애플케어프로텍션플랜(이하 애플케어) 서비스의 비밀번호 재설정 기능에 심각한 보안허점이 있는 것으로 드러났다. 누군가가 사용자의 트위터나 블로그 등을 통해 알아낸 정보만으로도 비밀번호를 바꿀 수 있기 때문이다.
실제로 지난 3일(현지시간) 현 와이어드 기자인 매트 호난은 이런 방식으로 해킹당해 아이클라우드에 저장된 아이폰, 아이패드, 맥북의 모든 자료가 삭제되는 비극을 맞기도 했다.
6일(현지시간) 씨넷·와이어드 등 외신은 매트 호난이 입은 피해에 대해 애플 역시 문제를 인정했다고 보도했다.
애플케어는 이 회사 제품을 구매한 사용자들에게 기본으로 제공되는 무상 품질보증(AS) 기간을 연장하는 서비스다. 애플케어를 구매하면 무상 AS 기간이 2년으로 늘어난다.
매트 호난은 이날 피해를 입힌 '포비아(Phobia)'라는 이름을 쓰는 해커와 직접 주고받은 트위터 메시지를 통해 해킹 방법을 공개했다. 그가 내린 결론은 누군가의 이메일 주소에 더해 '빌링어드레스(Billing Address)'와 신용카드 마지막 네 자리만 알면 계정을 도용할 수 있다는 것이다.
그가 공개한 내용에 따르면 이 해커는 3일 오후 4시 33분경에 애플 기술지원센터에 전화해 매트 호난을 사칭한 뒤 자신의 아이클라우드용 '.Me' 이메일 계정에 접근할 수 없다고 말했다.
관련기사
- 구글 해킹 직접 해보니..."너무 쉬워…"2012.08.08
- 로이터 해킹, 구버전 '워드프레스' 탓?2012.08.08
- 또 애플發 보안사고, 모든 데이터 삭제돼…2012.08.08
- 야후 45만 계정 해킹당했다2012.08.08
애플은 임시비밀번호를 발급하기 위해 다른 전자메일 주소와 신용카드 청구지 주소, 신용카드의 마지막 네 자리만 물어봤다. 해커는 매트 호난의 트위터, 블로그 등 다른 경로를 통해 파악한 두 가지 정보만으로 사용자의 계정접속권한을 갖게 된 것이다.
나탈리 케리스 애플 대변인은 와이어드와의 인터뷰에서 우리가 다루는 (개인정보취급에 대한) 내부 방침이 완벽하지는 않다며 고객의 데이터를 안전하게 보호할 수 있도록 비밀번호 재설정 방법의 모든 과정을 재검토하고 있다고 밝혔다.
