이달 초 아이클라우드를 통한 미국 유명 여배우 누드사진 유출과 관련된 보안취약점에 대해 애플이 이미 6개월 전부터 관련 내용을 파악하고 있었다는 소식이 전해졌다. 애플이 공식적으로 내부에서 발견한 취약점은 없었다고 발표한 것과는 상반된 주장이다.
24일(현지시간) 데일리도트닷컴이라는 외신에 따르면 애플은 3월부터 사진유출에 악용된 것으로 추정되는 일부 보안 취약점에 대한 내역을 보안전문가로부터 받았으나 이후 여러 차례 관련 이메일을 주고 받는 과정에서도 이 문제를 해결하지 않은 채 방치해 온 것으로 나타났다.
이에 대한 애플 측 입장은 확인되지 않았다.
보도에 따르면 6개월 전 영국 런던 소재 소프트웨어 개발자인 이브라힘 발릭은 애플 제품 보안팀에게 아이클라우드 계정에 침투할 수 있는 취약점을 발견해 이메일로 해당 내용을 알렸다고 밝혔다.
발릭은 자신이 발견한 취약점이 실제 누드사진 유출에 사용된 것과 매우 비슷한 방식으로 판단하고 있다. 아직 실제로 같은 수법이 쓰였는지에 대해서는 명백하게 알려지지 않았다.
발릭은 3월 26일 애플이 아이클라우드에서 '무차별 대입 공격(brute-force attack)'을 방지하기 위해 마련한 보안시스템을 성공적으로 우회할 수 있었다는 내용을 보냈다. 이 방법으로 해커들이 수 천 개 비밀번호 조합을 대입해 비밀번호를 알아낸 것으로 보인다고 밝혔다. 발릭은 2만개 비밀번호 조합을 대입해 봤다며 애플에 해당 내용을 수정할 것을 요청했다.
이후 그는 여러 차례 애플 제품 보안팀과 연락을 취하던 중 5월 6일자 이메일을 통해 보고된 취약점이 여전히 수정되지 않은 채 남아있다고 통보했다. 이에 대해 애플측은 발릭에게 이러한 방식은 시간이 너무 오래 걸릴텐데 어떻게 단축시킬 수 있었냐는 회신을 보냈다.
애플은 이후에도 이렇다 할 조치를 취하지 않고 있다가 누드사진 유출 사건이 터지고 난 뒤에야 취약점을 수정한 것으로 나타났다.
관련기사
- 아이폰 사용자를 위한 보안 가이드2014.09.25
- 아이클라우드 해킹 불안 노린 피싱 등장2014.09.25
- 클라우드가 PC보다 위험?…오해와 진실2014.09.25
- 구글, 크롬용 자체 암호생성기 테스트2014.09.25
발릭이 발견한 취약점은 아이클라우드 공격에 사용된 첫번째 것은 아니다. 지난해 6월 그는 애플 개발자 센터에서도 보안 취약점을 발견한 바 있다. 발릭에 따르면 이 웹사이트를 일시에 정지시킬 수 있는 것이었음에도 불구하고 애플로부터 어떤 답변도 받지 못했다고 밝혔다.
지난달 말 개발자 커뮤니티인 기트허브에는 누드사진을 유출시킨 해커가 '나의 아이폰 찾기(Find My iPhone)'에서 발견된 취약점을 악용해 무차별 대입공격을 통해 아이클라우드 계정에 들어갈 수 있었다는 주장이 나오기도 했다.
