워즈니악 클라우드 경고에 답신한 아이클라우드 해킹?

 애플 공동 창업자인 스티브 워즈니악은 클라우드 컴퓨팅에 대해서 엉망이고 염려를 표한다고 밝혔습니다. 향후 5년 내에 '끔찍한 문제'가 발생할 것이라고 경고하기도 했는데요, 이 발언이 있은 후 재미있게도 드롭박스가 해킹을 당했고, 아이클라우드의 허점에 대해서도 문제점이 제기되었습니다.

---

워즈니악 클라우드 경고에 답신한 아이클라우드 해킹?

 워즈니악이 클라우드 컴퓨팅에 대해 우려한 맥락은 이렇습니다. '많은 사람들이 자신이 소유한 것에 대해서 실제로 소유했다고 느끼기를 원한다'며 '클라우드 컴퓨팅은 사용자가 아무것도 소유하지 못한다'는 것입니다. 필자는 이런 클라우드 컴퓨팅을 찬양론자에 가깝기는 하지만 클라우드의 문제점에 대해서는 항상 우려를 표하고 있는데, 이런 워즈니악의 견해에 공감을 하는 바입니다.

 예를 들면 음악 파일을 소유하고는 있지만 따로 음반을 소유하고 싶다는 것이나 디지털 도서를 구입하고도 종이책을 따로 구입하는 것과 같이 데이터에 대한 소유권에 대한 불안감과 보안에 대한 우려는 클라우드 컴퓨팅이 해결할 수 없는 문제가 될 것입니다. 그걸 당장 증명해보이겠다는듯 어이없는 일이 발생했으니, 그저께와 어제 미디어 매체들을 발칵 뒤집은 아이클라우드 해킹 사건입니다.

---

아이클라우드 해킹

 아이클라우드 해킹이라고 전했지만, 해커가 서버를 직접 공격했던 것은 아닙니다.

 해커는 기즈모도의 수석 기자의 아이클라우드 계정을 해킹했는데요, 사건의 발단은 웃기지만 이 기자의 사용자명이 특이했다는 것이 이유입니다. 해커는 기자의 트위터 계정을 통해 지메일 계정을 알아냈고, 비밀번호는 알 수 없었지만 계정 복구 기능을 사용하여 대체 이메일 주소가 '@me.com'임을 알아냈습니다. 앞의 아이디 부분은 모자이크처리 되었지만 지메일과 동일하다는 것을 알아차렸기 때문에 별다른 문제는 없었습니다. 이후 애플의 비밀번호를 재발금 받기 위한 조건인 신용카드 영수증의 '청구주소'와 '카드 뒷 4자리 번호'를 알아내기 위해 아마존을 이용했는데, 아마존에 연락해서 자신이 계정 소유자라는 것을 밝힌 후 신용카드를 추가했습니다. 그 후 다시 전화를 걸어 게정에 엑세스 할 수 없다고 한 뒤 신용카드 정보를 요구하면 바로 전에 새로 등록한 신용카드의 정보를 알려줍니다. 그러면 계정에 엑세스 할 수 있도록 허가해주는데, 해커는 아마존에 접속한 뒤 신용카드의 뒷 4자리 번호를 알아냈습니다. 청구지 주소의 경우 인물정보 검색 서비스를 이용해서 찾을 수 있었습니다.

 이제 얻은 정보를 가지고 애플케어에 연락하면 임시 비밀번호를 발급 받을 수 있고, 해커는 이 임시 비밀번호로 접속을 한 뒤 'Find my iPhone'을 이용해 기자의 맥과 아이패드, 아이폰의 데이터를 원격 삭제해버렸습니다.

 굉장히 고전적인 방법이지만 아마존과 애플의 취약점을 이용해 해킹에 성공 할 수 있었습니다. 영화에서 비밀금고의 잠금을 풀기 위해 금고 주인의 생일이나 가족들의 생일을 비밀번호 대입해보는 장면을 연상케 할 정도로 단순하게 뚫어버렸습니다.

 신용카드의 추가를 쉽게 허용하고 이를 통해 새로운 비밀번호를 발급해주는 아마존도 문제가 있지만, 실상 아마존만을 통해서만 카드 뒷 4자리를 얻을 수 있는 것은 아니고 청구주소도 알려고만 하면 어떤 방법으로든 알아낼 수 있습니다. 이 알아낸 정보를 제출하는 것만으로 해킹이 가능하다는 것은 꽤나 충격적이고, 이 기자의 분노도 하늘을 찌르고 있습니다.

