한 해킹범죄조직이 아이클라우드(iCloud) 사용자 계정 2억5천만건을 볼모로 애플에 돈을 내놓으라고 협박하는 사건이 벌어졌다. 이들은 애플더러 돈을 주지 않으면 아이클라우드 계정 사용자의 아이폰, 아이패드, 맥 컴퓨터에 연동된 자료를 없애버릴 수 있다고 주장했다.
지난주 자칭 '터키범죄가족(Turkish Crime Family)'이란 해커들이 애플에 비트코인이나 이더리움 7만5천달러치, 또는 아이튠스 기프트카드 10만달러치(약 1억1천만원)를 요구했다. 돈을 안 주면 다음달(4월) 7일 볼모로 잡은 계정과, 연결된 기기 데이터를 없애겠다고 위협했다.
아이클라우드는 애플이 아이폰, 아이패드, 맥 사용자에게 제공하는 클라우드 서비스다. 모바일 및 PC에 저장된 텍스트, 문서, 음원, 사진, 영상 자료를 온라인에 올리고 서로 동기화할 수 있다. 같은 이메일 계정으로 연결된 기기에선 같은 클라우드 저장소에 접근할 수 있다.
현재까지 알려진 해커들의 주장이 사실이라면 애플 측은 협박에 응해 사용자 계정의 몸값을 지불할 뜻이 없다. 이 경우 몸값 지불 시한으로 제시된 4월 7일 이후 수많은 아이클라우드 계정 및 애플 제품 사용자들의 정보가 초기화되거나 복구 불능 상태에 빠질 위험이 있다.
지난주 바이스미디어의 IT과학뉴스 사이트 '마더보드'와 여러 외신들은 이같은 내용을 보도했다. 미국 지디넷은 초기 후속보도를 통해 이 해킹범죄조직에서 주장하는 내용의 진위여부를 구체적으로 분석했다.
지난 21일 마더보드에 따르면 취재에 응한 터키범죄가족 소속 해커 한 명은 범죄자들과 애플 보안팀 사이에 오간 이메일로 보이는 스크린샷, 피해자로 추정되는 사람의 계정에 접속해 기기를 원격 초기화하는 내용이 담긴 유튜브 영상 등을 제시했다.
스크린샷 내용에 따르면 애플 보안팀은 해커 측에 영상 삭제를 요구했고, 몸값 지불에 응할 수 없으며 관계 당국에 신고하겠다는 뜻을 밝혔다. 다만 이 자료가 해커 측에서 제공한 스크린샷 형태라, 애플 보안팀이 실제로 해커들과 이런 대화를 주고 받은 것인지는 확실치 않다.
해커들은 아예 트위터 계정을 만들고 자기 주장을 퍼뜨리고 있다. 21일 언론 대응을 위한 메일 주소를 알리는가 하면 "4월 7일 아이클라우드 계정 2억개가 공장초기화될 것"이라 썼다. 22일 비트코인으로 요구한 몸값은 "언론에 보도된 '7만5천달러'보다 높다"고 지적했고, "보유 애플 계정은 5억1천900만 건에서 6억2천700만 건으로 늘어났으며, (초기화 예고일인) 2017년 4월 7일까지 계속 늘어날 것"이라고도 썼다.
■애플 "당사 해킹 피해 없었다"
지난 22일 미국 씨넷 보도에 따르면 애플 측은 "(범죄자들이 보유했다고) 제시된 이메일 주소와 비밀번호 목록은 과거 침해당한 외부업체(third-party) 서비스를 통해 확보된 것으로 보인다"고 밝혔다.
범죄자들이 수억건의 '애플 사용자' 정보를 갖고 있다며 애플을 압박하고 있지만, 애플 시스템에서 그런 정보가 실제로 넘어갔을만한 보안 사고나 피해자는 발생하지 않았다는 얘기였다. 이들이 정보를 확보하게 된 경위는 파악되지 않았다.
해커가 애플 사용자 계정 수억건을 가졌다는 주장 역시 사실인지 불분명하다. 일단 지난 23일 미국 지디넷 보도에 따르면 애플과 터키범죄가족 해커들의 주장이 상충하는 건 아니다. 해커 측에서도 직접 애플 시스템을 침입한 건 아니라고 밝혔기 때문이다.
