adsense_in_article_test


아이클라우드 해킹의 전모 IT/잡담

Wired.com의 맷 호난(Mat Honan) 기자의 아이클라우드가 해킹당한 사건이 있었는데, 해킹당한 후에 해커와 메시지를 주고받으면서 고소하지 않는다는 조건으로 어떻게 해킹했는지 물어본 모양이다. 원문 기사는 여기로 - Wired.com


해킹 과정은 대략 이렇다.

공격자가 처음 노린 것은 단지 트위터 계정(@mat)이었고 개인적 원한은 없었다. 단지 계정 이름이 맘에 들어서(?) 찍었다고 한다. 해당 트위터 계정에 대한 조사를 하고 대상자의 홈페이지를 파악했다.

공격자, 홈페이지에서 대상자의 gmail 주소를 파악한다.

공격자, 구글의 계정 복원(account recovery) 페이지로 들어가서 계정 복구 페이지 접속한다. 대상자의 gmail 주소를 입력하자, 구글은 암호 재설정시 정보를 보내줄 다른 메일 계정을 m****n@me.com 이런식으로 노출한다.

공격자, @me.com을 보고 대상자가 애플 계정(AppleID)을 가지고 있음을 파악한다.

공격자, whois 검색으로 대상자의 홈페이지 도메인을 검색,  이름과 이메일, 주소(billing address)를 파악한다.

공격자, 아마존 고객센터에 전화한다.계정에 신용카드를 하나 더 등록하겠다고 요청하며 카드 번호를 알려준다. 본인 확인을 위한 질문을 받고 이름과 이메일, 그리고 주소를 말해준다.

공격자, 잠시후 다시 아마존 고객센터에 전화해서 계정에 접속이 안된다고 호소한다. 본인 확인을 위해 이름, 주소, [조금 전에 등록했던] 카드 번호를 알려주고 계정에 [공격자의] 이메일 주소를 하나 더 추가한다.

공격자, 아마존에 접속, 암호 재설정을 요청하고 새로 추가한 이메일 주소로 재설정 링크를 수신한다. 해당 아마존 계정에 등록된 모든 신용카드의 마지막 네자리 번호를 알 수 있게 된다.

공격자, 애플 고객센터(AppleCare)에 전화, AppleID 접속이 안된다고 호소한다. 계정 주인이 설정한 보안 질문에는 대답하지 못했다. 애플은 본인 확인을 위해 이름, 주소, 신용카드 마지막 네자리 번호를 요구한다. 다 대답하고 임시 암호를 발급 받는다.

이제 공격자는 대상자의 애플 계정 및 아이클라우드를 장악했다.

공격자, gmail로 가서 계정 복구 기능으로 gmail 암호 재설정 링크를 애플 계정(@me.com) 이메일로 수신한다. 그리고 애플 계정으로 로그인하여 gmail 계정 암호를 재설정한다.

대상자는 gmail 암호가 변경되었다는 통지를 애플(@me.com) 계정으로 받았지만 자주 쓰지 않는 계정이라 확인하지 않았다.  

공격자, 트위터 암호 재설정 기능을 사용하여 트위터 계정을 장악한다.

공격자는 아이클라우드의 "Find My" 기능을 이용, 대상자의 아이폰과 맥북에 원격으로 접속하여 자료를 모조리 다 삭제한다.

공격자, gmail 계정을 아예 폐쇄한다.

대상자는 자신의 아이폰과 맥북에 있는 모든 자료, 메일 계정, 트위터 계정을 한순간에 다 잃었다.



남의 일이 아니다.



핑백

덧글

  • 구바바 2012/08/08 22:57 # 답글

    경각심이 들긴 하는데, 저런 식으로 사기(?)를 치면 어떻게 본인으로서는 딱히 대응할 방법도 없어보이니 더 난감합니다. 비밀번호 관리를 아무리 잘한다고 해도 이 경우는 비밀번호가 노출된 것도 아니고, 그저 몇 가지 개인정보를 힌트로 해치워버린 것인데... 온라인에서 생활(?)하다보면 완벽히 익명으로 활동하지 않는 한 몇가지 개인정보는 노출시킬 수 밖에 없지 않은가 싶기도 하고 말입니다;;;
  • 반달가면 2012/08/08 23:29 #

    100% 안전한건 어차피 없습니다만, 고객센터에서 본인 확인할 때 본인 명의 휴대폰에 문자를 보내서 인증하는 절차가 있었다면 이렇게까지 되지는 않았을 것 같습니다. 어쨌든 한번 크게 터졌으니까 보완은 좀 되겠죠. 그리고 원격접속이나 원격 동기화는 편리하긴 하지만 그만큼 위험합니다. 전 개인적으로 이런 종류의 서비스는 아예 안쓰고 있습니다;;
  • 작은아이 2012/08/09 00:51 # 답글

