뉴시스

【서울=뉴시스】김민기 기자 = 애플의 클라우드(Cloud) 서비스인 '아이클라우드'가 미국 여성 스타의 누드 사진 유출'로 곤혹을 겪음에 따라 국내 이용자들도 개인 자료 유출에 대한 두려움에 떨고 있다.

국내에서도 정부가 앞장서서 클라우드 활성화를 위해 힘을 쏟고 있는 가운데 클라우드 산업이 본격적으로 커지기 전부터 보안에 대한 준비를 철저히 해야 한다는 의견이 나오고 있다.

2일 외신과 업계에 따르면 미국 최고의 여성 배우인 제니퍼 로렌스, 유명 모델 케이트 업튼, 아이돌 가수 빅토리아 저스티스 등 수십명의 미국 유명 연예인들의 사생활을 담은 사진이 애플의 아이클라우드의 해킹에 의해 유출됐다.

특히 이번에 클라우드 해킹을 통해 유출된 자료는 누드사진, 동영상 등 남에게 공개하기 힘든 사생활 사진과 정보가 담겨있어 더욱 충격을 더하고 있다.

클라우드는 내가 가지고 있는 스마트폰이나 PC에 있는 하드디스크에 정보를 보관하는 것이 아니라 인터넷이나 통신을 통한 네트워크를 통해 가상공간에 문서, 사진, 음악, 동영상 등 각종 자료를 저장하는 공간이다.

클라우드 서비스가 처음 나올 때부터 업계에서는 언제든 해킹을 통해 개인 정보가 새어나갈 수 있다며 보안 이슈에 대해 철저히 준비해야 된다는 목소리가 높았다.

무엇보다 그동안 보안에 있어 미국 정부도 쉽게 접근할 수 없다며 늘 자랑해오던 애플의 철벽을 뚫은 것이라 국내 스마트폰 이용자들도 개인 정보가 유출될까 걱정하고 있다.◇ 국내 이용률 90% '구글'은 해킹에 안전한가

보안전문가들은 이번 애플의 해킹에 대해 직접 애플의 서버 자체를 해킹하지는 않았을 것으로 보고 있다. 다른 사이트를 해킹해 비슷한 비밀번호를 입수하거나 아마존 등 다른 계정을 통해 아이클라우드 패스워드 찾기를 이용해 빼낸 것으로 분석하고 있다.

이외에도 비밀번호에 들어갈 수 있는 모든 경우의 수를 무차별적으로 반복 입력하는 '아이브루트(iBrute)'라는 프로그램을 사용했거나 고객센터 등에 직접 전화해서 정보를 입수한 것을 통해 패스워드를 알아냈을 가능성이 큰 것으로 추측하고 있다.

실제로 2012년 미국 IT 전문지 와이어드의 맷 호난 기자는 애플 클라우드 서비스인 '아이클라우드'의 본인 계정이 사회공학적 기법을 이용한 해커에 의해 탈취당한 전말을 보도했다.

당시 해커는 호난 기자의 구글 지메일 계정, 이름, 주소를 알아낸 뒤 이를 이용해 아마존과 애플의 고객상담실에 각각 전화를 걸어 신용카드번호를 빼내고 비밀번호를 재설정하는 방식을 구사했다.

특히 애플의 경우는 클라우드서비스와 애플 디바이스간의 연동성이 크기 때문에 정보 유출 피해가 더 컸던 것으로 분석된다. 구글의 경우는 애플에 비해 클라우드와의 연동성이 다소 적어 애플 보다는 다소 유출 가능성이 적다.

구글코리아 관계자는 "구글플러스의 사진 자동백업은 사용자가 동의를 해야만 자동으로 백업이 시작이 되고 그 이전에는 백업이 되지 않는다"면서 "2단계 인증을 통해 사용자의 비밀번호가 노출되더라도, 탈취자가 비밀번호만으로는 로그인을 할 수 없게 만드는 장치를 해놨다"고 말했다.

예컨대 은행 OTP라는 서비스처럼 로그인을 하기 위해 아이디와 비밀번호를 입력하면 지정한 기기에 일정시간마다 랜덤하게 생성되는 번호를 다시 한번 입력해야 최종 로그인이 된다.

