미국 유명 여배우 누드사진 유출 사건과 관련 애플측은 자사 서비스에서 취약점이 발견된 것은 아니었다고 공식 발표했으나 최근 아이클라우드의 인증을 우회할 수 있는 또 다른 방법이 발견돼 보안성 논란이 확대되고 있다.
애플은 누드사진 유출 건과 관련 아이클라우드, 내 아이폰 찾기(Find My iPhone)에서는 어떤 취약점도 없었다고 공식 발표했다. 그러나 최근에는 일반 ID, 비밀번호와 아이폰 문자메시지 등을 통해 전송받은 일회용 비밀번호(PIN)를 차례대로 입력해야만 접속이 가능토록 한 투채널 인증 혹은 이중 인증을 우회할 수 있는 툴까지 나온 것으로 드러났다.
3일(현지시간) BBC, 와이어드 등 외신은 보안전문가들의 말을 인용, 아이클라우드에 저장된 백업데이터에 접속하기 위해 해커들이 '엘콤소프트 폰 패스워드 브레이커(Elcomsoft Phone Password Breaker, EPPB)'라는 디지털포렌식툴을 악용했을 가능성이 있다고 지적했다.
해커가 이 툴을 썼다고 하더라도 사전에 공격대상이 사용 중인 이메일, 비밀번호를 알고 있어야 한다는 조건이 따른다.
와이어드에 따르면 여배우 누드사진이 초기에 유출된 인기 익명 이미지 게시판 'Anon-IB'에는 누군가 그녀의 비밀번호를 해킹하기 위해 스크립트로 EPPB로 백업 데이터를 다운로드했다는 내용을 올렸다는 글이 게재됐다.
EPPB는 러시아 모스크바에 거주하고 있는 블라디미르 카탈로브라는 이름의 프로그래머가 개발한 것으로 투채널 인증을 쓴다고 하더라도 상대방의 아이폰, 아이패드를 통한 인증 없이도 아이클라우드에 저장된 백업 데이터를 뽑아낼 수 있게 한다. 주로 수사기관 등 사법당국에서 활용하고 있으며, 399달러에 판매되고 있다. 그러나 무료버전도 비트토렌트 등 공유사이트를 통해 손쉽게 구할 수 있다.
아직은 제니퍼 로렌스 등 여배우 누드사진이 이 방법을 통해 유출됐는지는 확인되지 않았으나 여전히 가능성은 남아있는 상황이다.
그럼에도 불구하고 카탈로브는 BBC와 인터뷰에서 100% 확신할 수는 없지만 최근 여배우 누드사진유출 사건에 악용됐을 가능성이 높다고 말했다.
핀란드 출신 유명 보안 전문가 미코 하이포넨은 애플의 이중인증(투채널 인증)은 오로지 고객들의 신용카드 정보를 보호하기 위한 것이지 (아이클라우드 내에) 사진첩, 혹은 백업 데이터를 복원하기 위해서는 필요하지 않다고 말했다.
관련기사
- 애플은 아이클라우드 보안 취약점 없다지만…2014.09.04
- 애플 "아이클라우드 누드사진 유출 조사중"2014.09.04
- 아이클라우드 여배우 누드사진 유출 파장 확대2014.09.04
- 美유명 여배우 아이클라우드 해킹, 누드사진 유출2014.09.04
외신에 따르면 카스퍼스키랩 데이비드 엠 보안연구원은 엘콤소프트가 이 툴을 2012년에 개발했다는 점을 고려하면 우려스럽다며 애플이 그동안 투채널 인증에 대한 취약점을 방치해 온 것도 놀랍다고 말했다.
최근까지 나온 유출 경로를 살펴보면 해커는 사용자가 비밀번호를 모를 때 이를 알기 위해 사용하는 내 아이폰 찾기 기능을 악용해 흔히 쓰이는 비밀번호들을 무작위로 입력한 뒤 실제 비밀번호를 알아내는 '무차별 대입 공격'을 악용했을 것으로 추정된다. 여기에는 '아이브루트(iBrute)' 혹은 이와 유사한 툴을 쓰였을 가능성이 높다. 그 뒤에는 아이클라우드에 저장된 백업 데이터를 투채널 인증에 필요한 본인 소유 아이폰, 아이패드가 없이도 가능케 하는 EPPB가 악용됐을 것으로 보인다.