애플 계정 무단 결제, 범인은 '휴면 계정' 노린 해커…애플, "시스템 해킹은 아냐"

[이코노믹데일리] 최근 국내에서 잇따라 발생한 애플 계정 무단 도용 및 콘텐츠 결제 피해에 대해 애플이 피해자들에게 환불을 진행하기로 결정했다. 애플은 자체 시스템 해킹은 없었다고 선을 그으면서도 장기간 접속하지 않은 ‘휴면 계정’ 중 보안 설정이 취약했던 계정들이 주된 공격 대상이 됐다고 밝혔다.

18일 애플은 최근 발생한 무단 결제 사건을 내부적으로 점검한 결과 이같이 결론 내리고 피해가 확인된 고객들을 대상으로 환불 절차에 들어갔다.

이번 사건은 통신사와 관계없이 다수의 이용자들이 자신의 애플 계정으로 게임머니 등 유료 콘텐츠가 무단으로 결제되는 피해를 입었다며 경찰에 신고하면서 수면 위로 드러났다. 특히 이는 최근 발생한 KT ‘유령 소액결제’ 사태와 맞물려 이용자들의 불안감을 증폭시킨 바 있다.

애플의 자체 조사 결과 피해는 주로 장기간 접속하지 않은 ‘휴면 계정’에서 집중적으로 발생했다. 이들 계정의 상당수는 애플이 강력하게 권고하는 보안 장치인 ‘이중인증’을 설정하지 않았거나 이중인증 제도가 도입되기 이전에 생성돼 해당 기능이 적용되지 않은 상태였던 것으로 파악됐다.

이중인증은 아이디와 비밀번호 외에 신뢰할 수 있는 기기로 전송되는 6자리의 확인 코드를 추가로 입력해야만 로그인할 수 있도록 하는 강력한 보안 방식이다. 해커들은 바로 이 보안의 ‘틈’을 노렸다. 별도의 경로를 통해 확보한 피해자들의 아이디와 비밀번호만으로 손쉽게 계정에 접속한 뒤 등록된 결제 정보를 이용해 범행을 저지른 것이다.

애플은 이번 사건이 자사 시스템의 해킹이 아닌 외부에서 유출된 개인정보를 이용한 계정 도용 범죄라는 점을 분명히 했다. 하지만 결과적으로 자사 플랫폼 내에서 이용자 피해가 발생한 만큼 도의적인 책임을 지고 환불을 결정한 것으로 풀이된다.

이번 사태는 강력한 보안 정책을 자랑해 온 애플 생태계 역시 이용자의 보안 설정 수준에 따라 얼마든지 취약해질 수 있음을 보여준다. 전문가들은 이번 사건을 계기로 이용자들이 자신의 애플 계정에 반드시 이중인증을 설정하고 다른 서비스와 동일한 비밀번호를 사용하지 않는 등 기본적인 보안 수칙을 철저히 지켜야 한다고 강조하고 있다.

경찰은 현재 접수된 신고 내용을 바탕으로 정확한 피해 규모와 범행 수법 등을 파악하기 위한 수사를 계속 진행 중이다.