거대한 사용자 기반을 가진 구글 동영상 공유사이트 유튜브와 애플 아이튠스가 같은날 각각 해킹을 당하는 사고가 터졌다.
유튜브는 덧글쓰기를 이용한 보안취약점 공격으로 동영상 내용이 바뀌고 방문자가 음란물, 악성코드 사이트로 유도되는 피해를 당했다. 구글은 해킹이 발생한지 두시간만에 문제를 수정했다.
블로그 기반 IT미디어 매셔블 등 외신들은 4일(현지시간) 4챈(4chan)이라는 인터넷 커뮤니티와 다른 해커집단 회원들이 유튜브를 해킹했다고 보도했다.
4챈은 게시판별로 다양한 주제를 다루는 국내 사이트 '디시인사이드'와 비슷한 인터넷 커뮤니티다.
유튜브에 스스로 동영상을 올려 유명해진 캐나다 출신 10대 가수 저스틴 비버가 해킹 표적이었다. 방문자들은 비버 동영상을 보는 화면에서 해킹당했다는 알림글을 본 뒤 악성코드 등 유해프로그램이나 포르노 콘텐츠가 올려진 사이트에 자동으로 보내졌다. 해킹 당일 비버가 사망했다는 거짓 문구를 노출하기도 했다. 비버는 4챈 사이트에서 싫어하는 스타 가운데 한 명으로 알려졌다. 4챈에서는 비버를 북한으로 보내버리자는 공모가 벌어졌다.
유튜브는 동영상 덧글란에 특정 HTML코드를 입력받는 방식으로 해킹된 것으로 추정된다. 이에 해당되는 취약점은 관리자가 아닌 쪽에서 웹페이지에 스크립트를 집어넣고 다른 사용자가 실행할 수 있게 만드는 것으로 '크로스 사이트 스크립팅(XSS)'이라 불린다. 외신들은 인터넷게시판 등 여러 사용자가 함께 쓰는 웹 애플리케이션이 XSS 취약점을 갖게 될 경우 공격대상이 되기 쉽다고 전했다.
해킹이 발생한 한시간 뒤 구글은 유튜브 덧글쓰기를 차단하고 두시간만에 이를 수정했다. 구글 대변인은 이메일을 통해 "우리는 해당 보안취약점을 계속 조사해 앞으로 비슷한 문제가 생기지 않도록 하겠다"고 말했다.
애플 온라인 콘텐츠 서비스 아이튠스도 같은날 해킹 공격을 받은 것으로 전해졌다. 해커는 아이튠스 사용자 계정으로 애플리케이션을 결제해 앱스토어 순위를 조작했다. 아이튠스 사용자 계정과 비밀번호가 도용된 것인지, 아이튠스 서버가 해킹된 것인지는 알려지지 않았다. 아직 애플은 공식 입장을 내놓지 않고 있다.
한 베트남 개발자가 다른 사용자들 아이튠스 계정을 이용해 책 애플리케이션을 구입한 것이다. 온라인 IT미디어 더넥스트웹은 이 개발자가 아이튠스 인기 목록 순위를 조작하기위해 다른 사용자 계정을 해킹하고 애플리케이션을 결제했다고 보도했다.
관련기사
- 클라우드 기반 애플 아이튠스 등장 초읽기2010.07.05
- 유튜브 "플래시가 HTML5보다 낫다"2010.07.05
- 유튜브에 동영상 올리고 직접 돈받는다2010.07.05
- "구글, 유튜브로 사용자와 광고 수익 공유"2010.07.05
더넥스트웹은 처음에는 미국 아이튠스에서 일부 사용자들을 대상으로 벌어진 해킹으로 간주했으나 전세계에서 벌어졌다. 피해를 제보한 사용자들은 자기도 모르는새에 유료 애플리케이션이 결제됐다고 밝혔으며 최초 사례는 약 4주 전에 있었던 것으로 추정된다.
이후 외신들은 사용자들에게 아이튠스에서 구매한 품목을 확인해 볼 것, 구매하지 않은 애플리케이션이 목록에 있으면 애플에 신고할 것, 해당 계정으로 결제가 되지 않도록 정지시킬 것, 계정 비밀번호를 바꿀 것, 신용카드 결제정보를 지우고 기프트카드를 쓸 것을 당부했다.