본문 바로가기

security/보안 뉴스

[시큐리티 트러스트] iPad 이용자 이메일 주소 유출

2010.06.14. MON

iPad 이용자 이메일 주소 유출

가장 최신 보안뉴스 중 하나는 AT&T 웹사이트의 취약점 때문에 해커들이 애플 아이패드의 얼리어답터들(적어도 AT&T에 가입한 이용자들) 이메일 주소를 해킹하게 되었다는 뉴스에 관한 것입니다.

그 뉴스는 “애플 최악의 보안 사건: 11만 4,000명의 아이패드 이용자 정보 유출”이란 제목의 이야기로 거커(Gawker)를 통해 독점으로 밝혀졌습니다.

나의 동료 블로거인 폴 더클린(Paul Ducklin)이 지적하듯이, 그 뉴스는 자신이 너무 섹시해서 남자 동료직원들을 업무에 집중을 하지 못하게 했다는 이유로 그녀의 직장인 시티은행에서 해고되었다고 주장하는 일명 “섹시 은행원(Hottie Banker)”, 데브라리 로렌자나(Debrahlee Lorenzana)에 대한 계속되는 기사와 함께 지금 거커의 머리기사입니다.

만약 여러분이 잠시 동안 데브라리 로렌자나의 매력으로부터 관심을 돌려 그 거커 기사를 읽는다면, 여러분은 그 기사가 여러분에게 말하려는 다음과 같은 무서운 몇 가지 점이 있다는 것을 알게 될 것입니다.

"수십 명의 CEO, 군관계자들, 그리고 최고 정치인들. 그들과 무선기능이 내장된 태블릿(아이패드)의 모든 구매자들은 스팸 마케팅 및 악의적인 해킹에 취약할 수 있습니다."

"지구상에서 가장 고가의 이메일 리스트입니다."

"그 위반사건은 또 AT&T의 무선 네트워크를 이용하는 아이패드를 구입할 생각을 한 고객들을 불안하게 만들 것 같습니다."

"피해를 입은 한 개인은 U.S. 공군의 최대 작전 B-1[전략 폭격기] 그룹을 지휘하는 윌리엄 에드리지(William Eldredge)입니다."

등등.

이 기사에 따르면, 고츠(Goatse)라고 불리는 그룹이 가짜 ICC-ID 코드(그것은 SIM 카드와 특정 사용자를 관련시킬 때 사용하는 내부 코드)를 사용한 수천 건의 리퀘스트로 AT&T 웹사이트 서비스에 공격을 퍼부었다고 합니다.

해킹그룹은 웹사이트에 상당히 많은 가짜 요청들을 만들어서 몇몇은 진짜 ICC-ID 코드를 응답 받아 효과적으로 공격할 수 있습니다. 이런 일이 발생하면 웹사이트는 그것들이 진짜 아이패드 사용자라고 믿고서 관련된 이메일 주소를 드러내게 됩니다.

이는 황당한 일이고, 일어나지 말았어야 할 일입니다. 그러나, 폴 더클린이 강조하듯이, 그것은 단지 이메일 주소에 불가하고, 여러분은 이메일을 보낼 때마다 여러분의 이메일 주소를 드러내고 있습니다.

이 이야기가 진정한 위협의 수준 때문이라기 보다는 아이패드라는 관점 때문에 주요 헤드라인으로 되고 있는 것 같습니다. 그렇습니다. 이메일 주소는 드러나지 말았어야 했었고, 그 이메일들이 접근하기 쉬웠던 것이 잘못되었다는 것이 나는 과소평가되기를 원하지는 않습니다. 그러나, 우리들이 알고 있는 한 이메일들은 그것들을 악의적인 목적으로 사용하려 하는 이들에게는 드러나지 않았습니다.

비록 아이패드와 관련된 이메일 주소가 스팸이나 피싱 공격으로 아이패드 이용자들을 특별히 타겟으로 삼기를 원하는 사람들에게는 유용할 수도 있지만 어떤 실제 해킹이 일어나는 것처럼 믿을만한 심각한 근거는 없습니다. 어쨌든, 개인에 대한 더 중요한 정보 예를 들어, 비밀번호, 실명, 전화번호, 생년월일 등이 드러났다면 모를까 말입니다.

여전히, 그것은 황당하고 좋지 않은 일입니다. 그리고 우리가 아는 것처럼 세상이 끝나는 게 아니라면 해결하는 것이 중요합니다. AT&T가 이제 그 문제가 해결되었다고 주장하는 아래와 같은 성명을 발표하여 나는 기분이 좋습니다.

"AT&T는 그들의 아이패드 ICC IDS의 잠재적인 유출에 대해 한 비즈니스 고객들로부터 지난 월요일에 통보 받았습니다. ICC IDS에서 얻을 수 있는 유일한 정보는 아이패드에 들어있는 이메일 주소뿐이었습니다.

이번 이슈는 회사의 최고 레벨로 확대되었고 화요일까지 수정되었습니다. 그리고 우리는 근본적으로 이메일 주소를 제공하는 기능을 중지시켜 놓았습니다.

이번 갭을 발견한 개인이나 그룹은 AT&T와 연락하지 않았습니다.

우리는 계속해서 조사를 할 것이고, 이메일 주소와 ICC IDS가 유출 되었을지도 모르는 모든 고객들에게 이를 알릴 것입니다.

우리는 고객 프라이버시를 매우 중요하게 여기고 있으며, 이 문제를 해결하는 동안 우리는 충격을 받은 우리 고객들에게 사과 드립니다.”

보다 더 많은 자료를 읽으려면 애플 최악의 보안 사고, 또는 거대한 과장법?(Apple's worst security breach, or a great big hyperbole?)를 보세요.