유명 연예인 사진 노출로 본 클라우드 기초 보안

 글을 시작하기에 앞서 필자는 원초적인 나르시시즘을 담은 사진을 클라우드에 업로드하지 않길 바랍니다. 그건 어떤 상황에서도 사생활에 대한 위협이 될 수 있고, 웬만하면 인터넷과 동떨어진 저장공간에 보관하길 권하면서 9월이 되자마자 터진 대형 사고를 얘기하고자 합니다.
 

---

유명 연예인 사진 노출로 본 클라우드 보안
 
 클라우드의 보안에 대한 얘기는 입이 아플 정도고, 귀가 따가울 만큼 들었겠지만, 꼭 그렇지 않다는 걸 이번 사건이 잘 보여줬습니다. 유명 연예인의 사생활을 담은 사진이 클라우드를 통해 유출되었고, 이 사진들은 순식간에 전 세계로 퍼져나갔습니다. 범인으로 지목된 건 애플의 아이클라우드입니다.
 
 

 TheNextWeb은 GitHub에 올라온 '브루트 포스(Brute Force)' 공격으로 '나의 아이폰 찾기(Find my iPhone)'에 접근하는 방법을 보도했습니다. 브루트 포스 공격은 암호가 풀릴 때까지 무차별적으로 값을 대입하는 방법으로 아주 기본적인 해킹 방법의 하나입니다.
 
 즉, 아이클라우드의 보안이 기본도 안된 상태였다는 것으로 브루트 포스의 공격을 방어하는 방법은 대입 수가 늘어나면 자동으로 다른 인증방법을 제시하여 막아내는 건데 무차별 대입을 하는 동안 아무런 방어 동작도 하지 않았다는 겁니다.
 
 물론 브루트 포스 공격은 허술한 암호일 때 더 취약하긴 합니다. 단순 대입이라 컴퓨터를 이용하면 빠르긴 하지만, 조합에 따라 시간이 길어지므로 비밀번호로 자주 사용하는 단어나 아이디나 서비스와의 연관성 등을 토대로 선별하여 순차적으로 대입하게 되는데, 당연하게도 비밀번호가 짧거나 허술한 조합이라면 훨씬 빠르게 계정에 접근할 수 있습니다. 그러나 공격로를 열어뒀다는 사실에서 애플이 자유롭진 못할 것입니다.
 
 애플은 사건이 있었던 후 취약점을 수정했지만, 따로 공식적인 성명을 내진 않은 대신 사건에 적극적으로 협조하겠다고만 밝혔습니다. 그래서 이 사건이 브루트 포스를 이용한 어이없는 보안 사고로 보이지만, 사실 더 중요한 건 클라우드 보안 사고를 총체적으로 담고 있다는 겁니다.
 
 

 먼저 얘기한 것처럼 복잡한 조합의 비밀번호를 사용하라는 이유는 사용자에게 불편함을 주기 위해서가 아닙니다. 보안성을 올릴 수 있는 가장 기본적인 방법이고, 이번 사건에서 문제가 되었던 건 허술한 암호였다고 하더라도 계정에 접근하려는 시도를 사용자에게 알리는 장치가 제대로 작동하지 않았다는 겁니다. 나의 아이폰 찾기를 통해 계정에 접근했으므로 로그인에 실패했다는 메시지가 사용자에게 알려지거나 이메일 인증을 필요로 하는 방식으로 전달되었다면 사태가 이렇게 심각해지진 않았겠지만, 이는 대량 유출로 이어진 이유입니다.
 
 그러나 방법만 보자면 가령 동일한 이메일을 사용하여 여러 서비스를 이용한다면 서비스마다 암호를 대입하는 것도 가능합니다. 계정마다 같은 암호를 사용한다는 전제가 필요하지만, 어쨌든 복잡한 암호를 쓰는 것이 보안에 큰 효과가 있다는 의미입니다. 계정마다 다른 암호를 사용하는 것도 중요하며, 그래도 같은 암호를 사용하고 싶다면 암호를 꼭 복잡하게 해야 합니다.
 
 비밀번호의 조합을 복잡하게 하는 건 클라우드만의 문제가 아니라 온라인에서 사용하는 계정 보안에서 중요한 것입니다. 그렇다면 클라우드만 봅시다. 클라우드, 그러니까 스토리지 서비스뿐만 아니라 서버와 동기화하는 서비스들은 대개 이중인증을 할 수 있습니다. 사건의 주범이었던 아이클라우드도 마찬가지인데, 유출된 연예인들은 이 이중인증 시스템을 이용하고 있지 않았습니다. 이중인증 시스템을 이용하고 있었다면 끔찍한 일에 휘말리지 않을 수 있었겠죠.
 
 더 골치 아픈 건 이들 중 iOS를 사용하다가 안드로이드 스마트폰을 사용하게 된 사람도 있다는 겁니다. 일단 자동 동기화에 대해서 무감각했습니다. 설정만 해두면 자동으로 업로드되는데, 나르시즘을 담은 사진까지 올라갔으니 의도한 것은 아닐 것입니다. 그런데 업로드한 상황을 정리하지 않은 상태에서 애플 계정은 묻어둔 채 안드로이드 스마트폰만 사용했다면 클라우드 안에 해당 사진은 서비스가 망하지 않는 한 보관될 것이고, 또 다른 보안 사고로 유출되었을 가능성도 염두에 둘 수 있습니다.
 
 중요한 사진이나 문서를 클라우드 서버에 보관하는 건 위험하며, 굳이 올려두고 싶다면 자주 사용하는 계정과 분리하여 따로 보관하는 것이 좋습니다. 분리해둔 계정의 중요도를 떨어뜨릴 수 있다면 중요한 문서를 보관하더라도 해킹의 표적이 되는 걸 어느 정도 피할 수 있겠죠. 또한, 어떤 서비스를 사용하는지 상기하고 있어야 하며, 어느 계정에 무엇을 올려놓았는지 철저히 관리할 수 있어야 합니다. 스마트폰을 교체하는 것과 냉장고를 교체하는 건 전혀 다른 일이고, 클라우드 계정을 가입하는 일은 통장을 개설하는 것보다 쉬우니까요.
 
 

 이번 사건에 대해 애플을 옹호하고자 하는 건 아닙니다. 애플의 어이없는 실수가 없었다면 우리는 아직 비밀스러운 사진의 존재를 알지 못했을 테죠. 다만, 이런 사건의 주인공이 될 수 있는 건 클라우드 사용자 모두이고, 설명한 것처럼 휘말린 연예인들조차 은밀한 유출까진 피할 수 있었던 일입니다.
 
 애초에 업체만 믿고 클라우드 서비스를 이용하긴 어렵습니다. 그건 비단 애플뿐만 아니죠. 이번 사건의 초점을 아이클라우드의 보안성에 두기보단 클라우드 보안의 위험성과 이를 계기로 일반인들이 클라우드 보안에 경각심을 가질 수 있는 방향의 설명이 필요할 것입니다. 애플을 포함한 클라우드 업체들의 주장처럼 클라우드가 미래라면 말이죠.
 
 유출한 정보에 대해선 업체에 배상을 요구할 수 있겠지만, 유출 자체를 되돌릴 순 없습니다. 그걸 이번 사건이 잘 보여주고 있고, 클라우드를 사용한다면 유출을 줄일 방법에 대해서 고민하는 건 아주 기본적입니다.