해커 측은 미국 지디넷에 검증을 위한 아이클라우드 계정 54건의 정보를 제시했다. 확인 결과 계정명인 메일주소는 모두 실재했다. 그중 지디넷과 연락이 닿은 사용자 10명은 아이클라우드를 처음 만들 때 쓴 비밀번호를 그대로 사용해 왔다고 답했다.
■"2011~2015년 발생 보안사고에서 유출된 정보로 추정"
짐작컨대 기존 대규모 개인정보 유출사건을 일으킨 서비스와 같은 이메일 주소와 비밀번호를 아이클라우드 계정에 쓰는 사람들을 찾아낸 결과일 수 있다. 미국 지디넷은 해커 측이 2011~2015년 사이 발생한 여러 정보유출 사고에서 수집한 정보를 보유했을 수 있다고 추정했다.
같은 보도에 따르면 터키범죄가족의 연고지는 그 이름과 달리 영국 런던이다. 그리고 해커 측에서 제시한 아이클라우드 계정 54건의 진위파악을 위해 미국 지디넷이 연락해 응답한 사람 10명 모두 영국에 있었고, 통신사가 서로 다른 영국 휴대전화번호를 갖고 있었다.
미국 지디넷 취재에 응한 해커들 중 한 명은 이 데이터가 '그룹으로 처리된다(handled in groups)'고 언급했지만 어떻게, 왜 그렇게 하는지 설명하진 않았다. 그는 계정 소지자 가운데 미국 사람의 샘플을 보여 달라는 요구를 거절했다.
연락이 닿은 피해자 10명 중에는 애플 제품 가운데 아이폰만 쓰는 사람, 아이폰을 안 쓰고 맥과 아이패드만 쓰는 사람이 섞여 있었다. 이는 특정 애플 제품이 어떤 식으로든 해킹당했을 가능성을 배제할 수 있는 단서로 해석된다.
■진짜 계정 정보 보유규모 불명
또 취재에 응한 피해자 다수는 아이클라우드 이메일 계정과 비밀번호를 페이스북과 트위터같은 다른 사이트에도 사용하고 있다고 밝혔다.
그런데 3명은 아이클라우드 이메일 주소와 비밀번호를 아이클라우드에만 쓰고 다른 곳엔 쓴 적이 없다고 답했다. 이들의 아이클라우드 계정 정보가 다른 사이트와 중복되지 않는 게 사실이라면, 해커들이 이 정보를 어떻게 얻었을지는 설명되지 않는 부분이다.
다른 피해자 2명은 앞서 아이클라우드 계정 정보 초기화를 시도했다고 밝혔다. 그중 한 명은 아이클라우드 이메일 계정과 비밀번호를 똑같이 쓰는 트위터를 통해 로그인 알림을 받았다고 한다. 여차하면 사용자 계정 정보를 초기화할 수 있다는 해커들의 의도에 들어맞는 사례다.
해커들이 실제로 피해자가 사용중이던 아이클라우드 계정 정보를 일부 갖고 있는 것은 맞다. 다만 이들이 주장하는 만큼 많은 수의 유효한 계정을 갖고 있는지, 실제보다 훨씬 많은 계정 정보를 인질로 삼고 있다고 허풍을 치고 있는 것인지 판단하긴 어렵다.
관련기사
- "구글-야후 메일 계정 100만여건, 암시장 매물로"2017.03.27
- 美 야후, 10억 명 개인정보 털렸다2017.03.27
- 4년전 링크드인 계정 1억건 훔친 용의자 체포2017.03.27
- 美 여배우 누드사진 유출 해커 '유죄'2017.03.27
미국 지디넷과 자매지 테크리퍼블릭은 잠재적인 피해자들의 정보를 보호할 방법으로 2가지를 조언했다. 하나는 애플 사이트(☞링크)에서 아이클라우드 계정의 비밀번호를 리셋하는 것이고, 다른 하나는 이중요소인증(two-factor authentication) 사용이다.
이중요소인증은 온라인서비스에서 사용자 계정에 접근시, 비밀번호(password)라는 기본요소 외에 추가 정보를 확인하는 방식이다. 계정 아이디 또는 이메일과 비밀번호 유출 사고에 따른 추가피해를 막기 위한 방법으로 활용되고 있다.
