2017.03.24

해커 "계정 정보 7억개 있다" vs. 애플 "데이터 유출 없었다"

Lucian Constantin | IDG News Service
한 해커 집단이 아이클라우드 계정 수백만 개에 연결된 애플 기기에서 데이터를 삭제하겠다고 협박하고 있는 가운데, 애플은 자사의 서비스를 통해서는 어떤 로그인 계정 정보도 유출되지 않았다고 반박했다.



애플 대변인은 이메일 인터뷰를 통해 "아이클라우드와 애플 ID를 포함한 어떤 애플 시스템에서도 데이터 유출이 없었다. 해커가 확보했다고 주장하는 이메일 주소와 암호는 이전에 해킹된 서드파티 서비스에서 유출된 것으로 보인다"라고 말했다.

자신들을 '터키 범죄 조직(Turkish Crime Family)'이라고 부르는 이들 해커는 7억 5000만개의 아이클라우드닷컴(icloud.com) 로그인 계정과 미닷컴(me.com), 맥닷컴(mac.com) 이메일 주소를 가지고 있다고 주장하고 있다. 또한 이 중 아이클라우드에 접속할 수 있는 2억 5000만 개 이상의 계정이 이중 인증 기능을 이용하지 않고 있다고 밝혔다.

이 해커 집단은 23일 페이스트빈(Pastebin)에 을 올려, 애플에 해커 1인당 70만~10만 달러 또는 아이튠스 바우처 100만 달러 상당을 요구했다. 이를 주지 않으면 오는 4월 7일부터 이 아이클라우드 계정과 기기에서 데이터를 삭제할 것이라고 협박했다. 이밖에 다른 것도 애플에 요구했지만 구체적인 내용은 공개적으로 밝히지 않았다.

이에 대해 애플 대변인은 "우리는 인증 없이 사용자 계정에 접속하지 못하도록 강력하게 모니터링하고 있고, 동시에 범죄자를 밝혀내기 위해 사법 당국과 공조하고 있다. 이런 방식의 공격을 막기 위해 사용자에게 복잡한 패스워드를 사용하고 같은 패스워드를 여러 사이트에서 함께 사용하지 말 것을 권장하고 있다. 동시에 이중인증 기능도 반드시 사용하는 것이 좋다"라고 말했다.

이 해커 집단은 이들 계정 정보를 애플 서비스에서 얻은 것은 아니라고 확인했다. 해킹된 서드파티 웹사이트를 통해 수집했음을 암시하기도 했다. 이런 주장은 어느 정도는 사실일 가능성이 있다. 많은 웹사이트가 로그인할 때 이메일 주소를 입력하도록 요구하고 동시에 많은 사용자가 여러 웹사이트에 걸쳐 같은 암호를 사용하기 때문이다. 그러나 이들이 확보했다고 주장하는 계정의 수는 터무니없이 많아서 신뢰할 수 없다는 분석이다.

이들 해커 집단의 주장을 믿을 수 없는 이유는 또 있다. 지난 며칠간 이들은 여러번에 걸쳐 앞뒤가 맞지 않는 정보를 공개했다가 번복하곤 했다. 이들은 처음에 5억 개 이상의 계정을 갖고 있다고 주장했다. 지난 수년간 암시장에서 판매된 아이클라우드닷컴과 미닷컴, 맥닷컴 계정 등을 사들여 모았다는 것이다. 이들은 이후 애플에 공개적으로 돈을 요구했고 이후 다른 해커가 추가로 가담해 그들이 가진 계정을 공유해 총 7억 5000만개가 됐다고 설명했다.

또한, 이들은 이 계정 중 아이클라우드 계정에 실제 접속할 수 있는 것이 얼마나 되는지 확인하기 위해 100개의 고품질 프록시 서버를 이용하고 있다고 주장했다. 애플은 아이클라우드에 이중인증 기능을 지원하므로 이 기능을 활성화한 계정은 설사 암호가 유출돼도 해커가 접속할 수 없다. 이 해커 집단이 주장한 '접속 가능한' 아이클라우드 계정 수는 2억 5000만 개이다. 테스트한 계정 3개 중 1개 꼴로 매우 높은 비율이다.

문제는 이들 주장대로 7억 5000만 개 아이클라우드 계정 암호가 다른 웹사이트에서 사용하는 것과 같다고 했을 때 초기 데이터베이스에는 이보다 몇배 많은 수십억개의 계정을 확보했어야 한다. 혹은 암호를 재사용하는 비율이 비정상적으로 높아야 가능하다. 역대 데이터 유출 사고의 최대 규모가 야후의 10억 개였던 것을 고려하면 상식적이지 않은 주장인 셈이다.

보안 전문가이자 웹사이트 '헤브아이빈폰드(HaveIBeenPwned.com)'의 제작자인 트로이 헌트는 이메일 인터뷰를 통해 "믿기 힘든 주장이다. 기껏해야 몇몇 계정을 가지고 있는 것 같다. 그들의 주장 거의 전부가 거짓말이라고 밝혀져도 놀랍지 않을 것 같다"라고 말했다.

헌트는 이 해커 집단이 가지고 있다고 주장하는 실제 데이터를 확인하지 못했다. 수십개 이메일 주소와 텍스트로 된 패스워드를 보여주는 유투브 비디오를 공개한 것이 전부이기 때문이다. 그러나 그는 지난 수년간 가짜 해킹 주장은 물론 실제 데이터 유출이 일어난 사건도 직접 경험한 바 있다. 따라서 만약을 위해서 사용자는 애플의 조언에 따라 복잡한 패스워드를 설정하고 최소한 이중인증 기능을 반드시 사용하는 것이 좋다고 헌트는 조언했다. ciokr@idg.co.kr



2017.03.24

해커 "계정 정보 7억개 있다" vs. 애플 "데이터 유출 없었다"

Lucian Constantin | IDG News Service
한 해커 집단이 아이클라우드 계정 수백만 개에 연결된 애플 기기에서 데이터를 삭제하겠다고 협박하고 있는 가운데, 애플은 자사의 서비스를 통해서는 어떤 로그인 계정 정보도 유출되지 않았다고 반박했다.



