기사 공유하기

제니퍼 로렌스, 케이트 업튼, 에이브릴 라빈, 힐러리 더프 등 많은 해외 유명 배우, 가수 등 유명인들의 누드 사진이 유출됐다. 애플의 아이클라우드가 해킹당했다는 게 유력한 설로 알려지고 있다.

매셔블 기사 캡쳐

어떻게 알려졌나: 4Chan의 /b/

미국의 디시인사이드라 할 수 있는 4Chan이라는 사이트가 있다. 그중에서도 /b/ 게시판은 가장 험한 곳으로 유명하다. (NSFW) 말 그대로 별다른 주제 없이 아무거나 올릴 수 있는 게시판인데 성적인 사진, 각종 차별주의자의 생각 등 정말 별의별 글들이 많이 올라온다. (이 또한 디시인사이드의 코갤이나 막갤과 성격이 비슷하다고 할 수 있다. 미국이다 보니 사진 등 수위는 더 세다.)

4Chan의 /b/ 게시판에 유명인의 누드 사진으로 보이는 수많은 사진이 올라왔다. 참고로 이곳의 한 이용자는 자신이 한 여배우의 동영상을 가지고 있다고 돈을 달라고 하기도 했다.

4chan 한 익명 사용자의 메시지
내가 제니퍼 로렌스의 비디오를 갖고 있으니 자신의 페이팔 계정에 기부해달라는 4chan의 한 익명 사용자

진짜 유명인들의 사진인가: 전부는 아니다

전부 유명인들의 사진은 아닌 것 같다. 즉, 가짜 사진이 뒤죽박죽 많이 섞여 있다. 빅토리아 저스티스 같은 경우는 아예 아니라고 트위터에 공식 언급을 했다.

아리아나 그란데의 대변인 또한 버즈피드에 보낸 이메일을 통해 유출된 사진은 가짜라고 했다.

가능성 #1 – 아이클라우드의 사진 스트림 해킹

대부분의 아이폰과 아이패드 이용자들은 아이클라우드라는 클라우드 서비스를 이용한다. ‘사진 스트림'(photostream)은 아이클라우드 계정을 설정하면 이용할 수 있는 기능이다.

사진을 찍으면 자신의 아이폰 말고도 이 사진 스트림에도 저장이 된다. 즉, 사진을 찍은 후 잘 나오지 않아서 바로 지우더라도 사진 스트림에는 저장될 수 있다. 화면을 캡쳐한 것도 저장된다. 이것은 클라우드에 저장되기 때문에 폰의 저장 용량과는 관계가 없다.

사진 스트림의 사진은 기본적으로 30일 동안 저장된다. 또한 jpeg, png 등 사진 포맷을 지원하고 비디오는 지원하지 않는다.

[box type=”info”]
카메라 롤에 있는 사진을 백업하는 데 iCloud 백업 또는 iTunes 대신 나의 사진 스트림을 사용할 수 있습니까?

아니요. 나의 사진 스트림에 있는 사진은 iCloud 서버에 30일 동안 저장됩니다. 이러한 사진을 저장하거나 백업하려면 나의 사진 스트림의 사진을 iOS 장비의 카메라 롤로 복사해야 합니다. 이렇게 하면 iCloud 또는 iTunes로 카메라 롤을 백업할 수 있습니다.

나의 사진 스트림에서 지원하는 사진 포맷은 무엇입니까?

나의 사진 스트림에서는 JPEG, TIFF, PNG 및 대부분의 RAW 사진 포맷을 지원합니다. 나의 사진 스트림은 비디오를 지원하지 않습니다.

출처: 애플 – iCloud: 나의 사진 스트림 FAQ[/box]

물론 30일 이전에 이용자가 수동으로 삭제할 수 있다.

이 사진 스트림이 해킹을 당했을까? 그건 아닌 것 같다.

유출된 파일에는 동영상 파일도 포함되어 있다. 하지만 위에서 말한 것처럼 사진 스트림에는 비디오 파일이 올라가지 않는다.

또한 매리 윈스테드은 자신이 몇 년 전에 개인적으로 찍은 사진, 하지만 오래전에 지운 사진이 들어있다고 했다. 하지만 사진 스트림은 사진을 싱크한 시점에서 30일 동안 사진을 저장한다.

https://twitter.com/M_E_Winstead/statuses/506197725285998592

https://twitter.com/M_E_Winstead/statuses/506198161811992576

가능성 #2 – 아이클라우드 계정이 통째로 해킹 + 2012년 사례

그렇다면 아이클라우드 계정의 아이디(이메일)와 비밀번호가 통째로 해킹됐을 가능성은? 이런 경우라면 가능하다.

2012년 와이어드의 맷 호난 기자가 아이클라우드 계정을 털린 적이 있다. 해커 시점으로 요약하면 다음과 같다.

[box type=”info” head=”2012년 와이어드 기자의 사례”]

