일정·연락처·이메일·사진 등 송두리째 털린다…"클라우드 시대 기업정보까지"
"비밀번호 하나가..."
미국 여배우 제니퍼 로렌스 등 유명인의 애플 아이클라우드 속 누드사진 유출사고의 직접적인 일차 원인이 계정(아이디·비밀번호) 표적 해킹인 것으로 밝혀지면서 패스워드 보안이 스마트폰·클라우드 시대의 또다른 숙제로 대두되고 있다.
사실 인터넷 서비스에 대한 패스워드 해킹은 어제 오늘의 문제가 아니다. 10여년 전에도 동일했다. 타인의 게임 서비스 아이디를 빼내 아이템을 사고 팔거나 MSN, 네이트온 등 계정 해킹을 통한 사기범죄가 대표적이다.
대부분 수법은 동일하다. PC에 숨겨져 있던 악성코드로 이용자가 서비스에 로그인할 때 비밀번호를 몰래 빼내 해커의 서버로 전송하는 방식이다. 보안이 취약한 웹사이트를 해킹한 뒤 악성코드를 심어놓으면 이곳에 접속한 네티즌들의 PC가 감염되는 방식이 주로 이용됐다. 당시에는 게임 아이템 매매나 친구사칭 사기 등 금전적 이익이 목적이다 보니 특정인보다는 최대한 많은 사용자의 계정정보를 빼내는 게 해커의 목적이었던 셈이다.
그러나 스마트폰 시대로 전환된 뒤 양상이 크게 달라졌다. 개인용 클라우드 서비스가 보편화되고 이메일, 웹하드, 일정, 주소록 등 서로 다른 인터넷 서비스들이 동기화되면서 '비밀번호'의 가치는 상상을 초월할 정도다.
구글 등 스마트폰 OS(운영체제)의 계정 해킹이 대표적이다. 스마트폰이 대중화되면서 상당수 이용자들이 스마트폰과 실시간 연동해 이메일과 주소록, 캘린더, 스토리지 물론 심지어 회사 업무일지(할일 목록)까지 쓰고 있다. 스마트폰으로 촬영한 사진이나 동영상도 개인 PC보다는 인터넷 스토리지에 담는 게 일반화되고 있다.
상대방의 구글 아이디와 비밀번호를 안다면, 그 사람의 이메일은 물론 지인들의 전화번호·이메일·사생활, 관계정보를 손쉽게 파악할 수 있다는 얘기다. 심지어 언제 누구를 만났는지까지도 캘린더를 통해 식은 죽 먹기로 들여다볼 수 있다. 구글 계정 외 다른 개인용 클라우드 서비스들도 비슷하다. 특정인을 겨냥한 타깃 공격 시 프라이버시에 치명적인 타격을 줄 수 있다. 아이클라우드에 저장된 유명인들의 사생활 정보 유출사고가 이를 방증해주고 있다.
보안 전문가들은 클라우드 서비스가 기업 업무용으로 확장되면서 더 큰 위협에 노출될 수 있다고 경고하고 있다. 이제 비밀번호가 잘못 관리할 경우, 개인의 신상은 물론 기업의 핵심 정보까지 밖으로 유출될 우려까지 제기되고 있기 때문이다.
독자들의 PICK!
물론 이에 대한 보안대책도 크게 강화되고 있는 분위기다. 단순한 클라우드 서버에 대한 이삼중 보안대책은 물론 이용자 등급별로 공유될 수 있는 정보를 제한하거나, 미리 허가된 단말기만 접속할 수 있도록 인증 보안기술이 그 예다.
그러나 모든 이용자들의 PC나 스마트폰상에서 이뤄지는 비밀번호 해킹을 막아낸다는 것은 사실상 불가능하다. 클라우드 서버에 저장된 데이터별 사용자 접속권한이 다르다 해도 일단 기업의 네트워크에 악성코드가 한번 침투하면 잠재적 위협에 그대로 노출될 수 있는 구조다.
보안 업계의 한 전문가는 "현실적으로 서비스 전체 혹은 전사 차원에서 악성코드를 통한 로그인 정보 해킹을 근본적으로 막을 수 있는 방법은 아직 없다"며 "이 문제가 클라우드 서비스 확산의 최대 걸림돌이 될 것"이라고 진단했다.