 사실 이런 고전적인 방법을 토대로하는 해킹은 특정 인물만 지목한다면 국내에서 더 쉽게 행할 수 있을정도로 국내 보안 상태가 허술하기 짝이 없지만, 아이클라우드라는 전세계 이용자가 사용하는 서비스에서 이런 취약점이 있다는 것은 간과해서는 안 될 문제입니다. 더욱이 기존의 게임 같은 것이 아닌 클라우드를 통한 컴퓨팅이 활성화 된다면 이런 문제는 더더욱 신중을 기할 필요가 있고, 기업 입장에서 이를 보완한다고 하더라도 기자가 자신의 잘못이라고 말한 '같은 아이디 사용한 점', '두가지 중요한 지메일과 아이클라우드 계정을 상호 연결해뒀다는 점', '자주 백업하지 않은 점' 같은 사용자의 보안 수준에 따라 서버를 직접 타격하지 않더라도 해킹이 가능하다는 것은 하드디스크를 꺼내기 위해 가택침입을 하는 것보다 쉬운 것입니다.

 더군다나 해커는 기자의 정보를 얻기 위해 물품을 훔치거나 하지 않고 단순히 정보 수정이나 수집을 통해서만 진행했다는 것도 클라우드라는 저장매체의 안정성에 대해 다시 한번 생각해보게 만듭니다. 아마존의 경우 그냥 전화만으로 비밀번호를 수정해줬다는 것은 정말 문제가 있는 부분입니다.

---

보안

 클라우드의 보안은 믿을만한 수준입니다. 드롭박스의 해킹 사건도 직원의 해킹으로 인한 계정 유출이였는데, 피해가 돌아가봐야 스팸정도인데다 직원을 통한 해킹으로써 드롭박스의 서비스 서버가 해킹을 당한 것은 아니였습니다. 물론 해킹의 가능 여부가 없는 것은 아니지만 적어도 아직까지는 서버가 직접 털린 대형 클라우드 서비스는 없다는 것입니다. 다만, 드롭박스 건이나 이번 아이클라우드의 해킹처럼 어떤 상황이 맞물리면 안정성이 100% 보장되지 않는다는 점은 분명합니다.

 필자의 경우 하드디스크와 외장디스크, 클라우드에 데이터를 분류해서 백업을 해두는데, 클라우드에 저장하는 데이터의 경우는 무조건 백업 파일을 하드디스크에 두고 있습니다. 보안상의 문제에 대한 확신이 없기 때문입니다.

 클라우드의 편의성이나 기술적 부분은 충분히 인정하지만 이 보안성이라는 문제는 계속 지적될 부분입니다. 워즈니악도 바로 이런 부분에 있어서 경고를 한 것이고, 재미있게도 이 경고과 맞물려 애플의 아이클라우드 취약점을 찾아내 해킹을 하는 상황을 만들어 냈습니다. 더군다나 이 해킹이라는 것이 사이버테러라고 보기 보다는 개인정보를 활용한 방법이여서 아마존과 애플의 취약점 보완도 필요하지만 개인의 보안에 대한 강도 수준을 높힐 필요가 있음을 알 수 있습니다.

 예를 들어 해킹 당한 기자가 말하길 이런 정보는 피자헛에 피자 주문할때 사용하는 정보만으로도 애플 계정의 비밀번호를 바꿔버릴 수 있다고 했습니다. 조건이 추가된다면 그 조건을 충족시킬 수 있는 무엇인가를 또 찾아내면 되겠죠. '그럼 피자 주문도 하지마?'라고 반문할지도 모르겠지만 것보단 개인이 할 수 있는 최고 수준의 보안 관리가 필요하다는 것입니다. 이는 클라우드 컴퓨팅이 본격화되면 더더욱 그렇게 되어야 하겠죠.

 그리고 가장 기본적인 기업의 보안 상태입니다. 필자는 페이팔의 신봉자라면 신봉자라고 할 정도로 그들을 신뢰합니다. 페이팔의 보안 시스템의 원칙은 '최대한 보여주지 말자'입니다. 입금 상대에게 계좌번호 대신 이메일로 보내 계좌번호를 감추는가 하면 보안 토큰을 통한 다중보안, 여러번의 확인 같은 어떤 서비스 업체보다도 최고의 보안상태를 보여줍니다. 물론 기본적인 서버 보안도 여지껏 잘이뤄내고 있고, 이런 신뢰를 통해 페이팔이 세계적인 업체가 되었다고 할 수 있습니다. 어떤 상황에서도 최대한 보안을 유지하는 방법을 페이팔이 가장 잘보여주고 있다는 것이죠.

