4일 IT 커뮤니티 뽐뿌 게시판에는 자신의 아이폰이 해킹 당했다고 호소하는 글이 올라왔다. 아이폰에 별안간 ‘당신의 핸드폰은 이미잠겼습니다. 카카오톡 ID moneykr 로 연락하세요. 그렇지 않으면 50분 내에 지워집니다. 카운트 다운중...’이라는 메시지가 뜨더니 지문 인식도 되지 않고 잠겨있는 상태라는 것. 글쓴이는 친구의 카카오톡을 통해 해당 아이디의 해커와 연락을 취했고, ‘잠금 해제는 유료’라는 말과 함께 500위안을 은행 계좌로 이체해줄 것을 요구하는 메시지를 받았다.
결국 아이폰 초기화를 빌미로 돈을 뜯어내려는 사기꾼의 소행이었다. 다만, 아이폰에 악성코드 등을 설치해 벌인 해킹이 아닌, 피싱 사이트를 통한 애플 아이디와 비밀번호 유출로 인한 사기 피해였다. 애플 아이디와 비밀번호만 있으면 이중 인증 기능을 사용하지 않는 아이클라우드(iCloud) 계정에 저장된 연락처, 메일, 일정, 사진, 문서 등의 자료를 열람 및 수정할 수 있다. 또 결제 수단이 등록된 경우 앱스토어에서 콘텐츠를 임의로 구입할 수 있고, 원격으로 아이폰을 초기화하는 것도 가능한 것으로 알려져 있다.
글쓴이는 아이클라우드 홈페이지에서 로그인을 시도했지만 ‘없는 아이디’로 접속이 불가했다. 애플 아이디와 비밀번호만 알아내 로그인을 하면, 아이클라우드 아이디 변경도 가능했던 것. PC를 통해 수동으로 데이터 백업을 시도하기도 했지만, 이 역시 동기화 시 관련 권한을 이유로 불가능했다. 글쓴이는 “이날 오전에 애플 서비스센터를 찾아 애플 아이디와 비밀번호를 복구받고 아이폰에 대한 백업을 요청할 계획”이라고 설명했으나, “관련 사례를 찾아보니 백업 및 아이디 요청에 대해 법률적인 검토가 필요하다며 거부할 가능성도 있어 보인다”고 우려를 나타냈다.
피싱 사기 가해자는 글쓴이 외에도 다수의 메일 계정 리스트를 가지고 있어, 추가 피해 사례가 더 있을 것으로 보인다.
지난 해 12월에도 해커에 의해 애플 아이디와 비밀번호가 강제 변경된 사례가 인터넷 카페를 통해 공유된 바 있었다. 당시 해커는 애플 상담원을 통해 신원 확인까지 마친 뒤, 생년월일과 사용자 이름을 바꿔 피해자의 애플 계정을 완전히 탈취했다. 해당 계정의 생년월일과 이름까지 바뀌다보니, 본인 확인이 안된다는 이유로 피해자는 계정을 다시 찾지 못했다. 결국 연락처와 사진, 각종 중요한 정보, 기프트 카드 등을 모두 날릴 수 밖에 없었다.
따라서 아이폰 역시 애플 아이디와 비밀번호가 유출될 경우엔 보안을 결코 안심할 수 없다는 경각심이 커지고 있다. 동시에 애플의 융통성 없는 정책에 대한 문제 제기도 나온다. 앞서 중국에서도 애플 아이디 해킹으로 인한 피해 사례가 있었으나, 애플 측은 피해자에게 잠금 해제를 위한 절차로 아이폰 구매 영수증과 포장박스 제출을 요구한 것으로 알려졌다. 구매 시기가 한참 지난 시점에 영수증과 포장박스가 있을 리 만무했고, 피해자는 ‘규정상 잠금을 해제할 수 없다’는 답변을 들어야 했다.
지난 해 9월, 미국 프랑스 호주 등 18개 국에서 애플 이용자 계정 22만5000여 개가 탈취당하는 사건이 있었다. 이는 악성코드를 이용해 애플 이용자를 겨냥한 해킹으로는 최대 규모. 당시 애플 관계자는 “신뢰할 수 없는 소스로부터 악성코드를 내려받은 탈옥 기기에서만 발생한 것”이라고 강조했다. 하지만 최근 불거진 애플 아이디 유출로 인한 피해는 탈옥 여부와 관계 없이 아이클라우드와의 연동으로 벌어진 것이라는 점에서 아이폰 이용자들을 더욱 불안하게 하고 있다.
ham@heraldcorp.com
