어제 오늘 주요 외신을 중심으로 드롭박스 해킹 경고가 이어지고 있습니다. 약 700만개의 드롭박스 계정정보가 해킹공격으로 인해 외부로 유출되었다는 것인데, 드롭박스는 이러한 주장은 사실이 아니라고 오늘 공식 블로그를 통해 해명했습니다.
사건의 발단이 된 장소는 온라인 익명게시판 '레딧(Reddit)'으로, 미IT매체 더넥스트웹은 “이것은 시작에 불과하다”는 문구와 함께 첫 단어가 'B'로 시작하는 드롭박스 아이디와 비밀번호 400여개와 공개되었다고 보도했습니다. 해커는 또 현재 690만개에 이르는 이메일 계정과 패스워드를 확보했다고 말하며, 앞으로 더 많은 자료를 유출하겠다는 메시지를 남겼다고 전했습니다. 허풍이 아닐까 싶었지만, 일부 공개된 계정정보가 실제로 사용 중인 것으로 확인되면서 해커의 말이 사실일지도 모른다는 관측에 힘이 실리고 있습니다.
이번 해킹 사건과 관련하여 드롭박스는 “드롭박스가 해킹당했다는 언론매체의 보도는 사실이 아니다"라며 "드롭박스는 이번 해킹 사건과 무관하며 자체 조사 결과 해킹된 계정정보는 제 3사(서드파티) 서비스를 통해 유출된 것으로 추측한다."고 공식 블로그를 통해 입장을 밝혔습니다. 또한 레딧 게시판 등을 통해 계정이 유출된 사용자들에게 비밀번호를 초기화할 것을 공지했다고 덧붙였습니다.
이와 같은 드롭박스측의 설명은 며칠전 발생한 미국의 메신저 서비스 '스냅챗(Snapchat)'의 사진 유출 사건과도 비슷한 양상을 띄고 있습니다. 스냅챗 또한 자사의 서버는 해킹당하지 않았으며 스냅챗 사진을 저장할 수 있는 서드파티 앱에 의해 유출된 것이라고 설명한 바 있습니다. 스냅챗이나 드롭박스 같은 서비스는 공식 앱과 서드파티 앱이 모두 같은 로그인 정보를 공유하기 때문에 요즘은 제3자 앱이 '본진'을 터는 해커들의 주 목표가 되고 있는 실정입니다.
현재 드롭박스를 사용하는 분은 가급적 조속한 시일 내에 비밀번호를 바꾸는 게 좋아보이며, 가능하다면 드롭박스가 제공하는 '2단계 인증'을 설정할 것을 권장합니다. 2단계 인증은 처음 사용하는 기기로 드롭박스에 연결할 때 로그인 정보 외에도 스마트폰 등을 통해 전송받은 인증코드를 입력하는 방식입니다. 2단계 인증은 드롭박스 보안 페이지에서 설정할 수 있습니다.
근본적으로 사이트마다 각기 다른 아이디와 비밀번호를 사용하는 것이 인터넷에서 자기 정보 유출을 최소화하는 가장 효과적인 방법입니다.
참조
• TNW - Hundreds of Dropbox passwords leaked online but Dropbox denies it was hacked
• Dropbox - Dropbox wasn’t hacked
관련 글
• 애플, 개인정보 보안강화... 2단계 인증에 이어 'App 전용 암호' 시스템 도입
• 어도비 서버 해킹 공격, 290만명 신용카드 정보·소스코드 유출
• 애플 개발자 포탈 사이트 해킹. '개발자 일부 정보 유출 가능성'
• 에버노트 해킹당해 일부 사용자 정보 유출. '전체 사용자 비밀번호 초기화 실시'