제니퍼 로렌스 등 미국 유명 여배우들의 누드사진 유출 사건이 공개된 뒤 해커가 어떻게 이들의 사진을 확보했는 지에 대해 관심이 쏠리고 있다.
특히 애플은 아이클라우드와 내 아이폰 찾기 서비스에서 보안 취약점이 발견되지 않았다고 주장하고 있지만 전문가들은 다른 의견을 제시해 논란이 될 것으로 보인다.
현재까지 외신을 통해 확인된 내용에 따르면 해커는 '나의 아이폰 찾기(Find My iPhone)' 관련 API에서 발견된 보안 취약점을 악용했을 가능성이 높은 것으로 추정된다.
이와 함께 아이클라우드가 자동으로 자신이 아이폰 등으로 찍은 사진을 동기화 해버리는 점도 일종의 취약점이 된 것으로 보인다.
최근 씨넷, 야후뉴스, 더넥스트웹, 엔가젯 등 외신은 여배우 사진이 유출되기 하루 전 오픈소스 개발자 커뮤니티인 기트허브에 올라온 해킹툴 '아이브루트(iBrute)'가 악용됐을 것이라는 분석을 내놨다.
이 툴은 아직 개념증명(PoC) 단계에서만 실제 쓰여질 수 있다는 점이 확인됐을 뿐 실제 여배우 사진 유출에 직접 악용됐는지에 대해서는 확인되지 않고 있다.
이 방법은 내 아이폰 찾기에 사용되는 API가 여러 번 비밀번호 입력 오류가 나더라도 계속 다른 비밀번호를 입력할 수 있도록 하는 취약점을 통해 이뤄진다. 국내 이메일 계정을 예로 들면 누군가 3회~5회 이상 실제와 다른 비밀번호를 입력하면 본인을 확인할 수 있는 추가정보 입력을 요구한다. 해킹 우려 때문이다.
그러나 애플이 공개한 API에서 이러한 과정을 거치지 않고 수십, 수만번씩 임의 비밀번호를 대입할 수 있게 허용한 것이다. 일명 '무차별 대입 공격(brute force attack)'이라고 하는 공격수법이다.
국내에서 발생한 KT 홈페이지 해킹 사건 역시 서버 내부에 여러번 다른 인증번호를 입력하더라도 추가적인 본인인증을 요구하지 않는 탓에 개인정보가 유출됐었다.
더넥스트웹이 아이브루트 제작자에게 직접 접촉해 문의한 결과, 그는 아직 이 툴이 직접 악용됐다는 증거를 본 것은 아니지만 누군가 이러한 류의 툴을 악용할 수는 있었을 것으로 본다고 말했다.
애플측은 해당 취약점이 공개된 뒤 하루 만에 보안 패치를 완료했다. 유출된 사진들이 수주 내지 수년에 걸쳐 촬영, 저장됐었다는 점을 고려하면 내 아이폰 찾기에서 발견된 취약점만 악용됐다고 보기는 힘들다. 여러가지 수법이 동원됐을 것으로 보인다.
이와 관련 애플은 2일 공식발표를 통해 아이클라우드, 내 아이폰 찾기에서는 어떤 보안취약점도 발견되지 않았다며 유명 인사들에 대한 계정이 사용자 이름, 비밀번호, 보안 관련 질문 등에 대한 정보를 파악한 상태에서 이뤄진 지능형 공격(targeted attack)'이라는 점을 확인했다고 해명했다.
유명 인사들에 대한 정보를 오랫동안 추적해 사진을 빼온 것이며, 자사 서비스에서 발견된 취약점이 악용됐다고 보기는 힘들다는 주장이다.
애플측 해명에도 불구하고, 기존에 내 아이폰 찾기 등을 통해 다른 사람이 아이튠즈, 아이클라우드 계정 등에 손쉽게 접근할 수 있었다는 점은 이미 이전 부터 보안전문가들 사이에 논란의 대상이 돼왔다. 지능형 공격인 것은 맞지만 애플에 보안적인 문제가 없었다고 보기는 힘들다는 것이다.
일부 외신은 아이폰으로 찍은 사진이 아이클라우드에 자동으로 동기화 된다는 점을 일반 사용자들이 잘 모르고 있다는 점도 문제로 지적했다. 내가 원치 않는 사진을 아이폰에서 삭제하더라도 아이클라우드 계정에 그대로 남아있게 설정이 이뤄진 탓에 해킹 등으로 인해 사생활이 침해될 가능성이 높아진다는 설명이다.
야후뉴스는 아이폰-아이클라우드 자동 동기화를 원치 않는 사용자들을 위해 몇 가지 설정을 바꾸는 방법을 공개했다. 먼저 아이폰 설정 내 아이클라우드 탭에서 동기화 기능을 해제하는 것이 첫번째다.
그 다음으로 아이폰 내에 내가 찍은 사진이 저장되는 카메라 앨범 외에 '포토 스트림(photo stream)'이라는 별도 저장 공간을 사용하지 않도록 체크해제해야 한다. 포토 스트림에 저장된 사진들은 모두 아이클라우드 계정으로 동기화 되며, 아이폰에서 사진을 삭제하더라도 최소 30일 동안 아이클라우드 계정에 남아있게 된다.
PC, 노트북 등을 통해 아이폰을 동기화하는 경우에도 웹상 아이클라우드닷컴(icloud.com)에 접속해 동기화를 해제해야 한다.
관련기사
- 애플 “누드사진 유출은 단순 계정탈취”2014.09.03
- 애플 "아이클라우드 누드사진 유출 조사중"2014.09.03
- 아이클라우드 여배우 누드사진 유출 파장 확대2014.09.03
- 애플 비번찾기 취약점 개선, 한국은 '아직'2014.09.03
물론 아이클라우드 동기화 기능은 사용자들이 언제 어떤 기기를 통해서도 사진 등 정보를 확인할 수 있도록 한다는 점에서는 편리하다. 문제는 사용자들이 일일이 포토 스트림에 올려 아이클라우드에 저장된 사진을 확인하고 필요치 않으면 지우는 등 작업을 할 정도로 '성실한 사용자'일지는 의문이라는 것이다.
현재 애플과 함께 미국 연방수사국(FBI)이 공조수사에 나선 만큼 여배우 사진 유출 사건에 대한 추가적인 공격 수법이 발견될 가능성이 높다.
