NAVER에서 아이뉴스24를 만나보세요



IT·과학 산업 경제
정치 사회 문화·생활
글로벌 연예·스포츠 오피니언
포토·영상 스페셜 아이뉴스TV


연예인 폰 해킹, 출발점은 개인정보 유출사고?

개인정보·비밀번호 사용 습관에 2차 인증 미적용 '합작품'

[아이뉴스24 김국배 기자] 최근 불거진 배우 주진모 등 연예인 스마트폰 해킹 사태는 반복된 개인정보 유출 사고, 여러 사이트에서 동일한 아이디·비밀번호를 사용하는 습관, 2단계 인증 미적용이 만들어낸 '합작품'이라는 지적이 나온다.

14일 보안업계에 따르면 전문가들은 이번 사태가 클라우드 서비스 해킹으로 일어났을 가능성은 낮게 보고 있다.

어디선가 유출된 아이디·비밀번호로 클라우드 계정에 로그인해 문자·사진 등 개인정보를 유출했을 가능성이 크다는 것.

앞서 삼성전자도 "삼성 갤럭시폰이나 삼성 클라우드 서비스가 해킹된 게 아니라 일부 사용자 계정이 외부에 유출·도용된 것으로 추정된다"며 선을 그었다.

[이미지=픽사베이]

그동안 숱하게 발생한 개인정보 유출사고로 대다수 국민의 개인정보가 한번씩은 노출됐다는 점이 이번 사태의 시작이라는 게 보안 업계 해석이다.

실제로 이미 다크웹에서 개인정보를 사고파는 일도 허다하다. 해커가 어디선가 아이디와 비밀번호를 얻을 가능성이 높은 셈이다. 이번 사태를 개인정보 유출사고의 '2차 피해'로 보는 지점이다.

대부분의 사이트에 동일한 아이디와 비밀번호를 사용하는 습관 역시 해킹 위험을 높인다. 심지어 유출사고가 나도 다른 사이트에는 해킹 당한 사이트와 같은 아이디와 비밀번호를 쓰는 경우도 많다는 것. 이른바 '크리덴셜 스터핑' 공격이 성행하는 배경이다.

크리덴셜 스터핑은 공격자가 이미 탈취한 로그인 정보를 자동화 툴을 통해 다른 온라인 사이트에 마구 대입함으로써 사용자 계정에 접근하는 공격이다. 이번 사태 역시 크리덴셜 스터핑 공격 가능성에 무게가 실린다.

여기에 '2단계 인증'을 사용하지 않은 것도 해킹 사태의 빌미를 만들었다는 지적도 나온다. 2단계 인증이란 계정 정보 외 SMS로 전송되는 인증코드 등 또 다른 정보를 입력해야만 본인을 인증할 수 있는 방식이다.

클라우드 계정으로 로그인 시 여러 번의 인증 절차를 거칠 수 있지만, 삼성의 경우 이 기능이 기본(디폴트)으로 설정돼 있지는 않다. 아예 2단계 인증에 대해 모르거나 활용하지 않는 경우가 많다. 이 때문에 보안의식 향상이 필요하다는 지적도 나온다.

한 보안 전문가는 "삼성도 (2단계 인증에 대해) 적극적으로 고지를 했으면 좋았겠지만 그런 부분이 부족했고, 사용자도 부주의했던 것으로 보인다"고 지적했다.

문종현 이스트시큐리티 이사는 "유출된 개인정보로 인한 2차 피해를 방지하려면 사이트마다 다른 비밀번호를 사용해야 한다"며 "비밀번호를 모두 다르게 설정하기 힘들다면 최소한 2단계 인증을 설정해 놓아야 한다"고 말했다.

김국배기자 vermeer@inews24.com

    삼성전자 "주진모 해킹 피해 클라우드 문제 아냐…계정 외부 유출 추정"


    '휴대전화 해킹 2차피해' 주진모 측 "무분별 유포…강력한 법적 대응"


공유하기
주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.


이 기사에 댓글쓰기!
펼치기▼