구글의 G메일 주소와 관련 암호 500만 건이 러시아에서 유출됐다. 앞서 할리우드 스타들의 누드사진 유출로 곤혹을 치룬 애플과, 세계 스마트폰 OS 시장을 양분하고 있는 구글 모두 ‘보안’에 큰 헛점을 노출했다.

외신들은 10일(현지시간) 러시아의 한 비트코인 포럼 게시판에 500만 건의 G메일 계정과 암호를 조합한 파일이 올라왔다고 전했다. 앞서 유출된 애플 아이클라우드 사진 유출도 한 해커가 비트코인을 벌기 위해 미국의 인터넷 커뮤니티 사이트에 올린 것으로 알려지고 있다.

전문가들은 다중처리 방식이 아닌 1차원적인 비밀번호만을 설정하는 재래식 보안체계가 개인정보 유출을 낳는 원인이라고 지적했다. 한 보안업계 관계자는 “대부분의 사이트들이 사용자 편의를 목적으로 단순한 비밀번호 입력만을 원하는 편”이라며 “화면에서 접속하려는 사용자가 암호를 여러번 틀리면 계정탈취 시도로 보고 계정이 잠기는 방식을 채택하고 있다”고 말했다. 그동안 ‘보안’에서만큼은 세계 최고 수준이라 자랑했던 애플과 구글 모두 실제로는 사용자의 비밀번호 습관에만 의존하는 초보적 방식을 사용하고 있다는 의미다.

이런 접속방법 체계는 매우 간단해 해커가 아닌 일반인들까지 유혹한다. 실제 지난달 오픈소스 개발자 커뮤니티 ‘깃허브(Github)’에는‘아이브르투(iBrute)’라는 프로그램이 올라왔다. 아이브루트는 아이디와 비밀번호를 무차별적으로 반복입력하는 ‘브루트 포스 어택(Brute Force Attack)’이란 단순한 공격방식을 취하는 해킹 프로그램이다.

애플은 물론 구글도 비밀번호 설정화면에서 단순히 ‘등급’만을 보여주기 때문에 사용자들이 적극적으로 해킹에 대응하기 어렵다. 무작위로 비밀번호를 찾기 때문에 기본적인 시스템 침해도 이뤄지지 않는다. 완전한 개인 아이디만 탈취하기 때문이다.

결국 사용자 개인이 비밀번호를 수시로 바꾸는 ‘재래식’ 대응법이 유일한 해결책이라는게 전문가들의 견해다. 비밀번호 수준을 올리고, 사이트별로 다른 비밀번호로 다중으로 설정하는 것이 유일하다. 영어로 설정한뒤 이를 한글로 타이핑 하는 것도 방법이다. 영어 단어가 아닌 스펠링의 예측 불가능한 조합으로 정하는 것이 좋으며, 특수문자와 숫자를 포함시키면 더 안전하다. 백신으로 악성코드를 주기적으로 검사하는 한편, 웹사이트들이 제시하는 다단계 인증도 사용해볼 만 하다. G메일의 경우 스마트폰과 연동돼 무작위 인증번호를 모바일 앱으로 전송하는 방식을 사용자들에게 권유하고 있다. 


정찬수 기자/andy@heraldcorp.com