▲아이클라우드 해킹 툴 ‘아이브루트’ 실행 화면(사진: 넥스트웹)

1일(현지시간) 넥스트웹, 씨넷, 헐리웃리포터 등 미국의 주요 IT·연예 매체들은 31일 발생한 제니퍼 로렌스, 케이트 업튼, 빅토리아 저스티스, 커스틴 던스트 등 수많은 여배우들의 사적인 사진과 동영상 노출 사건이 애플이 제공하는 ‘내 아이폰 찾기(Find my iPhone)’ 메뉴의 허점을 통해 ‘아이클라우드(iCloud)’ 아이디와 비밀번호가 해킹된 때문에 일어났다고 보도했다.

이들 매체에 따르면, 이번 해킹은 지난달말 오픈소스 개발자 커뮤니티 ‘깃허브(GitHub)’에 ‘내 아이폰 찾기’ 공격 툴 ‘아이브루트(iBrute)’가 업로드됨으로써 발생했다. 아이브루트는 ‘내 아이폰 찾기’ 메뉴에 아이디와 비밀번호를 무차별적으로 반복 입력하는 ‘브루트 포스 어택(Brute Force Attack)’이라는 간단한 해킹을 시도하는 프로그램이었다.

▲아이폰의 ‘내 아이폰 찾기’ 서비스(사진: 인터넷)

이 프로그램의 존재를 확인한 애플은 빠르게 아이브루트가 작동할 수 없도록 문제점을 수정했지만 이미 이틀의 시간이 흐른 뒤였고, 그 사이에 아이브루트를 악용한 해커들이 유명인들의 계정을 대거 해킹했다는 것이다.

문제는 아이브루트가 사용한 무차별 반복 입력 공격이 너무나 간단하고 기초적인 해킹 방법이라는 점이다. 대부분의 사이트들은 로그인 화면에서 암호가 연속으로 여러번 틀리면 ‘불법적인 계정탈취 시도’로 간주하고 임시로 계정을 잠그는 시스템을 채택하고 있다.

하지만 애플은 수많은 이용자들의 극도로 민감한 개인정보를 보유한 아이클라우드 서비스에 이같은 기본적인 보안 조치조차 취해두지 않았던 것으로 드러나, 피해자들의 책임 추궁을 피하기 어려울 전망이다.

이미 FBI(미연방수사국)는 주요 피해자들의 신고를 받고 이번 사건의 수사를 시작한 것으로 알려졌다. 아이브루트를 악용한 해커들이 주범으로 지목될 것은 명약관화한 사실이나, 기초적 보안조치를 소홀히 한 애플 역시 일정한 책임을 감내해야할 것이라는 주장이 설득력을 얻고 있다.

이번에 사생활 유출된 피해자들이 대부분 미국 연예계에서 한창 인기를 구가하고 있는 젊은 여성 유명인들이라는 것을 감안하면, 애플은 소송으로 천문학적인 배상금을 부담해야 할 수도 있다.

한편, 애플 역시 자체조사를 통해 정확한 문제점과 피해규모를 밝히려 하고 있는 것으로 알려졌다. 미국의 IT전문 매체 리코드(Re/code)는 1일(현지시간) 이번 사건에 대해 나탈리 케리스 애플 대변인이 “우리는 사용자 프라이버시를 아주 심각하게 다루고 있고, 적극적으로 조사하고 있다”는 입장을 밝혔다고 보도했다.

(CNB=정의식 기자)