최근 SK텔레콤 고객 유심(USIM, 범용 가입자 식별 모듈) 정보가 해킹된 것으로 파악되면서 많은 사용자가 개인정보 유출을 걱정하고 있다. 이로 인한 최악의 사태는 심 스와핑(SIM swapping)으로, 해커가 복제 유심을 만들고 이를 통해 복제폰을 만들어 카카오톡 등의 계정을 빼앗은 뒤, 이를 사용해 금융거래를 시도하는 것이다. 아직 그런 사례는 없지만, 이번 사건을 계기로 사용자들이 이러한 취약점에 눈뜨게 되었다. (특히 심 스와핑을 통해 소셜 계정 탈취를 시도할 경우, '2단계 인증'이라는 안전장치가 오히려 계정 탈취를 더 쉽게 만드는 요인이 될 수 있다는 점에서, 우리가 알고 있는 보안 상식을 다시 점검할 필요가 있다.)

오늘 소개할 내용은 미국에서 메신저앱인 스냅챗의 계정을 도둑맞은 사람의 이야기다. 2018년에 방송된 내용이기 때문에 지금의 환경과는 약간의 차이가 있지만, 해커들이 어떤 방법을 사용하는지, 우리의 인터넷 환경이 얼마나 공격에 취약한지에 관한 많은 교훈을 담고 있어서 소개한다.

교훈도 교훈이지만, 추리 소설처럼 범인을 찾아가는 진행이 흥미진진하다. 방송은 여기에서 직접 들어볼 수 있고, 아래의 글은 팟캐스트 특유의 대화체를 편집해서 읽기 쉽게 바꾼 것이다.

리지(Lizzie)는 비영리 재단에서 십 대 아이들을 돕는 일을 하는 평범한 20대 후반의 여성이다. 그가 평소 사용하던 스냅챗(미국에서 가장 인기있는 메신저 앱 중 하나)이 좀 이상하다고 느낀 건 늦여름 어느날이었다. 연휴를 맞아 장거리를 운전해 노스캐롤라이나주에 놀러갔다가 동생에게 사진을 보내려고 앱을 열었는데, 자기 계정이 로그아웃되어 있었다. 그런 일이 없는 건 아니라서 로그인하려 했는데 되지 않았다.

자기 계정이 잠긴 것이다.

이미지 출처: The Verge, PageTraffic

처음에는 그러려니 했다. 귀찮지만 여행 중이니 나중에 집에 가서 비밀번호를 재설정하면 해결될 문제라고 생각한 거다. 그런데, 그게 아니었다.

집에 돌아온 리지는 스냅챗에서 보낸 이메일 세 개를 발견했다. "고객님의 아이폰8에서 계정이 로그아웃되었습니다"라는 이메일과 "고객님의 비밀번호가 재설정되었습니다"라는 이메일, 그리고 "고객님의 스냅챗 계정이 연결된 전화번호가 바뀌었습니다"라는 이메일이었다. 리지는 비로소 이게 심상치 않은 상황임을 깨달았다. 그 순간, 리지의 아이폰으로 메시지가 도착했다.

"스냅챗 리저드 계정을 복구하려고 시도하면 너는 끝장이야. 경고하는 건데, 나는 네 알몸 사진과 개인정보를 다 갖고 있어. 그냥 시키는 대로만 하면 괜찮을 거야." 참고로, 리지의 스냅챗 계정 이름이 리저드(lizard, 도마뱀)였다. 리지(Lizzie)라는 이름에서 쉽게 연상되는 일반 명사다.

기자는 스냅챗에 정말로 누드 사진이 있었냐고 물었다. 리지는 "절대 없다고 대답할 수 있었으면 좋겠지만, 솔직히 말하면 잘 모르겠다"고 했다. 당시 많은 사람들이 그랬듯, 리지도 개인적으로 민감한 자기 사진을 보낸 적은 있었다. 스냅챗은 보낸 메시지가 24시간 이내에 사라진다는 장점이 있었다.

문제는 스냅챗의 '메모리즈(Memories)'라는 기능이었다. 과거의 메시지를 되살려 보여주는 건데, 그게 가능하려면 24시간 후에 삭제된 메시지(리지의 사진)가 계정 어딘가에 저장된다는 얘기다. 그렇다면 리지의 계정을 훔쳐 간 해커가 정말로 리지의 사진을 갖고 있을 가능성을 배제할 수 없었다.

리지는 스냅챗에 계정이 해킹당했다고 신고했다. 계정을 훔친 사람이 협박을 하고 있다고 알리자, 스냅챗은 리지의 말을 확인한 후 금방 계정을 복구해 주었다. 문제는 그다음이었다. 되찾은 스냅챗에 들어가 보니 거기에 저장된 연락처와 사진들이 모두 지워져 있었던 거다. 그러니 자기가 민감한 사진을 앱 안에 저장하고 있었는지 아닌지를 확인할 수 없었다.

리지가 난감해하고 있던 찰나, 해커가 다시 메시지를 보냈다. 해커는 계정을 다시 돌려주지 않으면 가만두지 않겠다고 협박하고는 마지막으로 한 마디를 덧붙였다.

