클라우드 해킹 공포…내 휴대폰은 괜찮을까

휴대폰과 실시간 연동되는 클라우드 주의보…"각 계정 아이디·비번 다르게 해야"

임종철 디자이너 / 사진=임종철 디자이너

배우 주진모 등 연예인 10여명의 스마트폰이 해킹돼 협박을 받고 있다는 사실이 알려지면서 스마트폰 이용자들이 “자신도 피해자가 될 수 있다”며 불안에 떨고 있다. 구체적인 범죄수법에 대해선 아직 경찰 조사가 진행 중이나, 협박범들이 휴대폰과 연동된 클라우드 서비스를 노렸을 가능성에 무게가 실리고 있다. 클라우드는 스마트폰을 바꾸거나 분실했을 때 편리한 서비스다. 휴대폰 속 데이터를 쉽고 편리하고 저장하고 옮길 수 있어서다. 이 때문에 많은 이용자들이 휴대폰 데이터 백업 용도로 클라우드를 이용한다. 누구라도 ‘휴대폰 데이터 랜섬’ 범죄의 피해자가 될 수 있다는 얘기다.

클라우드 정보 왜 위험할까…문자부터 일정까지 수두룩

휴대폰 데이터를 실시간 백업받는 용도로 활용되는 클라우드 서비스는 구글, 삼성 클라우드, 아이 클라우드(아이폰) 등이 대표적이다. 클라우드베리(SK텔레콤), U+박스(LG유플러스) 등 이동통신사가 제공하는 클라우드 서비스도 있다. 수십GB(기가바이트)까진 무료로 쓰고 추가 용량은 유료로 구입해 사용한다. 클라우드에 실시간 백업받을 수 있는 데이터는 다양하다. 이 또한 이용자들이 선택할 수 있다. 하지만 연락처, 문자 메시지, 휴대폰으로 촬영한 사진, 동영상, 스케줄 등 민감한 사생활 정보들이 대부분이다. 그래서 한번 유출되면 치명적일 수 밖에 없다.

클라우드 해킹인가? 계정 도용인가?…데이터는 어떻게 빼낼까

우선 클라우드 서버를 직접 노리는 경우가 있다. 서버를 해킹한 뒤 직접 데이터를 빼가는 수법이다. 하지만 운영사들이 다중 보안체계를 두고 있는 상황에서 무모하다. 이보다는 기존에 노출된 아이디와 비밀번호를 이용해 클라우드 계정에 접근했을 가능성이 높다는 게 전문가들의 중론이다. 많은 이용자들이 동일한 아이디와 비밀번호로 여러 사이트에서 이용한다. 일일이 외울 수 없기 때문이다. 때문에 다른 곳에서 아이디와 비밀번호로 빼낸 뒤 클라우드 계정에 접속했을 것이라는 게 전문가들의 진단이다. 보안이 취약한 인터넷 서비스를 해킹했거나 PC나 스마트폰에 악성코드를 심어 계정정보를 탈취했을 수도 있다.

삼성전자가 지난 10일 삼성 멤버스를 통해 “삼성 클라우드 서비스가 해킹당한 것은 아니며, 일부 사용자 계정이 외부에서 외부에서 유출된 후 도용된 것으로 추정된다”고 공지한 것도 이런 이유에서다. 피해자들이 주로 삼성 스마트폰과 클라우드를 쓰다 해킹을 당했다는 점을 보도한 일부 매체가 삼성 클라우드를 데이터 유출지로 지목한 데 따른 해명이다.

‘나도 피해자’?…해킹피해 방지하려면

비밀번호 관리가 무엇보다 중요하다. 여러 웹사이트에 로그인할 때 서로 다른 비밀번호를 써야 한다. 말처럼 쉽진 않다. 그렇다해도 클라우드나 금융 서비스 등 민감한 계정의 경우 반드시 다른 비밀번호를 써야한다고 전문가들은 경고한다. 클라우드 서비스를 보다 안전하게 이용하려면 이중인증을 받는 것이 안전하다. 아이디와 비밀번호만으로 클라우드 계정에 접속할 수 있다면 언제든 유출 피해를 당할 수 있다. 이중인증은 클라우드 서비스에 접속해 백업 데이터를 복사거나 보려면 휴대폰 인증 혹은 이메일 인증 등을 추가로 받을 수 있는 걸 말한다. 삼성 클라우드를 비롯해 대부분의 클라우드 서비스들이 선택 사항으로 이중인증을 두고 있다. 각 운영사에 문의하거나 공지사항을 통해 확인할 수 있다.

전문가들은 “이용자 선택에 맡기지 말고 서비스 운영회사들이 아예 이중인증을 필수화할 필요가 있다”고 지적한다. 애플의 경우 지난 2014년 헐리우드 배우 제니퍼 로렌스 아이클라우드 데이터 해킹 사태 이후 아이폰 이용자들이 이중 인증을 사실상 필수 선택하도록 강권하고 있다. 만약 자신의 정보가 유출돼 협박을 당하고 있다면 사이버 범죄자들과 개별적으로 협상하지 말고 경찰 등 수사기관에 신고하는 것이 합리적이다.