근래 우리가 많이 쓰고 있는 클라우드 저장소는 2009년 7월 네이버에서 n드라이브란 이름으로 오픈베타 서비스를 시작하였으며 2012년 구글이 "구글드라이브"를 국내 런칭하였습니다. 이외 다음이나 SK, KT 등 많은 업체에서 클라우드 저장소 서비스를 제공하고 있으며 스마트폰의 대중화와 함께 많은 사람들이 사용 중입니다.

'클라우드 저장소'라는 용어가 생소한 분들도 이미 서비스를 쓰고 계신 경우가 많습니다. 일례로 휴대폰 기기를 변경해도 아이디 패스워드를 통해 이전 휴대폰에서 사용하던 사진, 앱, 문자 등이 그대로 옮겨지는 것도 클라우드 저장소를 통해 가능한 일입니다. 이 뿐만이 아닙니다. 지인들과 사진들을 공유할 때나 회사가 아닌 외부에서 업무를 볼 때 등 일상적으로 사용하고 있습니다.

 

2014년 초 영화 헝거게임의 주인공으로 유명한 제니퍼 로렌스 등 헐리우드 유명인들의 애플 아이클라우드에 저장한 개인적인 사진들이 인터넷에 유출된 사건이 있었습니다. 분석가들은 아이폰의 "내 아이폰 위치찾기" 기능의 패스워드 입력실패 제한이 없어 brute-force 공격에 의해 유출되었다고 하였지만 애플에서는 타겟형 공격으로 비밀번호 찾기 질문 등을 해커가 추측하여 계정이 유출되었다고 발표하였습니다.

 

그렇다면 애플의 문제이든 아니든 사용자가 유출을 막을 수 있는 방법은 없을까요?

 

<모바일 기기의 공유 설정 세분화>

모바일 기기를 처음 사용할 때 안드로이드 기기는 구글드라이브, 아이폰은 iCloud를 활성화 하도록 되어 있습니다.

두 기기 모두 아래 화면과 같이 사진이나 연락처, 앱 데이터 등 클라우드 업로드 여부를 세분화하여 설정 가능하므로 필요한 기능만 활성화 할 수 있습니다.

 

 

또한 평상시에는 기능을 꺼두고 기기 변경으로 인한 백업 등 필요한 경우에만 활성화 하는 방법이 있습니다.

운영체제와 연동된 클라우드 계정 뿐만 아니라 네이버드라이브와 같은 서비스도 자동업로드 설정 여부를 확인하여 필요하지 않은 것은 설정을 끕니다.

 

<공개용 계정과 인증용 계정의 분리>

많은 사용자 들이 SNS 등에 공개된 연락용 이메일 주소나 아이디를 그대로 모바일 기기 로그인 등에 사용합니다. 이를 분리하여 모바일 기기 인증용 계정을 따로 생성할 경우 공격자는 패스워드 뿐만 아니라 아이디도 알아내야 하므로 위 사례와 같은 brute-force 공격은 어렵습니다.

뿐만 아니라 만약에 여러 곳에서 같은 계정을 사용한다면 한 서비스에서 계정과 패스워드가 유출되었을 경우 공격자는 쉽게 다른 곳도 로그인할 수 있습니다.

 

<2차 인증 사용>

구글이나 마이크로소프트 뿐만 아니라 국내 네이버와 다음 등 인터넷 서비스 회사들은 대부분 모바일 OTP 앱 등을 사용한 2차 인증 기능을 제공합니다. 이를 활성화 할 경우 아이디 패스워드가 유출되어도 계정을 보호 할 수 있습니다.

 

< 네이버의 OTP 설정 화면>

 

< 다음카카오의 OTP 설정 화면>

 

<개인정보의 중요성 인식>

간혹 "내 계정을 털어가서 뭘 하겠어" 라며 대수롭지 않게 여기시는 분들도 있습니다. 주민등록번호나 휴대폰 번호가 아니더라도 이렇게 유출된 사진이나 문서 등은 누군가에게 유용하게 쓰일 수 있습니다. 직업이나 가족구성원 등을 파악하여 보이스 피싱에 활용한다거나 주변사람들에게 피해자의 지인인 것처럼 접근하여 다른 범죄에 사용할 수 있습니다.

또한, 개인적인 자료 뿐만 아니라 회사나 다른 기관의 문서들은 클라우드에 업로드 하는 것 만으로도 사내 규정이나 법을 위반하게 될 수 있습니다. 더욱이 중요한 자료일 경우 유출사고 발생 시 해당 회사는 큰 피해를 입게 됩니다.

 

위에 따로 언급하지는 않았지만 주기적인 비밀번호 변경이나 운영체제의 업데이트 등은 모두 기본적으로 알고 계실거라 생각합니다. 편리한 클라우드저장소 서비스, 모두 안전하게 사용하시기 바랍니다.

Posted by 대검찰청 사이버수사과


티스토리 툴바