해킹된 다니엘 린데만 인스타그램 계정이 주변인들에게 보낸 메시지. 저작권 문제를 이유로 특정 링크를 누르라고 지시하고 있다. 인스타그램 캡처
유명인의 사회관계망서비스(SNS)가 해킹당하는 사건이 줄이어 발생하고 있다. 지난주 트위터에서 버락 오바마 미국 전 대통령, 빌 게이츠 마이크로소프트 창업자 등 유명인 수십 명의 계정이 일명 '비트코인 스캠(scam·사기)'에 연루된 데 이어, 국내에서는 최근 며칠간 연예인들의 인스타그램 해킹 피해가 지속적으로 일어났다. 많게는 수천만 명의 팔로워를 거느린 계정을 노려 해킹 효과를 극대화하려는 목적으로 보인다.
인스타그램은 20일 "최근 다이렉트메시지(DM)를 통한 해킹 피해 사례들이 보고된 바 있다"며 "인스타그램을 사칭한 계정에서 DM을 받았을 경우 즉시 삭제해달라"고 밝혔다. 최근 안영미, 홍진영, 다니엘 린데만 등 국내 연예인들이 연달아 인스타그램 DM을 통한 해킹 피해를 호소하고 나섰기 때문인 것으로 보인다.
인스타그램에 따르면 해커들은 팔로워가 많은 계정을 탈취한 뒤, 인스타그램 공식 계정인 것처럼 꾸며 불특정 다수에게 메시지를 보냈다. 대체로 '계정 게시물에서 저작권 침해가 감지됐으니 아래 링크를 눌러 피드백(반응)을 제공하라'는 내용이다. 링크를 눌러 다시 로그인을 하는 순간, 해커들은 비밀번호를 탈취해 계정을 잠가버린다. 링크를 누르기만 해도 악성코드 등을 휴대폰이나 PC에 설치하는 경우도 있다. 인스타그램 측은 "인스타그램은 어떠한 이유로도 이용자에게 DM을 보내지 않는다"며 사기 피해에 주의하라고 당부했다.
이전까지 인스타그램에서 많이 사용되던 해킹 방식은 '이메일 사칭'이었다. 인스타그램 본사에서 이메일을 보낸 것처럼 위장해 비밀번호를 알아내는 방식이다. '도용 신고가 접수됐으니 계정 사용자 보인이 맞는지 인증해 달라'거나 '비밀번호가 오래됐으니 바꾸라'는 내용으로 이루어져 있어 이용자가 쉽게 속는다. 인스타그램에서는 본사에서 실제로 보낸 메일만 확인할 수 있도록 하는 서비스를 앱에서 제공하고 있지만, 대다수가 이를 알지 못해 이메일 사기의 표적이 되고 있다. 인스타그램 측은 "프로필의 설정에서 '보안' 탭을 누르면, 최근 14일간 인스타그램이 이용자에게 보낸 공식 메일 리스트를 모두 확인할 수 있다"고 강조했다.
인스타그램에서는 이메일 사기 피해를 방지하기 위해 최근 14일간 본사에서 보낸 진짜 이메일이 무엇인지 리스트를 제공하고 있다. 인스타그램 제공
지난주 트위터 해킹 사건에서 사용된 방식은 '사회공학적 공격'이었다. 시스템 상 취약점을 공격하는 것이 아니라, 트위터 내부 직원의 PC나 스마트폰을 해킹한 뒤 이를 다리 삼아 내부 서버에 접속하는 방식이다. 트위터는 이전부터 △비밀번호 유출 △계정이 연동돼 있는 서드파티 앱 취약점 공격 △유명인 사칭 사기 등 다양한 방식으로 해킹 사건이 빈번하게 발생했다. 업계에서는 이번 사건을 계기로 트위터와 인스타그램 등 SNS 서비스들이 보안 결함을 전면적으로 점검할 필요가 있다고 지적하고 있다.
피해를 막는 방법은 '조심 또 조심'뿐이다. 페이스북과 인스타그램, 트위터 등 웬만한 SNS는 모두 '2단계 인증' 보안 수단을 가지고 있다. 기존에 사용하던 기기가 아닌 새로운 기기에서 로그인하려고 시도할 때마다 등록된 휴대폰 번호로 문자메시지(SMS)를 보내 다시 인증하도록 하든지, 미리 설정한 백업 코드를 추가로 입력해야 하는 절차를 거쳐야 한다는 뜻이다. 인스타그램 관계자는 "2단계 인증을 통해 미리 계정 보안을 강화하면 해킹 피해를 미연에 방지할 수 있고, 혹시 해킹을 당하더라도 절차에 따라 계정을 복구할 수 있게 된다"고 말했다.
이 밖에도 타 사이트와 동일한 비밀번호를 사용하지 않고, 공공 PC나 타인의 스마트폰으로 SNS 서비스를 사용한 뒤 로그아웃을 하는 것 정도는 기본이다. 업계 관계자는 "확인되지 않은 인터넷 주소는 웬만하면 누르지 않고, 금전을 요구할 때는 직접 본인확인을 거치는 등 개인 차원의 보안 수준을 높여야 한다"고 강조했다.
기사 URL이 복사되었습니다.
댓글0