배우 주진모를 비롯해 유명 연예인을 상대로 한 스마트폰 해킹 사건을 두고 논란이 일파만파 커지는 모습이다. 주 씨의 경우 과거 여러 차례 피해를 일으킨 해킹 수법에 따른 사건임이 밝혀지면서 특정 해커 조직이 배후로 의심된다는 지적이다.
11일 보안 업계에 따르면 주진모는 ‘크리덴셜스터핑(Credential Stuffing)’ 방식의 해킹을 당한 것으로 드러났다. 특정 경로로 유출된 개인의 로그인 정보를 다른 사이트나 계정에 무작위로 대입해 개인정보를 탈취하는 수법이다. 대다수 개인이 여러 계정에 한 가지 로그인 정보를 사용하는 것을 악용한 사례다.
10일 오후 해커가 다수 커뮤니티에 유포해 논란을 키운 주 씨와 연예인 A 씨의 문자 대화가 상당한 과거 내용인 점도 단순한 기기 해킹보다는 클라우드에서 탈취한 정보로 보인다는 설명이다.
삼성전자도 9일 "삼성 갤럭시폰이나 클라우드 서비스에서 해킹이 발생하지 않았다"고 입장을 내놨다. 회사는 "일부 사용자 계정이 외부에서 유출된 후 도용돼 발생했다"며 크리덴셜스터핑 수법에 무게를 실었다.
이같은 크리덴셜스터핑 수법은 수년 전부터 모습을 드러낸 해킹 방식이다. 과거 홈플러스와 스타벅스, 던킨도너츠가 해당 해킹으로 곤욕을 치렀다. 우리은행도 2018년 크리덴셜스터핑 해킹 시도로 피해를 봤다.
실제 지난해 보안 기업 아카마이가 내놓은 ‘아카마이 2019 인터넷 현황 보고서: 금융 서비스 공격'에 따르면 2017년 11월부터 2019년 4월까지 세계 금융 업계를 대상으로 한 크리덴셜스터핑 공격은 35억 건에 달했다.
특히 클라우드 계정을 노린 유사 범죄로는 2014년 아이 클라우드 해킹 사례가 대표적이다. 당시 해커는 제니퍼 로렌스와 케이트 업튼 등 할리우드 연예인 다수의 아이 클라우드를 해킹해 누드 사진 등의 개인정보를 유포했다.
애플은 이에 클라우드 보안성을 강화하고자 3단계 인증에 기반한 로그인 방식을 도입했다. 클라우드 계정 아이디(ID)와 비밀번호뿐 아니라 문자로 전송된 보안 코드와 스마트폰 잠금 비밀번호까지 인증하는 방법이다.
일각에서는 어눌한 한국어를 사용했기에 타 국가 해커일 가능성이 높다는 전망도 했다. 하지만 10일 해커가 특정 커뮤니티에 스마트폰 화면 이미지를 캡처하는 방식으로 주 씨의 문자 내용을 올리면서 캡처 사진상에서 여러 의심될 정황을 포착했다는 게 업계 전언이다. 다만 현재 해당 유출 내용을 발설하는 것 자체가 법적 논란을 불러올 수 있기에 자세한 사항은 밝힐 수 없다고 덧붙였다.
보안 업계와 삼성전자는 이같은 해킹을 막기 위해서는 로그인 시 2단계 인증을 필수로 해야 한다고 당부했다. ID와 비밀번호를 입력한 후 추가로 문자 메시지에 전송된 보안 코드를 입력하는 방식이다. 삼성 갤럭시폰은 설정 메뉴에서 2단계 인증을 활성화하면 된다.
개인별로 자신만의 공식이 담긴 비밀번호를 설정하는 것도 또 다른 대응이 될 수 있다. 한 보안 업계 관계자는 "계정마다 비밀번호를 새로 만드는 것이 개인에게는 부담이 될 수 있다. 자신만의 암호화 방식을 고안해 계정마다 비밀번호를 유추하도록 하면 전부 외우지 않더라도 잊어버리지 않고 사용할 수 있다"고 조언했다.
한편 서울지방경찰청 사이버안전과는 8일 "주진모 등의 배우뿐 아니라 아이돌 멤버와 유명 요리사, 영화감독 등 연예인 10여 명이 해킹이나 협박 피해를 봤다"며 "수사를 진행하고 있다"고 전했다.
주 씨의 소속사 화이브라더스코리아는 7일 "최근 주진모 핸드폰이 해킹당했다"며 "지라시를 작성하거나 이를 게시, 유포하는 모든 행위에 강력한 법적 조치를 취하고 책임을 묻겠다. 관련 내용을 어떠한 경로로 재배포하거나 가공 후 유포할 때도 마찬가지다"고 입장을 밝혔다.
