'당신의 클라우드는 안전합니까"

[이데일리 장영은 기자] . 최근 스마트폰 데이터 복구 관련 취재를 하면서 사설 업체에 공장초기화를 한 단말기의 데이터를 복월할 수 있는지를 문의한 적이 있다. 해당 업체는 “공장초기화를 했다면 단말기 자체의 데이터를 복원하는 것은 쉽지 않겠지만 클라우드를 통해 일부라도 복원할 수 있다”고 답했다. 클라우드를 따로 설정해서 사용한 적이 없다고 말했으나, ‘삼성 계정에 로그인을 한 적이 있지 않느냐’며 들어가 보면 남아 있는 데이터가 있을 것이라고 자신했다.

. 배우 주진모씨의 스마트폰 해킹 사건이 알려지면서 한 번도 들여다보지 않았던 삼성 클라우드에 로그인을 했다. 별도의 데이터 백업이나 연동 설정을 하지 않았다고 생각했는데 놀랍게도 스마트폰에 저장돼 있는 2000여장의 사진이 모두 클라우드에 올라가 있었다.

클라우드는 가장의 저장공간을 이용해 언제, 어디서나 데이터를 백업하고, 데이터에 접근할 수 있다는 장점이 있으나 그만큼 보안이 더 중요하다. (사진= 픽사베이)

‘주진모 사태’는 왜 일어났나…삼성 “사용자 계정 외부에서 유출”

배우 주진모씨 등 유명인들의 스마트폰 해킹 사건으로 클라우드 보안에 대한 우려가 확산되고 있다. ‘구름’이라는 뜻의 클라우드는 가상의 저장 공간이다. 가상이라는 것은 존재하지 않는다기 보단 보이지 않는 뜻에 가깝다. USB나 외장하드처럼 실체가 보이지는 않지만(실제로는 데이터 센터가 있다) 사용자가 필요한 만큼의 저장공간을 빌려 쓰는 서비스다. 별도의 장치를 가지고 다니지 않아도 되고 쓴 만큼 사용료를 내면 된다.

특히 의도치 않게 소중한 데이터가 지워지거나 기기를 분실할 경우 백업해둔 데이터를 기반으로 복원할 수 있다는 점은 가장 큰 장점이다. 실제로 휴대폰을 도난·분실 당했을 때 클라우드에 백업된 데이터 덕분에 큰 낭패를 면한 사례도 심심치 않게 접할 수 있다. 클라우드가 보편화 되기 전까지만 해도 USB나 외장하드는 필수품이었다. 중요한 파일은 반드시 별도의 공간에 백업을 해둬야 했고 여의치 않은 경우엔 이메일로 보내서 만약을 대비한 경험 한 번쯤은 있을 터다.

하지만 이 같은 장점은 다른 한편으로 보안에 취약해진다는 단점이 된다. 개인 정보가 내 기기를 떠나 다른 공간에 머물게 되는 것이니 지켜야 할 ‘문’이 여러 개가 되는 셈이다. 지켜야 하는 주체가 개인일 경우에는 보안에 더 취약할 수밖에 없다. 해커들은 주로 보안에 막대한 투자를 하며 2중·3중으로 안전장치를 해두는 회사보단 개인 사용자의 취약한 면을 노리기 마련이다.

이번 주진모씨 해킹 사건의 경우도 현재 명확한 결과가 나오진 않았지만, 해당 스마트폰 제조사인 삼성전자측에 따르면 클라우드 해킹이 아닌 개인 계정 유출로 보인다. 해커 집단이 스팸 문자나 메일을 통해 아이디와 비밀번호를 중간에 가로채거나, 유명인들의 경우 개인 계정을 제3자가 따로 관리하기도 하는 점을 노려 관련 정보를 탈취했을 가능성이 제기된다. 이렇게 알아낸 개인 아이디와 비밀번호를 이용해 외부 PC에서 클라우드에 접속해 동기화된 사진과 문자메시지 등을 다운받을 수 있었다는 것이다.

삼성전자가 안내한 2단계 인증 방법. 2단계 인증을 하면 아이디와 암호를 알아도 본인 인증을 해야 접속할 수 있다.

아이폰은 더 안전할까…“편리함과 보안성은 함께 가기 힘들어”

이번 해킹 사태의 피해자들이 모두 삼성전자 스마트폰을 쓰는 것으로 알려지면서 삼성 스마트폰이 더 보안에 취약한 것 아니냐는 의혹이 제기되기도 했다. 하지만 아이폰(애플 스마트폰)의 경우도 비슷한 해킹에 당한 적이 있었다.

지난 2014년 제니퍼 로렌스 등 할리우드 유명 연예인 100여명의 아이클라우드(iCloud) 계정이 해킹을 당한 사례가 있었다. 해커는 약 2년에 걸쳐 유명인들에게 구글이나 애플 관리자를 사칭해 ID와 비밀번호를 묻는 이메일을 대량으로 보냈고, ‘덫’에 걸린 사람들의 클라우드에 올려진 개인사진과 메시지 등이 ‘탈탈’ 털린 바 있다.

기본적으로는 각종 보안 관련 정책에서 애플의 기준이 더 높은 것은 사실이다. 삼성은 이번 해킹 사태 이후 사용자들에게 ‘2단계 인증’을 설정할 것을 권고했다. 아이디와 비밀번호 입력 후 문자 메시지로 전송된 인증 코드까지 입력해야 로그인할 수 있는 기능이다. 아이폰의 경우 클라우드에 접속하기 위해선 △ID와 비밀번호 △문자로 전송된 보안 코드 △잠금 비밀번호 6자리 등의 3단계 인증이 필수적이다.

다만, 이는 삼성이 애플에 비해 보안 관련 기술이 떨어져서라기 보단 ‘선택’의 문제다. 익명을 요구한 한 보안업계 관계자는 “편리함과 안전함은 같이 가기 힘든 측면이 있는 것이 불편한 진실”이라며 “안드로이드와 iOS(애플 운영체제)는 근본적으로 추구하는 가치가 다르고 사용자들도 이런 점을 충분히 알고 자신에게 맞는 쪽을 선택하는 추세”라고 말했다.

한편 전문가들은 사용하는 제품에 상관없이 사용자들이 기본적인 보안수칙을 이행하면 해킹에 대해 크게 걱정하지 않아도 된다며 다음과 같이 조언했다. △비밀번호는 알기 쉬운 문자열이나 주민등록 번호·전화번호 등과 다르게 설정하고 △각 계정마다 자신만의 규칙을 정해 비밀번호를 다르게 설정하는 것이 좋으며 △어떤 경우에도 아이디어 비밀번호를 요구하는 문자 메시지나 이메일에는 응답하지 말고 △출처가 불분명한 온라인 링크에는 접속하지 않도록 해야 한다.