할리우드 신예 제니퍼 로렌스와 팝스타 리애나 등 유명 스타의 개인 사진이 대량 유출되며 클라우드 서비스 보안성이 도마에 올랐다.
이번 사진 유출 사건 중심에 애플 ‘아이클라우드(iCloud)’ 서비스가 놓였기 때문이다. 유출 사진 출처가 아이클라우드인지 명확히 밝혀지지 않았지만 보안전문가들은 대다수 클라우드 서비스 보안에 우려를 표했다. 스마트폰과 클라우드 서비스 간 통신은 암호화되지만 사진이나 콘텐츠 자체가 암호화되는 것은 아닌 탓이다.
◇은밀한 사진 어떻게 유출됐나
1일 매셔블 등 외신에 따르면 이번 해킹이 어떤 경로로 이뤄졌는지 확실치 않다. 애플과 미 연방수사국(FBI)은 수사 중이라고 밝혔다. 대부분 외신은 애플 아이클라우드 ‘내 아이폰 찾기’ 서비스 보안 취약점을 원인으로 지목했다.
내 아이폰 찾기 서비스는 무차별 대입공격(brute force attack) 취약점에 노출된 것이 드러났다. 무차별 대입공격이란 모든 경우의 수를 차례로 시험해 보는 방식이다. 암호를 깨는 가장 원시적이고 초보적인 방법이다. 문제는 애플 내 아이폰 찾기 서비스에 틀린 암호가 여러 번 입력돼도 계정이 정지되지 않는 취약점이 있었다. 이렇게 해킹을 하려면 사용자 계정을 알아야 하는데 공격자는 소셜 네트워크와 이메일 주소, 이름 등으로 이를 유추할 수 있다. 애플이 바로 패치를 내놨지만 이전에 해커가 악용했을 가능성이 높다.
◇아이클라우드 구조는
스타의 은밀한 사진은 왜 아이클라우드에 그렇게 많이 존재하는 것일까. 아이클라우드는 아이폰과 아이패드, 맥에 담긴 모든 콘텐츠를 끊김 없이 연결해주는 서비스다. 사진은 물론이고 메일, 캘린더, 연락처, 앱까지 모든 애플 기기 콘텐츠가 자동으로 공유된다. 대부분 애플 기기 사용자는 아이클라우드를 쓴다. 설정에서 일부러 아이클라우드로 저장을 해제하지 않으면 모든 콘텐츠가 자동으로 백업된다.
이번에 유출 사고를 당한 스타들도 아이폰으로 찍은 사진이 자동으로 아이클라우드에 저장됐을 가능성이 높다. 내 아이폰 찾기 서비스에 ID를 넣고 비밀번호를 계속 유추해 입력한 후 로그인에 성공하면 아이클라우드에 보관된 모든 콘텐츠가 해커 손아귀에 들어간다.
◇클라우드 보안성 논란
이번 사건으로 클라우드 보안성이 논란의 중심에 섰다. 정근호 애틀래스리서치앤컨설팅 분석팀장은 “최근 클라우드 서비스는 이용자가 직접 지정하는 데이터를 저장하는 단순 스토리지 기능에서 벗어났다”며 “스마트폰과 PC 등 다양한 단말의 대부분 데이터는 물론이고 이용자가 인지하지 못하는 센서 등에서 획득된 데이터까지 저장되고 분석되는 빅데이터 서비스의 기반으로 진화했다”고 설명했다. 그는 “개인의 일상적인 생활에 대한 모든 정보가 담기는 상황”이라며 “모든 클라우드 서비스사는 무중단 운영과 더불어 보안이 최대 과제”라고 분석했다.
김용대 KAIST 정보보호대학원 교수는 “클라우드 서비스가 늘어나면서 한 곳에 정보가 밀집돼 한번 사고가 발생하면 규모가 커진다”며 “여러 사이트에서 같은 암호를 쓰면 한 곳이 뚫리면 모든 사생활이 노출될 수 있다”고 말했다.
김인순기자 insoon@etnews.com