애플은 최근 미국 여배우 100여명의 누드 사진이 유출된 사건과 관련해 자사 클라우드서비스인 ‘아이클라우드’의 해킹과 무관하다는 자체 조사결과를 발표했다. 여배우들을 타깃으로 한 계정 탈취로 인한 것이지, 클라우드 서비스 자체의 보안 결함 탓이 아니라는 해명이다.
애플은 2일 여배우 누드 사진 유출 사건에 대한 조사 결과를 발표했다. 애플은 “특정 유명인 계정들이 계정 이름, 비밀번호, 보안질문 등을 노린 공격으로 탈취당했다”며 “인터넷에서 널리 쓰이는 방식이 사용됐다”고 밝혔다. 애플은 “아이클라우드나 ‘내 아이폰 찾기’ 서비스 등 애플 시스템의 보안상 취약점을 이용한 것이 아니다”고 덧붙였다.
애플의 주장은 이번 해킹 사건이 인간의 심리적인 측면이나 제도적 헛점을 이용한 ‘사회공학적 해킹’ 기법 또는 다른 서비스에서 계정 이름과 비밀번호 등을 확보한 뒤 이를 아이클라우드 서비스 해킹에 이용하는 방식이 이용됐다는 뜻이다.
이러한 기법을 이용한 계정 탈취는 이전에도 발생했었다. 실제로 2012년 미국 IT 전문지 와이어드의 맷 호난 기자는 애플 클라우드 서비스인 ‘아이클라우드’의 본인 계정이 사회공학적 기법을 이용한 해커에 의해 탈취당한 전말을 보도했다. 당시 해커는 호난 기자의 구글 지메일 계정, 이름, 주소를 알아낸 뒤 이를 이용해 아마존과 애플의 고객상담실에 각각 전화를 걸어 신용카드번호를 빼내고 비밀번호를 재설정하는 방식을 구사했다.