자신이 BTS 뷔와 블랙핑크 제니의 사진을 유출했다고 주장하는 트위터 사용자 A가 최근 제니와 접촉을 시도했다고 주장하면서 해킹과 협박 등 범죄 가능성이 제기된다. 경찰은 신고가 접수되면 절차대로 수사를 진행한다는 방침이다.
31일 경찰 등에 따르면 서울경찰청 사이버수사대에는 뷔와 제니의 사진 유출과 관련한 사건이 접수되지 않았다. 해킹 피해 사실을 입증해야 수사가 진행되는 점을 감안하면 피해자의 직접 신고가 이뤄지지 않으면 경찰이 자체적으로 수사를 진행하기 어렵다.
다만 실제 해킹이 발생해 경찰에 고소할 경우 조사 과정에서 휴대폰과 클라우드 등 개인 정보를 제출해야 한다는 부담이 있다.
앞서 지난 23일 트위터에서 활동하던 A는 뷔와 제니로 추정되는 남녀가 대기실로 보이는 곳에서 함께 찍은 사진을 올린 것을 시작으로 25일에는 뷔의 집으로 보이는 장소에서 찍은 것으로 보이는 사진을 유출했다. 이후 A는 자신의 트위터 계정이 정지되자 텔레그램 채팅방을 개설해 지난 29일 뷔와 제니로 보이는 남녀가 커플티를 입고 있는 사진을 공개했다.
사진 유포가 계속되자 일부 누리꾼들이 두 사람의 연애설에 관심을 집중하는 사이 보안업계에서는 해킹 가능성을 제시했다. 자신이 사진의 유포자라고 주장하는 A는 해킹과 협박이 의심되는 발언을 하기도 했다.
A는 전날 오후 8시쯤 자신이 운영하는 텔레그램 채팅방에 유창한 영어로 "앞으로 12시간 동안은 글을 올리지 않을 테니 스팸 메시지를 자제해 달라"면서도 "그러나 8월 31일에는 일반적으로 업데이트하겠다. 나를 믿어준 모든 사람한테 감사하다"는 글을 올렸다. 해당 텔레그램 채팅방은 현재 1만4290여명이 모여있지만 A를 제외한 참여자는 메시지를 보낼 수 없도록 설정돼 있다.
앞서 A는 "나는 이 사진을 처음 보자마자 즉시 두 사람에게 연락했다. 두 사람은 여러분이 생각하는 그들이 맞다" "많은 팬이 최대한 빨리 사진을 올리라고 강요한다. 또 반대편에서는 둘이 손을 잡고 있거나 키스하는 사진을 보면 극단적 선택을 할 것이라고 한다" 등의 메시지를 공유하기도 했다.
한 누리꾼이 "소송이 두렵지 않느냐"고 묻자 A는 "내가 체포될 만큼 잘못을 저질렀다고 생각한다면 YG엔터테인먼트와 빅히트 뮤직에 나를 체포하라고 말하라. 두 기업이 내게 소송을 제기하는 데는 일주일도 안 걸릴 것"이라고 말하기도 했다.
보안 전문가들은 유출된 사진의 합성 등 조작 가능성은 낮은 것으로 보고 스피어피싱(Spear Phising) 또는 스미싱(smishing) 가능성을 제기했다.
스피어피싱은 작살(Spear)처럼 특정 개인·회사를 대상으로 한 해킹 수법이다. 보통 공격 대상에 대한 사전 정보를 수집해 사회공학기법(Social Engineereing)과 함께 활용해 성공 가능성을 높인다. 사회공학기법은 상호 신뢰를 바탕으로 사람들을 속여 보안 절차를 느슨하게 만드는 사이버 침입 기법이다. 연예인의 경우 소속사나 매니저를 사칭해 악성코드를 일정표, 방송 대본, 데모 버전 음원 등으로 속여 보내는 방식을 사용할 수 있다.
서울 일선 경찰서의 한 사이버범죄 수사관은 "뷔와 제니에게 실제 해킹 시도가 있었다면 스피어피싱일 것"이라며 "클라우드 계정의 비밀번호를 알아냈거나 주변인이 컴퓨터에 접근하거나 악성코드를 본인이 실행하게 만드는 식으로 이뤄진다"고 했다.
유출된 사진이 제니가 사용하는 아이폰에서 찍은 것으로 추정되면서 스미싱일 가능성도 있다. 스미싱은 악성앱 주소가 포함된 휴대폰 문자(SMS)를 전송한 후 이용자가 악성 앱을 설치하도록 유도하는 해킹 기법이다.
문종현 이스트시큐리티 시큐리티대응센터장은 "아이폰의 악성앱 설치는 보고 사례가 거의 없을 만큼 난이도가 높은 작업이지만 메신저로 사진을 공유한 지인의 안드로이드 스마트폰 등을 통해 유출됐을 가능성도 있다"며 "아이폰에 저장된 자료와 사진은 아이클라우드에 연동돼 PC에 스피어피싱을 시도하면 상대적으로 쉽게 염탐할 수 있다"고 했다.
그러면서 "외국 연예인들은 아이클라우드 비밀번호가 유출되면서 나체 사진이나 샤워 전후 노출사진이 유출되는 사례가 종종 있다"며 "만약 해킹 범죄가 시도됐다면 해커 기술 수준에 따라 장담할 수는 없지만 수사기관에 검거될 수 있다"고 했다.
다만 이같은 해킹 피해를 받아도 유명인들은 신고에 부담을 느낄 수밖에 없다. 지방 경찰청의 한 사이버수사대 간부는 "일반적으로 해킹 피해를 수사하려면 피해자가 자신 해킹 피해를 입증하기 위해 휴대폰이나 클라우드 계정 등 자료를 제출해야 한다"며 "피해자와 피의자 모두 디지털증거 참여권을 보장해 당사자 입회하에 수사관이 선택적으로 관련 증거를 임의 제출 또는 압수하지만 이 과정 자체가 유명인들에게는 부담이 될 수 있다"고 했다.
이어 "텔레그램 채팅방을 운영하는 A가 외국에 있어도 국제 공조를 통해 검거가 가능하다"며 "일반적으로 텔레그램 자체의 보안성은 높은 것으로 알려졌지만 n번방 사례를 보면 알 수 있듯 우리 경찰은 텔레그램 관련 수사 노하우와 기법을 가지고 있어 IP 정보 등을 외국 경찰에 제공할 수도 있다"고 했다.
한 보안업계 관계자는 "해킹 피해가 사실이라면 양측 소속사에서 일차적으로 조사를 한 후에 해킹 흔적을 발견하면 경찰 고소로 이어질 가능성이 있다"고 했다.