애플 대변인은 이메일 인터뷰를 통해 "아이클라우드와 애플 ID를 포함한 어떤 애플 시스템에서도 데이터 유출이 없었다. 해커가 확보했다고 주장하는 이메일 주소와 암호는 이전에 해킹된 서드파티 서비스에서 유출된 것으로 보인다"라고 말했다.

자신들을 '터키 범죄 조직(Turkish Crime Family)'이라고 부르는 이들 해커는 7억 5000만개의 아이클라우드닷컴(icloud.com) 로그인 계정과 미닷컴(me.com), 맥닷컴(mac.com) 이메일 주소를 가지고 있다고 주장하고 있다. 또한 이 중 아이클라우드에 접속할 수 있는 2억 5000만 개 이상의 계정이 이중 인증 기능을 이용하지 않고 있다고 밝혔다.

이 해커 집단은 23일 페이스트빈(Pastebin)에 을 올려, 애플에 해커 1인당 70만~10만 달러 또는 아이튠스 바우처 100만 달러 상당을 요구했다. 이를 주지 않으면 오는 4월 7일부터 이 아이클라우드 계정과 기기에서 데이터를 삭제할 것이라고 협박했다. 이밖에 다른 것도 애플에 요구했지만 구체적인 내용은 공개적으로 밝히지 않았다.

이에 대해 애플 대변인은 "우리는 인증 없이 사용자 계정에 접속하지 못하도록 강력하게 모니터링하고 있고, 동시에 범죄자를 밝혀내기 위해 사법 당국과 공조하고 있다. 이런 방식의 공격을 막기 위해 사용자에게 복잡한 패스워드를 사용하고 같은 패스워드를 여러 사이트에서 함께 사용하지 말 것을 권장하고 있다. 동시에 이중인증 기능도 반드시 사용하는 것이 좋다"라고 말했다.

이 해커 집단은 이들 계정 정보를 애플 서비스에서 얻은 것은 아니라고 확인했다. 해킹된 서드파티 웹사이트를 통해 수집했음을 암시하기도 했다. 이런 주장은 어느 정도는 사실일 가능성이 있다. 많은 웹사이트가 로그인할 때 이메일 주소를 입력하도록 요구하고 동시에 많은 사용자가 여러 웹사이트에 걸쳐 같은 암호를 사용하기 때문이다. 그러나 이들이 확보했다고 주장하는 계정의 수는 터무니없이 많아서 신뢰할 수 없다는 분석이다.

이들 해커 집단의 주장을 믿을 수 없는 이유는 또 있다. 지난 며칠간 이들은 여러번에 걸쳐 앞뒤가 맞지 않는 정보를 공개했다가 번복하곤 했다. 이들은 처음에 5억 개 이상의 계정을 갖고 있다고 주장했다. 지난 수년간 암시장에서 판매된 아이클라우드닷컴과 미닷컴, 맥닷컴 계정 등을 사들여 모았다는 것이다. 이들은 이후 애플에 공개적으로 돈을 요구했고 이후 다른 해커가 추가로 가담해 그들이 가진 계정을 공유해 총 7억 5000만개가 됐다고 설명했다.

또한, 이들은 이 계정 중 아이클라우드 계정에 실제 접속할 수 있는 것이 얼마나 되는지 확인하기 위해 100개의 고품질 프록시 서버를 이용하고 있다고 주장했다. 애플은 아이클라우드에 이중인증 기능을 지원하므로 이 기능을 활성화한 계정은 설사 암호가 유출돼도 해커가 접속할 수 없다. 이 해커 집단이 주장한 '접속 가능한' 아이클라우드 계정 수는 2억 5000만 개이다. 테스트한 계정 3개 중 1개 꼴로 매우 높은 비율이다.

문제는 이들 주장대로 7억 5000만 개 아이클라우드 계정 암호가 다른 웹사이트에서 사용하는 것과 같다고 했을 때 초기 데이터베이스에는 이보다 몇배 많은 수십억개의 계정을 확보했어야 한다. 혹은 암호를 재사용하는 비율이 비정상적으로 높아야 가능하다. 역대 데이터 유출 사고의 최대 규모가 야후의 10억 개였던 것을 고려하면 상식적이지 않은 주장인 셈이다.

보안 전문가이자 웹사이트 '헤브아이빈폰드(HaveIBeenPwned.com)'의 제작자인 트로이 헌트는 이메일 인터뷰를 통해 "믿기 힘든 주장이다. 기껏해야 몇몇 계정을 가지고 있는 것 같다. 그들의 주장 거의 전부가 거짓말이라고 밝혀져도 놀랍지 않을 것 같다"라고 말했다.

헌트는 이 해커 집단이 가지고 있다고 주장하는 실제 데이터를 확인하지 못했다. 수십개 이메일 주소와 텍스트로 된 패스워드를 보여주는 유투브 비디오를 공개한 것이 전부이기 때문이다. 그러나 그는 지난 수년간 가짜 해킹 주장은 물론 실제 데이터 유출이 일어난 사건도 직접 경험한 바 있다. 따라서 만약을 위해서 사용자는 애플의 조언에 따라 복잡한 패스워드를 설정하고 최소한 이중인증 기능을 반드시 사용하는 것이 좋다고 헌트는 조언했다. ciokr@idg.co.kr

X