  • 기자의 트위터 계정(@mat)과 홈페이지를 조사 – 홈페이지에서 지메일 주소 파악
  • 구글의 계정 복원 페이지에 접속, 비밀번호 재설정 시 정보를 보내줄 다른 이메일이 m***n@me.com 이라는 걸 알아냄 – 즉, 애플 계정이 있음을 파악
  • whois 검색으로 홈페이지의 도메인 구매자의 이름, 이메일, 청구서 주소를 파악
  • 아마존에 전화해서 계정에 신용카드를 더 등록하겠다고 요청, 아마존은 이름, 이메일, 주소를 물어본다 – 다 알고 있음
  • 잠시 후 아마존에 다시 전화해서 계정 접속이 안 된다고 한 후 본인 확인(이름, 주소, 방금 등록한 카드번호)을 거치고 나서 이메일 주소를 추가로 등록
  • 아마존에 추가 등록한 이메일로 비밀번호 재설정 요청해서 아마존에 로그인 성공
  • 애플 고객센터에 전화해서 애플 아이디 접속이 안된다고 한다 – 애플은 본인 확인 위해 이름, 주소, 신용카드 마지막 4자리 번호를 요청한다 – 아마존을 통해 다 알고 있음
  • 모두 대답하면 애플 계정의 임시 비밀번호가 발급됨 – 일단 애플 계정과 아이클라우드 확보
  • 다시 지메일로 가서 계정 복원 서비스로 비밀번호 재설정 링크 정보를 확보한 애플 계정으로 수신 – 이제 구글 계정도 확보
  • 트위터의 비밀번호 재설정도 시도 – 트위터 계정도 확보
  • 아이클라우드의 Find My iPhone 기능으로 기자의 아이폰과 맥북에 원격으로 접속 성공 – 자료 모두 삭제
  • 기자의 지메일 계정을 삭제 – 이메일도 모두 삭제

놀라운 방법이다. 시스템의 기술적 허점을 이용한 게 아니라 서비스 상의 허점을 이용한 것이다. 사회공학(social engineering)이라고 한다. 물론 이 사례는 2년 전에 일어난 것이고 이 시나리오는 막힌 지 오래다.[/box]

참고로 트위터의 개발자 api를 통해 이메일을 알아내는 것은 불가능하다. 트위터의 api 정책이 바뀌어서 트위터 아이디로는 이용자의 이메일 주소를 알아낼 수 없다. 그렇다면 페이스북의 써드파티 앱을 통해 이메일을 알아내는 방법은? 가능하다. 이용자가 동의한다는 전제하에. (하지만 이메일 주소만 가지고서는 아무것도 못한다.)

이런 경우라고 해도 아이클라우드가 어떻게 뚫렸는지는 아직 밝혀지지 않았다. 아니, 진짜로 아이클라우드가 해킹당했는지조차 아직 모른다.

가능성 #3 – 다른 클라우드가 해킹을 당했을 수도

다른 클라우드에서 빼냈을 수도 있다. 예를 들어 맥의 특정 앱을 이용하면 사진 스트림 사진을 자동으로 드랍박스로 보낼 수 있다. 사진 스트림 폴더를 드랍박스로 옮기면 플리커로 자동 전송해주는 IFTTT 레시피도 있다. 플리커나 구글 플러스 아이폰 앱을 이용하면 찍은 사진을 자동으로 플리커나 구글 플러스로 업로드할 수도 있다.

그렇다면 드랍박스나 플리커, 구글 플러스가 해킹당했다는 것인가? 그런 뜻은 아니다. 단지 수많은 가능성이 있다는 거다. 어쩌면 이미 알려진 이메일로 여러 서비스에 가입하고 심지어 동일한 비밀번호를 이용했기 때문에 보안이 취약한 다른 서비스에서 해킹이 이루어져 발생한 일일 수도 있다는 뜻이다.

그래서 결론은: 클라우드에 올리는 정보는 조심하자

이미 ZD넷 코리아나 전자신문, 허핑턴포스트 등의 기사 제목만 보면 아이클라우드 해킹이 확실시된 것 같다.

아이클라우드의 해킹을 기정사실화 하는 뉴스들
아이클라우드의 해킹을 기정사실화 하는 뉴스들

하지만 정확한 기술적인 그리고 서비스적인 구멍이 무엇이었는지는 아직 명확하게 밝혀지지 않았다. 아이클라우드의 허점인지, 단순히 쉬운 비밀번호를 쓰는 습관 때문에 다른 서비스에서 털린 건지조차 현재는 알 수 없다. 그렇다면, 이 사건이 주는 교훈은 무엇일까.

‘스마트폰 시대, 셀카 시대를 사는 이용자들은 자신의 스마트폰을 잘 관리해야 한다’는, 하품 나오도록 상식적인 이야기 정도 외에는 없을 것이다. 자신이 사용하고 있는 앱의 권한, 동기화 옵션 등 어렵지만 이용자들이 숙지해야 할 정보도 많다.

클라우드는 유용하다. 하지만 중요한 정보는 클라우드보다는 2중, 3중 백업하여 자신이 직접 가지고 있는 것이 좋다. 민감한 정보라면 더욱 그렇다. 디지털로 모든 것이 이루어지는 시대에, 주민등록번호와도 같은 민감한 정보가 아무렇게나 돌아다니는 국내를 떠올려 보면 더더욱 그렇다.

관련 글

3 댓글

  1. 저만 그런지 몰라도 30일이 지난 사진도 iCloud에 남아있습니다.(전 2012년 12월 사진도 남아 있습니다.) 최대 1000장까지 저장되며 이후 추가되는 사진만큼 지우는 것으로 보입니다.

  2. 본문에 추가할까 말까 하다가 말았는데, 말씀처럼 30일이 지난 사진도 남아있는 경우가 많습니다. 하지만, 애플이 공식적으로 책임을 지는 것은 30일인 듯 합니다. (모든 공식 문서에 30일로 표시가 됩니다)

    여러 아이클라우드 계정을 확인해 봤는데, 일괄적으로 1천장도 아닌 것 같습니다. 저 같은 경우도 1천장이 안되도 사라지는 경우가 있었습니다.

  3. ㅇ? 다른 언론 매체에서는 마치 아이클라우드가 해킹당한게 확실한 것처럼 보도하던데 그럼 실은 아직도 정확한 유출 경로와 원인을 모르는 건가요?

댓글이 닫혔습니다.