어제부터 갑자기 블로그에 트래픽 폭탄이 작렬했다. 보통 방문자수가 하루에 500~1000 정도인데 어제는 무려 3940이고, 오늘도 현재 3500명이 넘는 엄청난 수치다 -_-;
대체 이게 무슨 일인가 싶어 이글루 통계 정보를 보니까 2012년에 올렸던 "아이클라우드 해킹의 전모"에 엄청난 수의 방문자가 몰렸구나;;
왜 이런가 궁금해서 인터넷을 뒤져보니, 제니퍼 로렌스 등 유명 여배우들이 자신의 아이클라우드 계정에 두었던 나체 사진이 대량으로 유출된 모양이다 -_-;
2012년의 아이클라우드 해킹 사건은 특정 개인(Wired.com의 맷 호난 기자)의 신상정보를 이용한 사회공학적 기법으로 가능했던 것이다. (자세한 내용은 이전 게시물을 참고하자) 그러나 이번 해킹 사건은 이것과는 좀 다른 방식으로 벌어진 듯하다.
일단 피해자의 수가 너무 많다. 제니퍼 로렌스가 언론기사에 가장 많이 언급되긴 했지만 그 외에도 상당수의 피해자가 있는 듯. 제니퍼 로렌스를 비롯해서 거의 100명 가까이 되는 모양이다. (관련 기사는 여기로)
유출 피해자가 100명이라면 범인이 공격을 시도한 대상은 훨씬 더 많았을 것이다. 아마도 최소 수백명은 될 듯. 이 많은 사람들의 신상을 일일이 확인해 가며 여기저기 고객센터에 전화를 걸어서 암호를 잊어버렸다고 떼를 쓰는 식의 접근은 별로 현실적이지 않아 보인다. (게다가 여자 연예인의 나체 사진을 노렸다면 십중팔구 범인은 남자일 듯하니, 전화를 하려면 목소리가 그럴듯한 여자를 동원해야 한다는 문제도 있겠다 -_-;)
아무튼 그러던 중에, 꽤 흥미로운 기사를 하나 찾았다. "나의 iPhone 찾기(Find My iPhone)" 보안취약점을 이용한 전수조사(bruteforce) 공격에 대한 내용이다. (원문 기사는 여기로)
"나의 iPhone 찾기" 서비스의 API를 이용해서 애플ID의 접속암호를 찾아내기 위한 전수조사 공격을 가능케 하는 심각한 보안취약점이 있었다는 것이다. 원래 암호가 몇번 틀리면 해당 계정을 차단하거나 접속을 차단하거나 뭔가 조치가 있어야 하는데 그런 조치가 없이 수천번이고 수만번이고 접속을 시도할 수 있었다. -_-;
설상가상으로, 이 보안취약점을 이용해서 애플ID를 공격할 수 있는 S/W도 나와 있었다. 이름하여 ibrute. 어쨌든 그나마 다행인 것은 애플에서 이 취약점을 패치했기 때문에 지금은 ibrute를 사용할 수 없다.
GitHub의 ibrute 웹페이지를 살펴보면 이 S/W가 8월 24일에 올라왔음을 알 수 있다. 제니퍼 로렌스의 나체 사진이 퍼지기 시작한 시점은 대략 8월 31일. 애플이 해당 취약점을 패치한 것은 8월 31일 또는 9월 1일로 추정된다. 일주일 정도의 시간이 있었겠군.
추측하건대 아마도 공격자는 유명 여자 연예인들의 애플ID(이메일 주소)를 잔뜩 찾아서 모은 다음에 ibrute를 이용해서 무차별적으로 접속을 시도했고, 그 과정에서 깨지기 쉽고 허술한 접속암호를 사용하던 사람들의 애플ID가 해킹되었을 것이다. 그리고 아이클라우드에 있던 사진들은 인터넷으로 유출 -_-;;
정확히 어떤 방식으로 나체 사진이 유출되었는지 확인할 수 있는 증거는 현재 드러난 것이 없다. 즉, 위의 내용은 추측이며 실제로는 이번 사건과 ibrute는 전혀 관계가 없을 수도 있다. 하지만 정황상 ibrute가 이번 아이클라우드 해킹 사건에 사용되었을 가능성이 상당히 커 보이긴 한다.
