연예인 스마트폰 해킹 발(發) 삼성전자 클라우드 보안 논란

[민주신문=허홍국 기자] 삼성전자 클라우드 보안 논란이 연예인 스마트폰 해킹으로 불거졌다.

논란의 핵심은 개인 정보(ID&PW)만 있으면 삼성전자 스마트폰 갤럭시S 휴대폰 공기계의 클라우드 복제가 가능하다는 것에 있다.

여기에 갤럭시 전 모델에 기본으로 제공되는 기본 앱이 실행될 때마다 중국 서버에 접속해 데이터를 주고받는 사실이 알려지면서 보안 논란은 더욱 가중되는 모양새다.

10일 IT 및 가전업계 등에 따르면 영화배우 주진모씨 등 유명인들이 개인 휴대전화를 해킹당한 후 사생활 유출 협박을 받았다는 지난 8일 연예전문매체 디스패치 보도 이후 삼성전자 클라우드 보안 논란이 일고 있다.

해킹이 삼성전자 갤럭시 스마트폰을 이용 중인 유명인들을 상대로 휴대전화 개인정보를 복사해 사진, 영상 등을 갈취한 뒤 이를 빌미로 돈을 요구하며 협박을 일삼아 온 사실이 알려졌기 때문.

더욱이 디스패치 한 기자가 클라우드 개인 정보를 이용해 갤럭시S 휴대폰 복제 여부를 테스트한 결과, 클라우드 백업 자료가 공기계에 그대로 옮겨졌다는 검증 결과는 보안 논란에 불을 지폈다.

디스패치는 삼성전자 클라우드 계정과 비번만 있으면 갤럭시S 공기계서 클라우드가 실행됐고, 아이디와 패스워드를 입력했더니 사진, 영상, 문자 등 모든 데이터가 그대로 복제됐다고 보도했다.

반면 애플 아이폰 경우 아이 클라우드 백업 자료를 공기계에 옮기는 것은 한 번에 복제가 불가한 것으로 확인됐다며 삼성전자 클라우드 보안 취약성과 비교했다.

아이폰 공기계 아이 클라우드 백업은 3단계 이상의 인증 절차를 거쳐야 가능했다는 게 검증 결과이다.

‘크리덴셜 스터핑’ 일까

일각에서는 이번 해킹을 두고, ‘크리덴셜 스터핑(Credential Stuffing)’을 지목한다. 이 기법은 기존 다른 곳에서 유출된 아이디와 패스워드 등을 여러 웹사이트나 앱에 대입해 로그인이 될 때 개인정보나 자료를 유출시키는 범죄다. 쉽게 말해 사용자 계정을 탈취해 공격하는 유형 중 하나다.

연예인 스마트폰 해킹을 보도한 디스패치 역시 이 수법이라고 봤다. 이 수법은 복잡한 것을 싫어하는 이용자들이 모든 웹사이트나 앱에서 같은 아이디와 패스워드를 사용하는 것을 노린 방법이다. 크리덴셜 스터핑 공격은 지난해 9월 홈플러스서 발생한 바 있다.

아울러 최근 크리덴셜 스터핑이 증가하는 점도 삼성전자 갤럭시 스마트폰 해킹 원인으로 꼽는 배경 중 하나로 보인다. 글로벌 보안기업 아카마이에 따르면 지난 2017년 11월부터 지난해 4월까지 총 18개월 동안 금융업계를 대상으로 일어난 크리덴셜 스터핑 공격은 35억 건에 달했다.

이번 클라우드 보안 논란은 공기계 클라우드 백업에 있어 2차 인증을 지원, 보안성을 강화했느냐의 여부다. 쉽게 말해 크리덴셜 스터핑을 통해 얻은 개인정보로 복제폰을 만들어 클라우드 데이터의 탈취 여부가 ‘수월하냐 어려우냐’가 관건이다.

이런 측면에서 삼성전자 갤럭시 클라우드는 2차 인증을 지원하지 않는다는 점에서 보안 논란을 불러일으키고 있다. 그 반대로 경쟁사인 애플 아이폰은 2차 인증을 지원하고 있어 대비된다.

보안업계 일각에서는 이번 해킹을 두고 크리덴셜 스터핑 수법이 동원된 것이 아직까지 확인되지 않은 만큼 경찰 조사를 지켜봐야 한다는 시각이다.

中 서버 데이터 전송도 논란

여기에 더해 삼성전자가 자사 스마트폰에 기본으로 제공하고 있는 중국업체의 애플리케이션(앱)이 실행될 때마다 중국 현지 서버에 접속해 데이터를 주고받는 것이 알려지면서 보안 논란은 더욱 커지고 있다.

삼성전자는 스마트폰 기본 ‘앱’인 저장공간 관리도구에 중국 보안업체 ‘치후360’ 모바일 백신 프로그램 ‘360 시큐리티’를 제공하고 있다.

이 프로그램은 삼성전자 스마트폰에 기본적으로 제공되는 것으로 이용자가 임의로 삭제하거나 중단할 수 없다.

현재까지 이 프로그램이 기본으로 제공된 모델은 지난 2017년 출시된 갤럭시S8와 갤럭시노트8, FE를 포함해 2018년 이후 출시된 모든 갤럭시 스마트폰과 태블릿PC다.

보안 논란은 최근 미국 온라인 커뮤니티 레딧의 한 이용자가 해당 앱을 작동할 때마다 중국 서버에 접속해 데이터를 주고받는 것을 공개하면서 불거졌다. 핵심은 어떤 데이터를 ‘주고 받았는지’ 알 수 없다는 것.

삼성전자 “클라우드 해킹 아니다”

이와 관련, 삼성전자 측은 “자사 클라우드 해킹이 아니다”라는 입장을 내놨다.

삼성전자는 지난 9일 삼성멤버스 커뮤니티에 공지를 통해 “삼성 갤럭시폰이나 삼성 클라우드 서비스가 해킹을 당한 것은 아니며, 일부 사용자 계정이 외부에 유출된 뒤 도용돼 발생한 것으로 추정된다”고 밝혔다.

이에 덧붙여 “삼성전자 클라우드에 저장된 개인정보는 아이디, 비밀번호가 노출되지 않는다면 개인정보보호 방침에 따라 안전하게 관리되고 있다”고 강조했다.

저장공간 관리도구 기본 앱 작동 시 중국 서버 접속하는 것에 대해서는 새로운 앱을 정리할 때 정크 파일인지 확인하기 위해 중국 보안업체 DB에 확인하는 차원이라는 입장이다.

정크파일 DB 보유량이 가장 커 제휴를 맺고 해당 기능을 제공받는 것이고 정크파일을 구분하고 삭제하는 건 삼성 솔루션으로 하고 있다는 게 삼성전자 측 설명이다.

그러나 이 부분에서 관련업계 전문가들은 기본 앱에 중국 프로그램을 적용하는 것은 문제가 있다고 지적하는 분위기다. 업데이트를 통해 추가로 들어가는 기능에 백도어가 깔리는 등 문제가 있을 수 있다는 지적이다.

백도어는 인증되지 않은 사용자에 의해 컴퓨터 기능이 무단으로 사용될 수 있도록 컴퓨터에 몰래 설치된 통신 연결 기능을 말한다. 이 때문에 삼성전자가 자체 개발한 기본 앱으로 제공해야 한다는 목소리가 높다.