클라우드 비번, 당신도 설마 ‘123456’ ‘qwerty’?

‘연예인 스마트폰 해킹’으로 본 클라우드 보안

크게보기

#직장인 A 씨(36)는 ‘연예인 스마트폰 해킹 논란’이 불거지자 스마트폰에 설치된 클라우드 서비스들을 들춰보고는 깜짝 놀랐다. 삼성 클라우드, 구글 드라이브, 클라우드베리까지 각종 클라우드가 자신도 모르게 설치돼 있고 스마트폰과 ‘동기화’돼 있었다. 궁금증이 일어 들어가 봤더니 점심에 촬영한 음식 사진부터 몇 달 전 여행사에 제출한 여권 정보, 이전 폰을 쓸 때 상사에게 보고했던 모바일 결제 캡처 화면까지 남아 있었다. 심지어 백업 파일에는 자신이 개인적으로 보낸 문자메시지도 모두 저장돼 있었다. A 씨는 “나도 모르게 여러 개의 클라우드 서비스를 쓰고 있었다는 점에 놀랐고, 거의 실시간으로 나의 일거수일투족을 알려주는 민감한 정보가 어딘가에 저장되고 있다는 데 등골이 서늘했다”고 말했다.

13일 정보기술(IT) 업계에 따르면 각종 클라우드 애플리케이션은 스마트폰을 개통할 때 이미 깔려 있고 공짜라 덥석 사용 동의를 하기 쉽다.

스마트폰에 디폴트로 설치돼 있는 클라우드 서비스는 구글 ‘드라이브’, 애플 ‘아이클라우드’, 삼성전자 ‘삼성 클라우드’, SK텔레콤 ‘클라우드베리’, LG유플러스 ‘U+Box’ 등 5종이다. 사용하는 스마트폰 기종에 따라 서비스되는 클라우드는 차이가 있지만 최소 2, 3종은 기본으로 설치돼 있는 것으로 나타났다.

스마트폰을 사거나 교체한 뒤 초기 설정을 하면서 이용자들은 무심코 클라우드 서비스에 ‘동의’ 버튼을 누른다. 기본으로 깔려 있기 때문에 그래야 하는 줄 아는 경우가 다수다. 이 경우 사진, 동영상, 주소록, 문자 등 민감한 정보들이 자동으로 클라우드 서버에 저장된다. 많은 사람이 본인이 사용 동의했다는 점을 까먹고 비밀번호를 바꾸는 등의 사후 관리를 하지 않고 있어 자칫 큰 피해를 입을 수 있다는 우려의 목소리가 커지고 있다. 한 번 비밀번호가 털리면 스마트폰에 담긴 개인의 모든 정보가 유출되는 것이다.

안성원 소프트웨어정책연구소 선임연구원은 “클라우드에 중요 정보들이 담겨 있기 때문에 클라우드 해킹을 시도하려는 위험이 상존한다”면서 “하지만 클라우드를 직접 해킹하기는 힘든 만큼 클라우드 계정 비밀번호를 알아내 우회 접속하려는 공격이 많다”고 했다. 실제로 이번 연예인 스마트폰 정보유출 사건도 피해자들이 출처를 알 수 없는 스팸문자에 적힌 인터넷주소(URL)를 클릭했다가 자신도 모르게 아이디와 비밀번호가 유출된 것으로 추정된다.

이 때문에 전문가들은 클라우드로 인한 피해를 막으려면 서비스별로 데이터 백업 여부를 선별적으로 선택하라고 조언한다. 스마트폰에만 남길 정보와 클라우드에 분산 저장할 정보를 나누라는 것이다. 이는 단말기별로 ‘백업 설정’에 들어가 선택할 수 있다. 또 ‘2단계 인증’처럼 외부에서 클라우드에 접속할 때마다 ‘코드번호’를 입력하도록 이중 잠금장치를 하면 해킹 공격에 효과적으로 대비할 수 있다.

비밀번호를 주기적으로 변경하는 것도 효과적인 예방책이다. 보안업계 관계자는 “미국 보안업체가 선정한 최악의 비밀번호 ‘톱5’가 ‘123456’ ‘123456789’ ‘qwerty’ ‘password’ ‘1234567’인데 한국도 사정이 다르지 않다”면서 “기본적인 패스워드 문자열을 정한 뒤 사이트별로 규칙을 적용해 비밀번호를 설정하는 방식으로 활용하면 기억하기도 쉽고 보안에도 도움이 된다”고 말했다.

신무경 기자 yes@donga.com