서 아이폰은 해킹 당한 수준이 아니라 ‘나의 아이폰 찾기(Find My iPhone)’에 무한대로 비밀번호를 입력해서 암호를 뚫고 사진을 복사한 것으로 추정되고 있다. 다시 말해 충분히 긴 12자리 이상 암호를 이용한다면 아이클라우드는 문제없는 것으로 보인다는 얘기다. 그리고 이런 공격의 근본에서 아이폰 사용자들이 본인의 이메일 주소를 암시하거나 짐작 가능하도록 SNS에 널리 퍼트린 것을 본 해커가 사회공학적인 해킹으로 접근한 것으로 보인다.
더 큰 문제는 개인 사생활 문제에서 이런 유출된 누드 사진을 보는 것도 문제지만 더 큰 문제는 바로 악성코드를 배포하는 조직이 이런 사진을 게시하면서 악성코드를 곁들여 배포할 수 있다는 것이다.
물론 일부 스타의 경우 안드로이드로 유출된 정황이 있어 주의가 요망된다. 아직까지는 블랙베리와 노키아 윈도폰 등에선 유출된 정황은 보고되지 않고 있다.
이런 유출 사고를 방지하려면 3가지 정도를 주의하는 게 좋다.
12자리 이상 충분히 긴 암호를 정하라
공짜 와이파이는 암호 유출이 가능하기 때문에 지극히 개인적인 영상이나 사진을 클라우드에 올릴 때에는 3G 인터넷을 이용하라
남이 볼 때 걱정스러운 사진은 아예 올리지 마라
전자신문인터넷 테크홀릭팀
김호광 칼럼니스트 techholic@etnews.com