대체 이게 무슨 일인가 싶어 이글루 통계 정보를 보니까 2012년에 올렸던 "아이클라우드 해킹의 전모"에 엄청난 수의 방문자가 몰렸구나;;
왜 이런가 궁금해서 인터넷을 뒤져보니, 제니퍼 로렌스 등 유명 여배우들이 자신의 아이클라우드 계정에 두었던 나체 사진이 대량으로 유출된 모양이다 -_-;
2012년의 아이클라우드 해킹 사건은 특정 개인(Wired.com의 맷 호난 기자)의 신상정보를 이용한 사회공학적 기법으로 가능했던 것이다. (자세한 내용은 이전 게시물을 참고하자) 그러나 이번 해킹 사건은 이것과는 좀 다른 방식으로 벌어진 듯하다.
일단 피해자의 수가 너무 많다. 제니퍼 로렌스가 언론기사에 가장 많이 언급되긴 했지만 그 외에도 상당수의 피해자가 있는 듯. 제니퍼 로렌스를 비롯해서 거의 100명 가까이 되는 모양이다. (관련 기사는 여기로)
유출 피해자가 100명이라면 범인이 공격을 시도한 대상은 훨씬 더 많았을 것이다. 아마도 최소 수백명은 될 듯. 이 많은 사람들의 신상을 일일이 확인해 가며 여기저기 고객센터에 전화를 걸어서 암호를 잊어버렸다고 떼를 쓰는 식의 접근은 별로 현실적이지 않아 보인다. (게다가 여자 연예인의 나체 사진을 노렸다면 십중팔구 범인은 남자일 듯하니, 전화를 하려면 목소리가 그럴듯한 여자를 동원해야 한다는 문제도 있겠다 -_-;)
아무튼 그러던 중에, 꽤 흥미로운 기사를 하나 찾았다. "나의 iPhone 찾기(Find My iPhone)" 보안취약점을 이용한 전수조사(bruteforce) 공격에 대한 내용이다. (원문 기사는 여기로)
"나의 iPhone 찾기" 서비스의 API를 이용해서 애플ID의 접속암호를 찾아내기 위한 전수조사 공격을 가능케 하는 심각한 보안취약점이 있었다는 것이다. 원래 암호가 몇번 틀리면 해당 계정을 차단하거나 접속을 차단하거나 뭔가 조치가 있어야 하는데 그런 조치가 없이 수천번이고 수만번이고 접속을 시도할 수 있었다. -_-;
설상가상으로, 이 보안취약점을 이용해서 애플ID를 공격할 수 있는 S/W도 나와 있었다. 이름하여 ibrute. 어쨌든 그나마 다행인 것은 애플에서 이 취약점을 패치했기 때문에 지금은 ibrute를 사용할 수 없다.
GitHub의 ibrute 웹페이지를 살펴보면 이 S/W가 8월 24일에 올라왔음을 알 수 있다. 제니퍼 로렌스의 나체 사진이 퍼지기 시작한 시점은 대략 8월 31일. 애플이 해당 취약점을 패치한 것은 8월 31일 또는 9월 1일로 추정된다. 일주일 정도의 시간이 있었겠군.
추측하건대 아마도 공격자는 유명 여자 연예인들의 애플ID(이메일 주소)를 잔뜩 찾아서 모은 다음에 ibrute를 이용해서 무차별적으로 접속을 시도했고, 그 과정에서 깨지기 쉽고 허술한 접속암호를 사용하던 사람들의 애플ID가 해킹되었을 것이다. 그리고 아이클라우드에 있던 사진들은 인터넷으로 유출 -_-;;
정확히 어떤 방식으로 나체 사진이 유출되었는지 확인할 수 있는 증거는 현재 드러난 것이 없다. 즉, 위의 내용은 추측이며 실제로는 이번 사건과 ibrute는 전혀 관계가 없을 수도 있다. 하지만 정황상 ibrute가 이번 아이클라우드 해킹 사건에 사용되었을 가능성이 상당히 커 보이긴 한다.
덧글
회원님께서 소중하게 작성해주신 이 게시글이 9월 4일 줌(zum.com) 메인의 [이글루스] 영역에 게재 되었습니다.
줌 메인 게재를 축하드리며, 9월 4일 줌에 게재된 회원님의 게시글을 확인해 보세요.
그럼 오늘도 행복한 하루 되시길 바라겠습니다.
고맙습니다.