 클라우드 업체들도 보안토큰을 사용하거나 새로운 방식의 클라우드에 맞는 보안 체계를 구상하고 아마존처럼 확인도 안하고 계정 엑세스를 도와서는 안되며, 수가지 방법의 해킹에 대처할 수 있도록 준비해야 합니다. 돈을 보관하는 은행에 신뢰하듯 클라우드 서비스를 신뢰 할 수 있도록 페이팔과 같은 신뢰도를 클라우드 업체들도 서서히 쌓아갈 필요가 있습니다.

---

끔찍한 문제

 워즈니악이 말한 '끔찍한 문제'는 이런 보안상의 문제에 대한 것입니다. 예를 들어 하드디스크를 빼버리고 클라우드로만 작동하는 크롬OS의 경우 만약 사용자가 늘어났다고치면 어떤 특정 인물, 예를 들면 연예인이라던가 구글 계정을 파악해서 비밀번호만 알아내면 어느곳에서든 크롬에 접속하여 데이터를 빼내오는게 가능합니다. 이는 기존의 타겟 해킹보다도 쉬워졌고 누구나 할 수 있다는 것이 더욱 문제입니다. 휴대폰 인증을 통한 절차도 휴대폰만 훔쳐내면 쉽게 비밀번호를 탈취할 수 있습니다. 누가 의도적으로 휴대폰을 훔쳐내고 해킹하는 방법을 생각하지 않을 순 없다는 것이죠. 물론 아무런 영양가가 없어보이는 사람을 타겟으로 삼진 않겠지만, 타겟이 된 사람의 중요한 정보가 웹을 통해 유포될 수 있고 그건 사회적 문제가 될지도 모릅니다.

 문제는 일정 수준 사용자가 소유할 수 있는 느낌을 주고 안심시킬 수 있어야하는데 너무 클라우드만 지향하게 되면 불안감만 극대화 시키고 돌이킬 수 없는 강을 건너는 수가 될지도 모른다는게 '끔찍한 문제'의 핵심이라고 할 수 있습니다.

 네이버의 해킹 사건이 굉장히 많이 일어나고 있고 이를 이용한  광고알바가 여러 곳에 나돌아다니는 상황에 N드라이브에 안심하고 파일을 저장한다는 것은 굉장히 위험한 일이고, 이런 해킹을 방지하기 위해서는 수시로 비밀번호 변경과 개인의 보안 수준을 높혀야 할 것입니다. 네이버 계정이 해킹을 당하더라도 개인의 보안 부주의로 일관해버리면 사용자로써는 할 말이 없기 때문이죠.

 더군다나 필자가 예전에 아마존의 정전사태에 대해서 우려를 표하며 자연재해가 데이터 센터를 타격했을 때 제때 대처하지 못하는 것 또한 사용자 데이터를 위협받을 수 있는 부분이며 이런 자연재해에 대한 대비책을 확실히 세울 필요가 있다고 했는데, 결론적으로 100% 해결이 불가능한 이런 클라우드의 문제점은 워즈니악이 말한 것처럼 끔찍하게 다가올지도 모릅니다.

 구글이 보안에 대한 이야기를 하면서 '우리는 자체적인 설문을 한적이 있는데, 직장인에게 USB메모리를 잃어버린 경험이 있는가라고 묻자 응답 중 60%가 Yes라고 답했다. 구글은 300명이 넘는 최고의 보안 인력으로 이런 잃어버릴 경우보다도 최상의 보안 경험을 제공한다.'고 했습니다. 틀린 말은 아니지만 이번 아이클라우드 해킹건처럼 개인이 USB메모리를 스스로 잘 관리해야하듯이 아무리 최상의 보안 경험을 제공한들 자신의 계정이나 정보를 철저히 관리해야 함은 변하지 않는데다, 더 위험하기 때문에 과연 이를 클라우드 업체들이 얼만큼 인지하고 대안을 내놓을 수 있는지가 '무료로 50GB 제공' 같은 슬로건보다 중요한 것이 될겁니다. 차라리 똑같이 신경쓰고 관리할 부분이라면 내가 쥐고 있을 수 있는 USB메모리를 꽁꽁 싸매고 다니는게 더 나을지도 모른다고 생각해보기도 합니다.

 워즈니악의 이런 견해에 대한 고개만 끄덕이며 막연하다고 생각한 것을 아이클라우드 해킹 사건이 미래의 클라우드가 어떤 문제를 야기할 수 있는지 굉장히 잘 보여줬다고 생각합니다. 아마존과 애플은 하루 빨리 이 취약한 보안 문제를 해결할 수 있어야 할 것이며, 더불어 클라우드를 사용하고자 하는 개인들은 다시 한번 자신들이 가입해둔 서비스의 계정과 비밀번호를 확인하고 자신의 정보를 잘관리하여 스스로 해킹을 대비할 수 있는 보안 수준을 높혀야 할 것입니다.