• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

애플, 탑스타 누드사진 유출사고에 정말 책임이 없나? 2014.09.04

기본 보안 조치조차 취하지 않았기 때문에 발생한 사건

기업은 보안에 대해 어느 선까지 책임져야 하는가


[보안뉴스 문가용] 요즘 국내외 미디어라는 이름을 걸고 있는 웹 사이트마다 가장 뜨겁게 올라오는 주제는 헐리웃 스타들의 누드 사진 유출 사고다. 이에 관해 애초에 왜 누드 사진을 찍느냐는 이야기부터 왜 누드 사진을 많은 사람들이 사용하는 클라우드에 보관하는가 등 각종 이야기가 파생되고 있다. 그중 빠질 수 없는 것이 바로 그 사진이 어떻게 유출되었는가 하는 문제다.

 


단독범의 소행이었을까? 아니면 조직적인 움직이었을까? 피싱으로 계정을 뚫어냈나? 혹시 클라우드 전체가 해킹당한 건 아닐까? 일단 애플 측에선 마지막 질문에 대해서 아니라고 답을 했다. 아니라고 하는데 굳이 의심을 더 할 필요는 없어 보인다. 다만 이런 질문이 생기긴 한다. “지금 사고가 난 계정은 애플에서 직접 운영하는 서버에 있던 거 아니었나? 그렇다면 애플 서버에 접근 권한이 없는 사람이 어떻게 서버에 들어가 그 서버에 있던 계정에 접근했을까? 여기에 대한 설명은 왜 없을까?


많은 사람들이 피싱 공격에 가능성을 두고 있다. 기술과 테크놀로지에 민감한 사람들이라도 피싱에 당했다는 소식을 흔하게 접할 수 있는 때다. 고도의 피싱으로 암호를 알아낸 해커들이 수도 없이 많다. 혹은 이전에 일어났던 유출사고에 이 유명인사들의 개인정보와 암호 등이 이미 있었는데 뒤늦게 발견된 것이라는 설도 유력하게 떠오르고 있다. 하지만 뭐니 뭐니 해도 브루트 포스 공격만큼 가능성 있어 보이는 건 없다. 애플의 ‘내 아이폰 찾기’ 기능에는 브루트 포스 공격에 대한 방비가 전혀 없었다는 게 밝혀졌기 때문이다.


브루트 포스 공격이란 인디안 기우제처럼 될 때까지 가능한 모든 조합을 무한대로 입력하는 방식이다. 이걸 막는 건 굉장히 간단하다. 로그인 시도 횟수에 제한을 걸면 되는 것이다. 그리고 그 횟수를 넘으면 일정 시간 혹은 영구히 로그인 자체를 못하도록 막아야 한다. 그런데 애플은 이런 조치를 전혀 취하지 않았다. 물론 현재는 픽스가 된 상태지만, 소는 이미 외양간 저 멀리 도망가버린 상태다.


브루트 포스 공격을 하려면 해커는 일단 ID 정도는 알고 있어야 한다. 애플 계정의 경우 이메일 주소가 ID를 대신한다. 일단 해커가 확실히 알고 있는 정보는 배우들의 이름이다. 배우들이 me.com 주소를 많이 사용한다는 것도 어쩌면 알고 있었을 수도 있다. 그러면 여기서부터 브루트 포스 공격이 시작된다. 이름을 죄다 넣어보는 것이다.


예를 들어 제니퍼 로렌스라면 jennifer.lawrence@me.com, jlawrence@me.com, jlaw@me.com 등의 주소일 가능성이 높다. 아마 해커도 이런 식으로 접근했을 것이다. 그리고 진짜 주소를 알아내는 데에는 하루도 걸리지 않았을 가능성이 높다. 주소를 알아냈다면 같은 방식으로 여러 가지 암호를 시도해봤을 것이고 그중 하나가 들어맞았을 것이다.


그래서 배우 한 명의 계정에 들어가보니 누드 사진도 있고 다른 멀쩡한 사진들도 많았을 것이다. 그리고 무엇보다 다른 배우 친구들의 주소가 들어있는 주소록도 있었을 것이다. 브루트 포스를 시도해볼 수 있는 ID가 여러 개 생긴 것이다. 이런 식으로 별 다른 어려움 없이, 그저 시간을 들여 반복 작업을 계속한 끝에 배우들의 사진을 여럿 얻을 수 있게 된 것이 가장 실현 가능한 시나리오다. 단 한 사람이 일주일도 채 걸리지 않을 공격 방식이다.


애플의 시스템 자체가 해킹 당한 것인가? 그렇지 않다. 계정 몇 개가 털렸을 뿐이다. 그러나 그럼에도 이 사건에 애플의 잘못이 전혀 없는가 하면 확실하게 No라고 대답할 수는 없다. 물론 1차적인 책임은 범인에게 있다. 보안 조치를 취하지 않은 것이 무조건 잘못이라고 말할 수도 없다. 하지만 브루트 포스는 이미 오래전부터 사용되어오던 방법이고, 그걸 방비하는 게 전혀 어렵지 않기 때문에 애플에게 면죄부를 주는 게 영 꺼림칙하다.


기업은 어느 선까지 보안 방비를 해야 하는가? 어디까지 해야 윤리 및 도덕적인 책임에서 자유로울 수 있을까? 고민이 되는 시점이다. 애플이 가진 능력을 봤을 때 이번 사건에 애플의 해이가 분명히 작용했다는 데에 나는 한 표를 던진다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>