Blog

여배우 해킹 사건의 전말

September 2, 2014

여배우 해킹 사건의 전말

테크크런치에서 올린 이번 할리우드 여배우/여가수들의 광역 해킹 사건에 대한 상황을 잘 정리한 글이다.

언론
언론은 사용자의 기기가 “해킹”당했다고 주장하는데, 이것이 제대로 정의되는 경우는 극히 드물다.

로렌스는 이런 말을 하면서 아이클라우드를 사용한다고 얘기한 적이 있다. “아이클라우드가 늘 백업하라고 하는데, 전 어떻게 하는 지 몰라요. 알아서 하라고 하죠.” 메타데이터를 보면 대부분의 사진이 애플 기기로 찍혔음을 알 수 있다.

“해킹”
아이클라우드가 “해킹당했다”는 주장을 하는 사람들이 있는데, 애플에서 이를 확인한 적은 없다.

그러나 “해커” (혹은 한 무리의 해커들)가 애플의 보안을 직접 뚫은 게 아니라, 특정 피해자들을 노려 소셜 엔지니어링이나, 암호를 직접 추론하는 것, 혹은 아이클라우드의 “비밀번호 리셋” 기능을 이용했을 가능성이 높다. 혹은 이보다 덜 기술적인 방법이었을 수도 있다. (보통 이런 사건은 놀랍게도 기술과는 거리가 먼 방법으로 뚫리는 경우도 많다.)

이메일 주소와 비밀번호를 때려맞추기
제니퍼 로렌스는 타임지와의 인터뷰에서 자신의 이메일 주소가 키워드를 가지고 있다고 말한 적이 있다. 좋은 생각이 아니다. 공개석상에서 힌트를 주면 안 된다. 일단 이메일 주소를 알게 되면, 해커는 목표에게 다른 사람인 척(예를 들면, 애플의 아이튠즈라던가)을 하면서 이메일을 보낼 수 있고, 그렇게 되면 해커는 이메일 주소와 비밀번호 둘 다를 가지게 된다. 짜잔!

이러한 피싱 공격이 범인이였을 가능성이 커지고 있다.

다양한 서비스에 같은 비밀번호를 설정해놓으면 해커가 한 계정의 비밀번호를 알아내는 것만으로 전부를 털 수 있다는 것을 의미하기도 한다.

또한, 애플의 “비밀번호 리셋” 기능을 사용했다면 이는 해커가 목표의 이메일 주소뿐만 아니라, 생일이나 보안 질문의 답 또한 알고 있다는 말이 된다. 공인들의 개인 정보는 알려진 게 많으니 이를 이용해 비밀번호를 알아내는 것 또한 가능하다.

제대로 된 해킹
다른 해킹 방법으로는 자동화된 프로그램을 이용한 아이클라우드 계정에 대한 ‘강제적 공격’ 방법이다. 아이클라우드에서는 이게 상당히 어렵지만, 이론상으로는 가능하다.

넥스트 웹에서는 애플의 “내 아이폰 찾기” 기능의 취약점을 이용한 강제적 공격을 해 아이클라우드 비밀번호를 알아내는 파이썬 스크립트가 깃허브에 올라왔었다고 보도했다. 그러나 애플은 이미 그 취약점에 대한 패치를 완료한 것으로 보인다.

하지만 이것이 범인이라는 공식적인 확인은 된 적이 없다.

혹시 다른 서비스를 통해서?
유출된 사진들 중 다수가 안드로이드 기기들이나 웹캠에서 찍힌 것으로 보았을 때, 아이클라우드의 사진 백업 서비스에서 유출되지 않았을 가능성도 존재한다. 다양한 서비스들이 자동 백업 서비스를 지원하고, 상기된 방법과 비슷하게 뚫릴 수 있다.

여러분도 걱정해야할까?
아니다. 아이클라우드는 안전하다. 이 해킹사건은 상기된 방법을 사용한 유명하고 “가치가 높은” 표적들에 대한 해킹이다.

여러분 자신을 보호하는 방법
가장 좋은 방법은 아이클라우드 계정의 2단계 인증을 켜는 것이다. 이렇게 되면 해커가 여러분의 계정으로 들어가려면 임시로 배정받는 핀 번호를 받아내는 여러분의 전화기와 계정 비밀번호 둘 다 가지고 있어야 한다. 구글같은 다른 서비스들도 모두 2단계 인증을 지원하니, TwoFactorAuth.org를 확인하자.

비밀번호 또한 생일이나 전화번호같이 쉽게 추론이 가능한 것으로 하면 안된다. ‘qwerty’나 ‘123456’ 또한 좋은 비밀번호는 아니다.

정말로 불안하다면, 자동 백업을 꺼버리는 것도 방법이다. 하지만 이 경우 여러분의 기기가 도둑맞으면… 더 이상의 자세한 설명은 생략한다.

조심하시기를
이러한 해킹 사건이 처음은 아니다. 2011년에도 해커 크리스토퍼 채니가 유명인들의 이메일 계정을 알아내고 비밀번호를 유추해내 사진들을 해킹한 사건이 있었다. 채니는 곧 잡혔고, 징역 10년을 선고받았다.

하지만 이러한 해커들은 잡히는 일이 흔치 않다. 여러분이 사생활을 직접 보호하는 것밖에는 방법이 없다.

우리 모두 자신의 데이터는 자신이 지킵시다…