14일 애플코리아 등에 따르면 유출된 앱스토어 계정이 특정 소프트웨어 구입에 활용되면서 소비자들이 피해를 본 것으로 확인됐다. 피해자 중에는 한국인도 포함됐다. 유출된 계정은 한 베트남 개발자가 개발한 응용프로그램(애플리케이션) 구매에 사용됐으며 이에 활용된 아이디는 400여개다.
그러나 애플은 후속 조치만 취했을 뿐 계정 유출의 직접적인 원인이 무엇인지에 대해서는 아무런 답도 내놓지 못하고 있다. 다만 애플은 "아이튠즈의 개인 기록이 개발자들에게 전해질 가능성은 없다"며 서버가 직접 해킹된 것은 아니라고 우회적으로 설명했다.
애플은 그 근거로 전체 1억개가 넘는 아이튠즈 계정 가운데 노출된 계정이 400여개에 불과하다는 점을 들었다. 통상 서버 해킹은 그 피해 범위가 광범위한 데 반해 이번 계정 노출 사고는 피해 범위가 전체의 0.01%도 안되기 때문에 서버 해킹은 아니라는 것이다. 국내 사례인 옥션의 서버가 해킹됐을 때는 1863만명의 개인정보가 노출됐었다.
애플의 책임이 전혀 없다고 보기는 어렵다는 지적도 있다. 애플은 지난해 하반기 기존 한 대의 컴퓨터에서만 아이튠즈를 사용할 수 있도록 한 정책을 풀고 한 아이튠즈 계정으로 접속할 수 있는 PC의 대수를 5대로 늘렸다. 사용자 편의성을 높이기 위한 정책이지만 PC 5대에서 아이튠즈 계정에 접속할 수 있게 되면서 보안에 있어선 다소 취약해졌다는 지적이다.
아이튠즈가 보안 수위를 낮게 설정, 피해가 발생했다는 지적도 나온다. 안티바이러스 업체 F시큐어(F-Secure)는 "아이튠즈는 핀란드에 있는 사람에게 미국 계정으로 애플리케이션을 구매하는 것을 허용하지만 아마존의 경우엔 '위치가 핀란드이기 때문에 구매할 수 없다'는 안내창이 뜬다"고 소개했다.
보안업계에서는 유사 피해를 막기 위해선 같은 아이디와 비밀번호를 여러 사이트에서 함께 사용하는 습관을 버려야 한다고 지적한다. 또 신용카드보다는 기프트 카드를 사용해 개인정보 노출 범위를 줄이고, 피해 사실은 애플에 적극적으로 알리는 것이 또 다른 피해자를 줄일 수 있는 방안이라고 조언했다.
국내 한 보안업체 관계자는 "이번 사고는 최근 국내에서 발생한 BC카드 명세서 사건처럼 피싱에 의해 노출된 아이디와 비밀번호가 아이튠즈에서 그대로 사용되면서 발생한 것으로 보인다"며 "사이트마다 아이디와 비밀번호를 다르게 써야 한다"고 조언했다.
한편 애플코리아 측은 피해가 발생했을 경우 아이튠즈나 애플코리아 홈페이지(www.apple.com/kr)에 피해 사실을 알리면 사실 확인 과정을 거쳐 피해를 보상 받을 수 있다고 전했다. 신용카드 피해는 카드회사에 적립된 기프트카드 금액이 피해를 입었다면 애플 측에 피해 사실을 알리면 된다고 애플코리아 측은 설명했다.
/hong@fnnews.com홍석희기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지