    이런 사회공학 해킹방법은 막기가 참 쉽지 않죠. Gmail은 꼭 2차 인증을 설정해두고 서로 연관성 없는 계정(ID)을 사용하는 것도 하나의 방법이겠네요.
  • 반달가면 2012/08/10 01:15 #

    네 그것도 방법입니다만, 불편해서 잘 안쓰게 되는듯;;; 궁극의 취약점은 결국 다 사람으로 귀결되지요;
  • 아마존이 문제 2012/08/09 03:01 # 삭제 답글

    아마존이 개인 카드 정보를 모조리 갖고 있는 것이 문제가 아닌가 합니다.
  • 반달가면 2012/08/10 01:18 #

    아마존만 문제가 아니라 아마존 애플 둘 다 본인 확인 절차가 허술했다는 점이 문제인데요. 사실 이게 이 두 회사만의 문제가 아니라는게 문제죠;
  • 구글계정에 2012/08/09 03:20 # 삭제 답글

    2-factor authorization 걸어놨으면 좀 나았을 듯
  • 반달가면 2012/08/10 01:18 #

    네 2-step authentication 하면 훨씬 어려웠을 겁니다
  • 희야♡ 2012/08/09 07:03 # 답글

    저건 카드 마지막자리로 인증해준 애플의 실수도 있죠..

    아마존의 마지막 자리 저장이야.. 미국 업체들 (페이팔이든 아마존이든 애플이든 구글이든 다아...)이
    신용카드 정보를 저장할때 첫 네자리와 마지막 4자리로 (마지막 4자리만 쓸 경우도 있고요...)

    카드를 구분하는데 마지막 네자리로 인증해주는건.... 차라리 발급일자를 물어보거나 보안번호를 물어봐야할텐데요...

    아무튼... 이 사례로 봐선 뭐 바뀌겠죠. 어디든...
    해킹의 다수가 사회공학적 방법으로 들어가니...
  • 반달가면 2012/08/10 01:20 #

    아마존에서 카드 정보를 보호하기 위해 마지막 네자리만 보여주도록 한 것인데, 공교롭게도 애플은 본인 확인을 할 때 바로 그 마지막 네자리를 요구했던게 이런 사태를 부른 셈입니다;
  • 군중속1인 2012/08/09 07:38 # 답글

    어떤시스템이든 사람이 헛점이군요 ㅋ
  • 반달가면 2012/08/10 01:20 #

    네. 시스템은 패치라도 할 수 있지만, 사람은 패치도 안되고;;;
  • 아일턴 2012/08/09 09:00 # 답글

    어떤 고난이도 해킹 기술이 사용된 것도 아닌데 빙빙 둘러가면서 다 장악해버리네요 ㅎㄷㄷㄷㄷ
  • 반달가면 2012/08/10 01:23 #

    저 시나리오를 짜냈다는 것이 고난이도 해킹이라고 할 수 있지 않을까요? 해킹은 단지 코딩이나 IT지식에 국한되지는 않고 기술 못지않게 사회공학(social engineering)이 상당한 비중을 차지합니다.
  • ∀5 2012/08/09 10:05 # 답글

    어이없을 정도로 간단하게 털렸네요....
  • 반달가면 2012/08/10 01:24 #

    네 엄청난 사고일수록 어이 없는 곳에서 시작되어 어이 없게 벌어지는 경우가 많은 것 같습니다
  • @.@ 2012/08/09 10:36 # 삭제 답글

    보안+사용자편의~=상수총량

    과연 어디까지 보안을 올릴 수 있을 거신가...!
  • 반달가면 2012/08/10 01:25 #

    보안을 강조한다고 편의성을 무시하면 팔리질 않으니, 결국은 사용자의 각성이 관건이라고 생각됩니다.
  • .. 2012/08/09 13:09 # 삭제 답글

    이건 사기설계도지 해킹기술이 아니네
  • 반달가면 2012/08/10 01:27 #

    해킹이 원래 '보안 취약점을 이용한 사기 행각' 아니던가요?
  • 녹색조각 2012/08/09 17:08 # 답글

    워매 -_-;;; 무서부라...;
  • 반달가면 2012/08/10 01:27 #

    네 무섭습니다;;
  • 김정현 2012/08/23 18:59 # 삭제 답글

    맞는것 같습니다. 이정도의 시나리오면, 고난의도의 해킹기술이라 생각합니다.

    사기나 해킹이나, 해킹이나 사기나 같지 않나요. 놀랍네요
  • 반달가면 2012/08/23 21:11 #

    기발하죠. 저걸 한 해커가 겨우 19살입니다;
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


B-Side


adsense(w160_h600)2

통계 위젯 (화이트)

264487
4519
2080403

2019 대표이글루_IT

Google Analytics