주진모 '해킹피해'…삼성·애플 클라우드도 털리나?

계정 탈취당한 듯, 스마트폰 해킹 대비법은?

배우 주진모

배우 주진모 씨 등 다수 연예인이 휴대전화 해킹 피해를 입어 경찰이 수사에 나섰다. 삼성과 애플의 스마트폰 기기나 관련 클라우드 서비스는 이용자의 가장 내밀한 사생활을 고스란히 담고 있다 보니 또 다른 해킹 피해에 대해 우려가 커지고 있다.

지난 8일 디스패치 등은 주진모를 비롯, 아이돌과 셰프, 감독 등 다수의 국내 유명인들이 휴대전화에 저장된 문자메시지, 사진, 동영상 등을 해킹당해 '사생활 유포' 협박을 받고 있다고 보도했다.

보도에 따르면 해커는 피해자 사생활을 유포하지 않는 조건으로 5천만~1억원 상당의 금전을 요구하며 확보한 자료 일부를 샘플로 보내기도 했다. 확인된 사례만 10여 건에 달하는 것으로 알려졌다. 피해자 중 한 아이돌은 동영상 유출의 파장을 우려해 해커에게 돈을 건넨 것으로 알려졌다.

피해자는 모두 삼성 갤럭시S를 사용하는 것으로 전해졌다. 매체는 해커들이 휴대전화를 복제하는 방법으로 삼성전자의 휴대전화 전용 클라우드 서비스 '삼성클라우드'에 백업된 자료를 확보했다고 전했다.

이 같은 사실은 앞서 주진모 씨 소속사 화이브라더스코리아가 피해 사실을 알리고 '법적 대응'을 공표하며 알려졌다. 사건은 서울경찰청 사이버안전과가 맡았다.

이와 관련 삼성전자는 10일 연예인 휴대전화 해킹 "삼성 클라우드 서비스가 해킹을 당한 것은 아니다"라고 입장을 밝혔다. 엄밀히 말해 시스템이 해킹당한 것이 아니라 계정을 절도당했다고 보는 것이 옳다는 것이다.

삼성전자 측은 ▷타계정의 아이디·비밀번호를 삼성 계정과 동일하게 사용하지 않을 것 ▷비밀번호를 주기적으로 변경하고 보안강화를 위해 보안 2단계 인증 설정할 것 등을 안내했다.

삼성전자는 "삼성 클라우드에 저장된 개인정보는 아이디, 비밀번호가 노출되지 않는다면 개인정보보호 방침에 따라 안전하게 관리되고 있다"며 "선의의 피해자가 발생하지 않도록 이미 조치를 취했으나 안전한 이용을 위해 이중보안을 설정해 달라"고 이용자들에게 당부했다.

계정이 탈취당하는 대표적 사례는 다음과 같다.

스미싱 문자

◆가짜 SMS, 메일로 피싱

최근 유행하는 '스미싱(문자메시지+피싱)' 공격이 대표적이다. 불특정 다수에게 택배사나 제조사, 금융기관, 공공기관 등을 사칭한 거짓 문자메시지를 보낸 뒤 이용자가 메시지 속 URL(인터넷주소) 링크를 누르면 가짜 제조사·금융기관 홈페이지에서 로그인을 유도하거나 악성코드 애플리케이션을 자동 설치해 사용자 계정 정보를 탈취한다.

모르는 전화번호로부터 전송된 URL 링크는 가능하면 접속하지 않는 것이 좋으며, 아는 사람이 보낸 것이라도 처음 보는 URL이라면 발신자가 직접 전송한 것이 맞는지, 발신자를 사칭당한 것이 아닌지 확인한 뒤 접속하는 편이 좋다.

비밀번호 관리 프로그램 1Password

◆보안 취약 사이트 해킹, 공통된 로그인 정보 탈취

앞서 국내외 포털, SNS, 금융사이트 등 보안이 취약한 사이트들이 해킹되면서 아이디, 비밀번호를 탈취된 사례도 많다. 이때 유출된 아이디, 비밀번호를 타 사이트에서도 동일하게 사용하고 있다면 계정 탈취범의 타깃이 될 가능성이 높다. 한 곳에서 확보한 개인정보를 다른 사이트에 똑같이 입력했을 때 로그인에 성공할 확률이 높아서다.

요즘 개개인이 사용하는 서비스 계정들이 워낙 많다 보니 인터넷 동일한 아이디와 비밀번호를 쓰는 경우가 많다. 보안이 취약한 인터넷 서비스를 해킹한 뒤 그곳에서 빼낸 아이디와 비밀번호를 이용해 클라우드 서비스 접속을 시도할 수도 있다.

이를 피하려면 주로 쓰는 사이트 별 로그인 정보를 서로 다르게 지정하는 편이 좋다. 일일이 외우기 헷갈린다면 스마트폰 제조사가 제공하는 로그인 정보 관리 기능(아이클라우드 키체인 등)이나 1Password, Lastpass, Enpass 등 민간 업체가 만든 비밀번호 관리 프로그램과 연동해 정보를 관리하는 것이 좋다. 이들은 로그인 정보를 다중 보안 체계로 관리하거나 이용자가 지정한 드롭박스, 하드디스크 등에만 저장하므로 정보 탈취 우려가 낮은 것이 장점이다.

애플 사칭 피싱메일

◆피싱 메일로 클라우드 로그인 정보 직접 탈취

구글, 삼성, 애플 등의 공식 이메일을 사칭해 '계정이 해킹됐다, 보안이 취약하다'는 등 이유를 들며 가짜 공식 홈페이지 로그인을 유도하는 사례도 빈번하다. 애플의 아이클라우드, 삼성의 삼성클라우드, 구글 등 계정 정보만 탈취한다면 스마트폰을 해킹할 필요 없이 클라우드 서비스에 바로 접속, 해당 계정 사용자의 스마트폰 데이터를 모두 열람할 수 있어서다.

스마트폰 사용자가 자신의 문자, 사진, 연락처 등을 제조사 클라우드 서버에 동기화해왔다면, 해당 계정 아이디와 비밀번호를 아는 사람은 반대로 같은 제조사에서 만든 스마트폰 공기기만 있어도 해당 사용자의 동기화한 데이터를 내려받아 그가 지닌 것과 완전히 똑같은 휴대전화를 복제해 소유하는 것이 가능해 진다.

이런 상황을 방지하고자 국내외 클라우드 서비스들은 로그인 정보 외에도 이메일이나 휴대전화 문자메시지로 추가 인증을 받아야만 접속할 수 있는 '이중 인증' 기능을 제공한다. 많은 클라우드 서비스 제공자들이 해당 기능 사용을 유도하고 있다.

이에 속지 않으려면 메일 발신 주소와 내용을 꼼꼼히 확인하는 편이 좋다. 공식 이메일 주소와 다르거나(apple.com -〉 apple.net), 메일 내용의 어법이 어색하고 불필요한 오탈자(확인ㄴ, ㄱ접속 등)가 있는 등 의심스러운 정황이 보이면 접속을 피해야 한다.