사상 최대 수준의 온라인 사진·영상 사이트 해킹 피해 사례가 보고됐다.

더레지스터를 비롯한 외신은 최근 전세계 주요 사진·영상 사이트 및 커뮤니티에 해커가 침입해 2018년 5월(이하 현지시각)부터 지금까지 사용자 계정 정보를 탈취한 사실이 뒤늦게 밝혀졌다고 밝혔다.

해킹당한 사이트는 전세계 16곳, 도난당한 사용자 계정 수는 총 6억1700만개에 달한다. 외신과 사진 커뮤니티 소비자는 사이트가 충분한 보안 조치를 마련하지 않았다며 강하게 비판했다.

2018년 5월 첫 해킹 이후 수개월이 지날 때까지 이를 전혀 파악하지 못한 점, 일부 사이트는 해킹 피해 대책과 보완 조치 없이 침묵으로 일관하고 있다는 점에서 비판의 목소리는 더욱 커진다.

◇ 500px·EyeEm·Dubsmash…글로벌 16개 사이트에서 6억1700만명 계정 도난

비디오 메시징 앱 ‘Dubsmash’에서는 ID와 실명, 이메일 주소와 해시 암호 등 사용자 계정 정보 1억6155만개가 유출됐다. 헬스케어 커뮤니티 ‘MyFitnessPal’ 사용자 계정 정보도 1억5063만개 유출됐다.

가장 먼저 해킹 피해를 입은 것으로 알려진 사진 SNS ‘500px’에서는 1477만건의 사용자 계정이 흘러나갔다. 사진 커뮤니티 ‘EyeEm’에서는 2236만개, 피트니스 사이트 ‘8fit’에서는 2008만개의 사용자 계정 정보가 빠져나갔다.

EyeEm이 사용자에게 보낸 해킹 피해 고지 메일. / diy포토그래피 갈무리
EyeEm이 사용자에게 보낸 해킹 피해 고지 메일. / diy포토그래피 갈무리
그밖에도 사진 공유 서비스 ‘Fotolog’와 ‘Animoto’, 사진 기반 유전자 프로필 연구사 ‘MyHeritage’, 독서 커뮤니티 ‘Book Mate’와 데이팅 앱 ‘CoffeeMeetsBagle’도 수백만~수천만건의 사용자 계정 정보를 도난당했다.

이번 사건의 해커는 탈취한 사용자 계정 정보를 다크웹에서 2만달러(2240만원) 상당의 비트코인을 받고 판매하고 있다. EyeEm과 500px의 사용자 계정 정보 일부는 이미 실제 거래까지 이뤄진 것으로 알려졌다.

◇ 거센 비판 속 "사진 업계 보안 개선 계기로 삼아야"

해킹 피해를 입은 사이트 관계자 대부분은 사용자에게 즉시 비밀번호를 바꾸라고 공지했다. 유출된 사용자 계정이 활성화되기 전 비밀번호를 바꾸면 피해를 막을 수 있다. 이어 시스템 취약점을 검토하고 보안 기능을 수정하는 등 대응에 나섰다고 해명했다.

일부 사이트는 한발 더 나아가 유출된 사용자 계정 정보의 접근을 막고, 법의학 기관과 연계해 해커를 역추적하겠다고 말했다. 하지만, 몇몇 사이트는 사과는 물론, 대응 및 향후 보안 계획조차 공지하지 않았다.

가장 큰 피해를 입은 비디오 메시징 앱 Dubsmash. / 홈페이지 갈무리
가장 큰 피해를 입은 비디오 메시징 앱 Dubsmash. / 홈페이지 갈무리
소비자를 비롯한 사진·영상 업계는 일제히 비판하는 목소리를 냈다. 사진·영상 정보는 가장 민감한 개인 정보에 속한다. 사진·영상을 통해 인물의 초상권은 물론 사용자의 나이와 연령, 거주 지역, 관심사 등을 엿볼 수 있다.

2013년 이미징 기술 기업 어도비시스템즈는 서버 공격을 받아 3800만명분의 개인정보를 해커에게 내줬다. 당시 어도비시스템즈는 조직을 개편하고 보안 시스템을 강화하는 등 대응에 나섰다. 하지만 사진·영상 사이트는 보안 정책 수립을 게을리했고, 그 결과 이번 해킹 피해가 재발했다.

디피리뷰 사용자 ‘iAPX’는 "이번에 해킹 피해를 입은 곳을 포함, 수많은 사진·영상 사이트가 여전히 단방향암호화같은 기초적 보안 기술만 적용하고 있다"고 지적했다. IT 외신 디지털인포메이션월드는 "해킹 피해를 막으려면 브라우저 확장 혹은 미승인 응용 프로그램을 설치하지 않는 등 소비자 스스로도 주의해야 한다"고 보도했다.