제니퍼 로렌스와 케이트 업튼 등 인기 여배우들이 개인 정보 유출 피해를 당한 2014년 사건에 관여한 혐의로 미 법무부는 3월 15일 라이언 콜린스(36)를 기소했다. 콜린스는 피해자들의 아이클라우드(iCloud) 계정에서 50장, 지메일(Gmail) 계정에서 72장의 사적인 이미지를 빼내어 인터넷에 대량 유출시켰다.

이 범행이 놀라운 것은 유명인 계정을 해킹하는데 특별한 해킹 기술이 필요 없었다는데 있다. 법원에 제출된 서류에 따르면 콜린스는 해킹을 위해 애플과 구글 관계자임을 속여서 메일을 발송했다. 이에 필요한 주소를 만드는데 특별한 기술이 전혀 필요 없었다고 한다. 

이번 피해자들은 애플이나 구글에서 발송된 메일로 믿고 로그인 정보를 알려 줬다. 피해자들이 보안에 대해 안이했다는 지적도 있지만, 문제는 해킹 기술이 없어도 피싱 메일을 쉽게 제작할 수 있다는 것이다. 유튜브에는 피싱에 필요한 계정을 15분 만에 만드는 방법 등이 자세하기 소개된 영상이 게재되어 있다. 

해커는 피해자가 인식하기 전에 또한 애플이 해킹을 저지하기 전에 데이터를 단시간 내에 다운로드하고 싶어 한다. 여기에 고도의 소프트웨어가 필요해진다. 

이 사건이 발생한 이후 러시아의 엘컴소프트(Elcomsoft)가 경찰 과학수사용으로 개발한 암호 해독 프로그램의 사용 여부가 관심으 모았다. 이 소프트웨어는 이론적으로 존재 가능한 암호와 비밀번호의 패턴을 모두 사용해 침입하는 불트 포스(Brute Force, 무차별 대입 공격) 기능을 갖고 있다. 가격은 기능에 따라서 199~799달러 수준. 이를 사용하면 애플 ID와 패스워드도 없이 아이클라우드 계정에 침입할 수 있다.

다만 사법부에 따르면 콜린스는 해당 프로그램이 아니라, 아이클라우드에 백업된 피해자의 정보를 모두 다운로드 가능한 엘컴소프트의 다른 소프트웨어를 사용했다고 한다. 또 이 사건과 유사한 시카고 사건의 경우에도 엘컴소프트를 사용해 572개의 아이클라우드 계정에 침입한 사례도 보고되어 있다.

중요한 것은 해킹에 사용된 프로그램과 프로그램 사용법 강좌 등은 제재가 불가능한 상황이란 점이다.  이런 소프트웨어를 제작하는 것은 불법이 아니다. 피싱 범죄에 사용되고 있지만, 피싱을 위해 만든 것이 아니기 때문이다. 다만 제작한 회사나 인물이 해킹 공격을 위해 사용한다는 전제가 없는 경우다.

구글 역시 이 유튜브에 게재된 소프트웨어 사용 강좌를 삭제할 계획은 없다. 범죄로 이어질 가능성이 있다 하더라도 위협이 있다는 것을 인식하는 것 역시 유익하기 때문이다. 또, 엘컴소프트 같은 기업도 범죄자 체포에 협력할 수 있다.

이번 사건이 주는 가장 중요한 교훈은 "유명 IT 기업은 유저에게 비밀번호를 묻지 않는다."는 것을 인식하는 것이다.

베타뉴스 우예진 기자 (w9502@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로