생체인증·인증문자 등 2차 보안 필요
정체를 알 수 없는 해커가 배우 주진모·장동건을 비롯해 여러 연예인의 휴대전화 클라우드 계정을 해킹한 데 이어 해킹을 통해 얻은 대화 내용 등을 유출하겠다고 협박하며 돈을 요구한 사건이 발생해 사회를 떠들썩하게 하고 있다.
이번 사건에서 해킹 대상인 클라우드 서비스의 경우 수많은 스마트폰 사용자가 가입·이용하고 있기 때문에 누구든지 해킹 피해자가 될 수 있다는 점에서 불안감 또한 확산되고 있다.
정보보호업계는 이 같은 해킹 피해를 예방하기 위해서는 서비스 이용자들의 보안 의식 제고가 필요하다고 진단하고 있다.
사건은 어떻게 일어났나
국내 여러 언론은 배우 주진모와 장동건이 휴대전화로 대화를 나눈 내용이 유출됐다고 상세히 보도했다. 그것은 여성 연예인 지망생이나 모델 등과의 염문 내용 등을 담고 있었다.
대화 내용의 적·불법을 따지기 이전에 유명인들의 대화가 유출됐다는 점에서 시민들의 호기심을 자극하기에 충분했다.
공인의 도덕·윤리성을 되돌아보는 계기가 됐다는 평가도 있지만, 해킹이라는 불법행위로 사건이 야기됐다는 사실은 변하지 않는다.
여기에 클라우드 계정이 해킹되면 개인의 은밀한 온갖 정보가 유출될 수도 있다는 점도 시민들의 관심에 불을 지피는 땔감 노릇을 했다.
이 사건은 네이버·다음 같은 국내 포털에서 인기검색어에 오르내리는 등 큰 반향을 불렀다.
경찰은 수사에 착수했지만 해킹 사건 대다수가 중국 등 해외 지역에서 일어나고 있어 추적이 어렵고 국제 수사 공조 등 풀어가야 할 숙제가 남아있어 진실 규명에 어려움을 겪을 것으로 예상된다.
데이터 유실 걱정 없앤 클라우드
과거 클라우드 서비스가 없던 시절, 자녀의 출산부터 성장까지의 추억을 사진이나 영상으로 촬영해 하드디스크 등에 보관해오다가 고장이 발생해 데이터를 몽땅 유실하는 사례를 주위에서 종종 접할 수 있었다.
데이터 복구 업체에 의뢰해 데이터를 얼마간 되살릴 수도 있었지만 복원이 항상 완벽하게 이뤄지는 것은 아니었다.
용량에 따라 증가하는 복구비용도 부담이었다.
휴대폰을 분실하는 경우도 사정은 마찬가지다.
분실폰을 되찾을 수 있다면야 다행이지만 그렇지 못할 경우에는 휴대전화에 담긴 온갖 정보를 포기할 수밖에 없었다.
이 같은 문제를 해결하는 구원투수로 등장했던 것이 바로 클라우드 스토리지 서비스다.
클라우드 스토리지는 온라인에 위치한 개인 저장공간에 개인의 각종 데이터를 보관한다는 개념이다.
물론 '웹하드' 등의 온라인 스토리지 서비스는 클라우드 서비스가 등장하기 이전에도 존재했다.
반면 클라우드 스토리지는 가상화 기술을 통해 개별적인 저장공간을 생성하고, 여기에 실시간으로 데이터의 변동 여부를 체크해 추가되거나 변경된 데이터를 즉시 백업해주는 편리함을 갖고 있어 이를 이용하는 사람들이 꾸준히 증가해왔다.
특별히 신경 쓰지 않아도 데이터 유실 걱정 없는 세상을 클라우드가 만들었던 것이다.
보안 없으면 보호 없다
이번 연예인 클라우드 계정 해킹 사건은 클라우드 서비스 자체가 해킹당한 것은 아니라는 점이 불행 중 다행이라고 볼 수 있다.
클라우드 서비스 자체가 해킹당한다면 사용자가 그 어떤 노력을 하더라도 데이터 유출을 막을 수 없기 때문이다.
전문가들은 현재 서비스되고 있는 클라우드 스토리지의 경우 이중, 삼중의 인증체계를 지원하고 있기 때문에 사용자들이 이를 잘 활용한다면 해킹 위험에서 안전하다고 지적한다.
계정 암호 입력 외에 별도의 인증문자나 생체인증을 사용하면 큰 불편함 없이도 추가적으로 보안성을 확보할 수 있다는 설명이다.
실제로 대부분의 계정 해킹은 임의의 문자열을 계정 암호로 무작위 입력해 로그인을 하거나 다른 서비스에서 사용하는 계정 정보를 습득해 이를 대입하는 방식으로 이뤄진다.
쉽게 예상할 수 있는 암호는 사용을 지양해야 한다.
예를 들어 'abcd1234!@#$'나 'q!w@e#r$'처럼 키보드 레이아웃을 통해 쉽게 예측할 수 있는 암호는 사용하지 않는 것이 좋다.
홍채·지문인식 등을 이용한 이중 인증방식을 적용하거나 서비스마다의 계정 암호를 달리하는 것으로도 해킹을 예방할 수 있다.
생체인증을 지원하지 않는 곳은 스마트폰을 이용한 인증문자 입력 등의 추가인증방식을 지원하기도 한다.
또한 정기적으로 계정 암호를 변경하면 무작위대입 해킹에서도 안전하다.
이 밖에도 가짜 웹사이트에 접속해 로그인을 요구하는 '스미싱' 수법에 걸려들지 않도록 주의하는 것이 필요하다.
진짜처럼 만든 가짜 웹사이트는 도메인 주소가 진짜와 다르거나 디자인이 허술해 조금만 눈여겨봐도 간파할 수 있다.
정말 로그인이 필요한 경우에는 직접 해당 웹사이트로 접속해 로그인하는 방법도 있다.
삼성클라우드 서비스를 제공하는 삼성전자는 "선의의 피해자가 발생하지 않도록 이미 조치를 취했지만 삼성클라우드를 더욱 안전하고 편리하게 사용할 수 있도록 이중 보안설정 등 보안조치를 취해주길 바란다"며 사용자들에게 주의를 당부했다.
