제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.
애플, 아이클라우드 해킹 사고 자체 조사 시작
1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.
일부 IT, 보안업계에서는 이번 해킹이 브루트포스 수법을 통한 해킹으로 유추하고 있다. 브루트포스에 취약한 점이 확인됐기 때문이다.
먼저 브루트포스 수법을 알아보자. 이 수법은 가장 난이도가 낮으나 강력한 힘을 갖고 있다. 계정 암호값을 알아내기 위해 가능한 모든 값을 대입해 매칭되는 값을 알아내는 방식이다.
가령 4자리 비밀번호의 경우 0000에서부터 9999까지 1만개의 비밀번호를 일일히 암호폼에 입력해 일치하는 값을 알아내는 방법이다. 과거 영화에서 암호를 알아내기 위해 수많은 숫자들이 스크롤링 되는 장면이 바로 브루트포스를 이용한 해킹인 것이다.
하지만 브루트포스 공격은 이미 널리 알려진 상황이기 때문에 대응하는 방법도 널리 나와있는 상태다. 가장 일반적인 방법은 캡챠(Capcha)코드를 사용하는 법이다.
일정 횟수 이상 비밀번호를 틀릴 경우 임의의 코드를 입력하도록 새로운 폼을 하나 더 생성해 노출하게 된다. 아직까지 캡챠코드를 읽을 수 있는 애플리케이션이 없기 때문에 브루트포스를 막기에는 최적의 방법이다. 실제로 국내 포털사이트들은 5회 이상 로그인 실패 시 캡챠코드를 보여주며 자동화된 공격을 차단한다.
애플은 디바이스에 대해서는 이를 적용했다. 10회 이상 비밀번호를 틀릴 경우 디바이스에 저장된 모든 데이터를 삭제하도록 하는 기능을 아이폰, 아이패드, 맥 등에 탑재했다.
하지만 아이클라우드에는 이를 적용하지 않았는데, 이 때문에 이번 해킹 사고가 발생하지 않았나하는 지적도 나오고 있는 상황이다.
실제 아이클라우드에서 자신의 계정으로 브루트포스를 시행해보라. 캡챠코드는 커녕 이를 저지하는 팝업하나 뜨지 않음을 확인할 수 있다.
브루트포스 공격을 차단하는 두번째 방법은 멀티팩터인증을 도입하는 것이다. 멀티팩터 인증은 금융회사들이 사용하는 일회용비밀번호(OTP) 생성기나 보안카드 등을 통해 추가로 접근 권한을 부여하는 방법이다.
사용자 본인만 알 수 있는 인증 수단을 통해 제3자의 접근을 통제하는 효율적인 방법이다. 페이스북, 드롭박스, 구글, 에버노트 등 대부분의 서비스 제공자들은 이를 지원하고 있다.
애플도 지난해 북미를 시작으로 멀티팩터인증을 도입했으나 사용하지 않는 사람이 많은 것으로 보인다. 이는 아이클라우드 등록시 멀티팩터인증을 안내하는 절차가 없었기 때문으로 추정된다. 애플의 멀티팩터 인증은 문자메시지를 통해 이뤄진다. 국내 소액인증과 같은 방식이다.
Apple ID의 2단계 확인에 대한 자주 묻는 질문
브루트포스 공격이 사실로 드러난다면 애플에 대한 사용자와 셀럽들의 비난이 집중될 것으로 보인다.