국내 기업인 네이버의 경우도 계정 해킹 등의 보안에 힘을 쏟고 있다. 네이버는 이용자 스스로 안전하게 개인정보를 보호할 수 있도록 '로그인 전용 아이디' 보안 기능을 추가했다. 이는 기존의 아이디는 계속 사용하면서, 오직 로그인에만 사용하는 별도의 아이디를 만들어 아이디와 비밀번호가 유출되도 로그인 자체가 불가능하게 했다.

이외에도 ▲해외 로그인 차단 ▲타지역 로그인 차단 ▲새로운 기기 로그인 알림 ▲일회용 로그인 등의 시스템을 구축하고 있다.

◇ 국내 클라우드, 아직 안전성 담보 못해그렇다면 애플, 구글 이외에 국내 클라우드 서비스의 보안은 제대로 이뤄지고 있는 것일까. 아직까지 전세계적으로 클라우드 서버를 해킹해 정보를 탈취한 사례는 없는 만큼 직접적인 해킹 피해는 없는 것으로 파악하고 있다.

현재 국내에서는 네이버 'N드라이브', 다음 '다음 클라우드'가 대표적인 클라우드 서비스다. SK텔레콤, KT, LG유플러스 등 이통사 3사와 SI(시스템통합) 업체 등이 클라우드 저장 서비스를 운영하고 있고, 클라우드 솔루션을 다루는 약 100여개의 중소기업이 있다.

국내 보안 전문가들은 현재 국내에서 이용되고 있는 클라우드 서비스는 아직 이용자가 많지 않고 산업 자체도 활성화 되지 않아 당장은 해커들이 해킹을 하는 일은 없을 것으로 보고 있다.

화이트 해커인 박찬암 라온시큐어 팀장은 "해커들은 사람들이 많이 쓰는 서비스를 주고 공격하기 때문에 아직은 국내 클라우드 서비스가 공격 타깃은 안된다"면서도 "그렇다고 국내가 해외에 비해 더 안전하다고 보기는 힘들다"고 말했다.

이어 "하지만 세계 최고의 보안성을 자랑하는 애플마저도 해커들에 의해 정보가 유출 당하는 상황에서 국내 업체 역시 보안 사고에 쉽게 노출돼 있다"면서 "아직 사고가 나지 않았다고 해서 보안 수준이 높다는 것은 아니다"고 덧붙였다.

◇ 이중 인증으로 보안 누수 막아야

미래창조과학부도 최근 국회에 상정돼 있는 클라우드법을 통해 클라우드 서비스를 이용하고 있는 이용자들을 보호하기 위한 법적 장치를 준비 중이다.

서성일 미래부 과장은 "현재 국회에서 입법조사처를 중심으로 클라우드 보안에 대해 검토 중"이라면서 "클라우드 서비스를 하는 업체들이 개인정보를 유출됐을 경우 업체의 책임이 없더라도 유출 자체만으로도 과징금을 부과할 수 있도록 수준의 처벌 방안 도입을 검토 중"이라고 밝혔다.

이와 같은 강력한 처벌 방안을 법적인 장치로 마련해두면 기업들도 보안에 대해 좀 더 투자를 늘리고 좀 더 신중을 기할 것으로 보고 있다. 기업뿐 아니라 클라우드 서비스를 사용하고 있는 이용자들도 동시에 보안에 유의해야한다는 목소리도 나오고 있다.

한국클라우드보안협회는 클라우드 보안 사고를 막기 위해서는 이중 인증 기능을 활성화 하는 방안을 추천했다. 또 클라우드에 사용하는 비밀번호를 포함해 동일한 비밀번호를 여러 웹사이트에서 동시에 사용하지 말아야 한다고 충고했다.

협회 관계자는 "비밀번호를 찾기 위한 질문에 '내가 처음 졸업한 학교'라던가 '내 첫 번째 애완동물의 이름' 등 남들이 알기 힘든 질문을 선택해야한다"면서 "내가 모르는 사이에 클라우드에 저장될 수 있으니 반드시 클라우드에 들어가 민감한 정보를 삭제하는 것을 잊지 말아야 한다"고 말했다.

kmk@newsis.com

<저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>