내 아이폰 찾기 서비스 취약성, 인기 연예인 사진 유출 원인일 수도 있어[아시아경제 이초희 기자]최근 미국의 제니퍼 로렌스, 케이트 업튼 등 헐리우드 유명 여배우들의 누드사진이 유출된 가운데 '내 아이폰(iPhone)찾기' 서비스의 취약성이 유출의 원인이 될 수 있다는 주장이 제기됐다. 1일(현지시간) 미국의 애플 관련 전문매체 나인투파이브맥(9to5Mac)은 미국 IT 전문매체 더넥스트웹(The Next Web)을 인용해 '내 아이폰찾기' 서비스의 취약성과 열등한 패스워드들이 인기 연예인들의 사진들이 유출된 원인일 수도 있다고 보도했다.
나인투파이브맥에 따르면 해커들은 인기 연예인들의 아이클라우드(iCloud) 계정들에 접근하기 위해 '내 아이폰 찾기'의 취약성을 사용해 '부르트포스' (무차별대입)로 알려진 반복적으로 패스워드들을 추측하는 방식을 사용한 것으로 알려졌다. 일단 패스워드가 일치하는 것으로 나타나면 해커들은 다른 아이클라우드 기능들에 자유롭게 접근해 사용할 수 있다는 것이다.
이 취약성을 부당하게 이용하는 툴이 이미 이틀전 깃허브(GitHub)에 업로드됐고, 애플은 이날 오전 3시20분 (미국 서부시간)에 이 서비스에 패치를 배포했다. 나이투파이브맥은 패치를 배포한 시기가 우연의 일치일 수 있지만 아이클라우드 착취 툴이 인기 연예인들의 사진들이 유출되기 이틀 전부터 온라인상에 포스팅됐고, 애플은 유출 직후에 패치를 배포했다고 밝혔다.
애플은 아직 이 문제에 대해 언급하지 않고 있다. 그러나 이 취약성은 아이클라우드 패스워드들에 접근하는 것을 허락하지 않고, 오직 반복되는 패스워드들의 추측으로만 착취가 가능하다는 것을 주지해야 한다고 나인투파이브맥은 전했다. 이 착취가 성공하기 위해서는 해킹 대상의 사용자들이 상대적으로 열등한 패스워드들을 사용하고 있어야 한다.
또한 많은 인기 연예인들은 서로를 잘 알고 있고, 일단 한 계정이 뚫리면 다른 연예인들의 이메일 주소를 확인하기 위해 사용될 수 있는 주소록 데이터를 확보하게 되고, 각 계정마다 동일한 방식으로 착취할 수 있다는 것이다.
비록 이 툴은 깃허브에 이틀 전에 포스팅됐지만, 이 툴을 만든 사람이나 다른 사람들은 오래 전부터 이 취약성을 인지하고 있었을 가능성이 높은 것으로 알려졌다. 따라서 이는 인기 연예인들이 오래 전에 삭제했던 사진들까지도 유출된 이유를 설명해 주는 것이다.
나인투파이브맥은 이번 사건이 어떤 온라인 서비스에서도 사용자들은 강력한 패스워드들을 사용할 것과 두 단계 인증 방식을 사용해야 한다는 교훈을 주고 있다고 전했다.
이초희 기자 cho77love@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>