Blog

이번 미국 유명인 해킹 사건에 대한 짧은 생각.

September 3, 2014

이번 미국 유명인 해킹 사건에 대한 짧은 생각.

몇 시간 전에 애플이 이번 해킹 사건에 대한 보도자료를 배포했었다. 나는 이를 나오자마자 번역해서 텀블러와 커뮤니티 사이트 등에 올렸는데, 일단 내가 번역하면서 들었던 느낌을 적어보고자 한다.

  1. 애플은 굳이 내 아이폰 찾기 서비스를 지목하면서 시스템이 뚫리지 않았다고 얘기했다. 이는 내 아이폰 찾기 서비스가 브루트 포스 공격에 취약하다는 얘기가 돌아서 이게 원인이라는 주장을 원천 차단하려는 말인 것으로 보인다.
  2. 애플도 암호를 무한정 받아들이지 않는다. 내가 알기론 일정 횟수 이상(얼마인지는 기억이 안 나지만) 틀리면 잠기고, 보안질문에 답해야 합니다. (이는 스토어도 적용된다.) 보안질문에 답하지 못하면 아무것도 못 한다. 나도 겪어봤어

일단 내 아이폰 찾기 API가 브루트 포스에 취약했던 점은 애플의 잘못이 크다. 애플이 주장하는 바가 정말로 API의 허점을 이용한 것이던 아니던 일단 취약점이 있었던 건 잘못이니까. 그러나 그 취약점이 존재했다고 해서 무조건 그걸로 뚫렸다고 달려들 수는 없는 거 같다. 그 취약점을 발견한 사람과 해커가 다를 수도 있는 상황이고. 그 취약점이 공개되고 2일 뒤에 사건이 벌어졌는데, 어떤 분들은 충분한 시간이라고 하시지만 50-100여명에 달하는 목표에 동시에 브루트 포스 공격을 돌리기에 충분한 시간인 지는 잘 모르겠다. (이는 물론 취약점을 공개한 인물과 해커가 전혀 관련이 없다는 가정 하다. 만약에 이 취약점을 공개한 사람과 해커가 관련됐다는 것이 밝혀지면 FBI에 같이 잡혀갈 듯.) 상당히 민감한 문제인만큼 애플이나 FBI나 조심스럽게 수사해야 하겠다.

내가 보기엔 가능성은 세 가지이다.
1. 정말로 내 아이폰 찾기의 허점을 이용한 브루트 포스 공격으로 뚫렸던지 (이러면 어떻게 보면 애플이 거짓말한 것이 된다.)
1. 해커들이 보안질문에 대한 답을 알고 있었거나, (유명인들인만큼 인터뷰 등지에서 말한 것 중에 답이 있을 가능성을 배제할 수 없다. 아니면 주변 측근들이 관여되었거나… <- 목표의 범위를 봐서 가능성은 적지만 아주 불가능하진 않다고 본다.)
1. 다른 서비스 등을 통해 비밀번호를 알아냈을 경우.

정도일 것 같다.

만약에 2번이 답일 경우, 애초에 목표가 더 넓었을 가능성도 있을 듯하다. 애초에 넓은 목표 풀을 지정하고 작업해야 성공 가능성도 높아지니까.

일단 내 추리는 이렇다. 가능성이 높건 낮건 최대한 많은 가능성을 생각해본 것이다. 나머지는 FBI가 알아서 해주겠지… 참고로 이걸 먼저 올렸던 모 커뮤니티에서는 이마저도 까였다.