애플은 자사 기기의 강력한 보안 기능을 늘 자랑거리로 내세우고 있다. 실제로 아이폰의 경우 미국 연방수사국(FBI)조차 잠금 해제를 못 해 애를 먹곤 한다.
그런 애플이 최근 대규모 개인정보 유출 사고에 연루돼 세상이 떠들썩했던 적이 있다. 지난 2014년 할리우드 연예인 100여명의 아이클라우드(iCloud) 계정에 백업된 개인 사진이 유출된 사건이다.
애플의 클라우드 서비스인 아이클라우드는 흔히 '영혼까지 백업한다'는 우스갯소리처럼 휴대전화의 모든 것을 복제하는 강력한 백업 기능으로 유명한데, 여기가 뚫린 것이다.
당시 애플은 해킹 의혹을 부인했지만, 수많은 연예인의 방대한 개인정보가 고스란히 유출된 경로를 두고 수많은 설이 난무했다.
2016년 재판에서 드러난 수법은 의외로 간단했다. 범인은 2012년 11월부터 2014년 9월까지 애플을 사칭해 ID·비밀번호를 묻는 피싱 메일을 연예인들에게 뿌렸고, 여기 속아 넘어가 로그인 정보를 입력한 연예인들은 큰 곤욕을 치러야 했다.
최근 이와 비슷한 일이 우리나라에서 발생했다. 여러 연예인의 휴대전화에 담긴 사생활 정보를 빼내 금품을 요구하는 사건이 일어난 것이다.
주진모 측은 휴대전화가 해킹된 것을 확인했다며, "연예인이란 이유로 사생활이 담긴 자료를 언론사에 공개하겠다는 악의적인 협박과 금품을 요구받았다"고 밝혔다.
이후 주진모를 비롯한 연예인 10여명이 정체를 알 수 없는 해커 집단으로부터 개인정보 유출을 빌미로 협박을 받고 있다는 언론 보도가 나오자 경찰이 수사에 착수했다. 피해자들은 삼성전자의 갤럭시 스마트폰을 쓰는 것으로 알려졌다.
다만 삼성전자는 애플처럼 해킹은 아니라는 입장이다.
삼성 측은 "삼성 갤럭시폰 또는 삼성 클라우드 서비스가 해킹을 당한 것은 아니다"라며 "일부 사용자의 계정이 외부에서 유출된 후 도용돼 발생한 것으로 추정된다"고 밝혔다.
이번 사건의 전모는 아직 밝혀지지 않았지만, 해커들은 통상 애플이나 삼성처럼 보안에 막대한 투자를 쏟아붓는 업체를 직접 공격하기보다는 상대적으로 취약한 사용자 개인을 노린다.
대응 방법은 첫 번째로 피싱에 당하지 않는 것이다. 그러나 피싱 수법이 유명 포털 사이트나 은행, 심지어 보안 프로그램 설치 페이지를 위장하는 등 점점 더 교묘해지면서 웬만큼 주의를 기울여도 속아 넘어가지 않으리란 보장이 없다.
이 때문에 포털이나 클라우드 등 중요한 서비스에는 단순히 ID·비밀번호 입력만으로 로그인되는 것이 아니라 문자메시지(SMS)나 일회용 비밀번호 생성기(OTP) 등 2단계 인증을 사용하도록 설정하는 방법이 권장되고 있다.
로그인 과정이 더 불편해지겠지만, 요즘처럼 스마트폰에 개인의 모든 것이 저장되는 시대에 자칫 '영혼까지 털리는' 사태를 막으려면 이것이 더 확실한 방법이다.
업체들도 이 방법을 제안하고 있다. 애플은 유출 사고 이후 아이클라우드에 2단계 인증 범위를 확산하고 사용자들에게 이를 더욱더 적극적으로 알리는 등 보안 정책을 강화했다. 삼성전자도 클라우드에 2단계 인증을 사용할 것을 권고했다.
클라우드 해킹 (사진=연합뉴스)