"Bitch(쌍년아)"

공포가 엄습했다. 해커는 리지의 개인정보를 갖고 있었다. 그날부터 동네를 걸어 다녀도 자기 뒤를 따르는 사람이 없는지 확인하기 시작했다. 밤에는 너무 무서운 나머지 함께 사는 룸메이트에게 자기 침대에서 함께 자 달라고 했다. 리지가 팟캐스트 제작진에게 탐사를 의뢰하기로 한 게 이때다.

제작진은 우선 스냅챗에 연락해서 해커가 정말로 리지의 민감한 사진을 갖고 있는지 확인하기로 했다. 스냅챗은 리지의 메모리즈 폴더에는 민감한 사진이 없다고 했다. 해커가 그런 이미지를 가지고 있을 가능성은 극히 낮다고 했다. 좋은 소식이었다. 결국 해커는 거짓말로 리지를 협박하고 있었던 셈이다.

그렇다면 다른 개인정보는? 해커는 리지에 관한 어떤 정보를 얼마나 갖고 있을까? 그리고 무엇보다 리지의 계정을 훔친 해커들은 어떤 사람들일까? 그걸 확인해야 리지가 정말로 위험한 상황에 놓인 건지 판단할 수 있었다. 아무것도 모르는 상황에서는 막연한 공포만 커질 뿐이다. 이 물음들에 대한 답을 찾기 시작한 제작진은 과거에는 전혀 알지 못했던 해커들의 위험한 세상에 발을 딛게 되었다.

제일 먼저 해커가 리지에게 보낸 아이폰 메시지(iMessage)의 출처를 확인하기로 했다. 해커는 전화번호 대신 이메일 주소를 이용해 메시지를 보내고 있었다. 그런데 주소가 특이했다.

o@xan.ax

이 주소를 보는 순간 제작진은 이 해커가 십 대라는 걸 직감했다. 평소 사운드클라우드(SoundCloud)에서 랩 음악을 듣는 그런 십 대. 이메일 주소에 들어간 xan.ax는 유명한 신경안정제 벤조다이아제핀의 상품명인 자낙스(Xanax)를 의미하는 거였다. 자낙스는 많은 사람이 복용, 남용하는 약이지만—한 설명에 따르면 메스암페타민, 코카인 등의 마약이 가진 부작용을 완화하는 데 도움이 되어서, 부작용 없이 마약을 하려는 중독자들이 많이 사용한다—그걸 이메일 주소로 사용하는 건 딱 십 대 아이들이 할 만한 행동이라는 게 제작진의 추측이었다.

제작진은 그 주소로 이메일을 보냈지만 되돌아왔다. 계정이 삭제된 듯했다. 그래서 Xan.ax라는 웹사이트에 가보기로 했다. 검은 배경에 십 대 아이들이 좋아할 만한 그래피티 폰트로 Xan.ax라고 적혀있고, 운영자의 이름으로 보이는 맥심(Maxime)이라는 사람의 트위터, 인스타그램, 스팀, 디스코드 같은 소셜 계정과 이메일 연락처가 있었다. (이 웹사이트는 지금도 살아있는데, 지금은 소셜 계정 없이 연락처만 보인다.)

리지에게 협박 메시지를 보낸 이메일 계정이 속한 웹사이트와 연락처

그런데 웹사이트에 올라온 계정들이 하나같이 유명한 단어였다.

twitter.com/hades

instagram.com/fuck

steamcommunity.com/id/satan

눈치가 빠른 사람들은 감을 잡았겠지만, 이 맥심이라는 이름의 운영자는 유명한 단어로 만들어진 소셜 계정 이름을 모으고 있었다. 이렇게 단순하고 잘 아는 단어의 경우, 대부분 특정 소셜미디어가 만들어진 초기에 사용자들이 선점한다. 리지의 스냅챗 계정 이름이 그렇게 그가 아주 초기에 가입해서 가질 수 있었던 이름이고, 많은 사람이 탐내는 이름이었던 거다. 맥심은 그래서 리지의 계정을 뺏으려고 했던 게 분명해 보였다.

맥심이 해커라면? 제작인의 경험에 해커들은 웹사이트의 소스코드에 작은 이스터 에그를 남기는 일이 흔하기 때문에 웹사이트의 소스코드를 열어 보기로 했다. 그랬더니, 아니나 다를까, 맨 윗줄에 Maxime/Evan/Seb이라는 이름들이 보였다. 맥심이 운영자라면 에반(Evan)과 셉(Seb)은 운영자의 친구들인 듯했다. 이 세 명이 팀을 만들어 해킹을 하는 것으로 보였다.

제작진은 웹사이트에 등장한 디스코드 계정을 통해 맥심이라는 인물이 하는 말을 들어보기로 했다. (디스코드는 온라인 게이머들이 많이 사용하는 메신저 프로그램으로, 지금은 통화, 채팅, 화면 공유를 지원하는 10, 20대 남성들 사이의 인기 메신저 서비스로 자리를 잡았다.) 문제는 제작진이 낯선 계정으로 이들의 채팅방 들어갈 경우 쫓겨날 가능성이 높다는 건데, 맥심의 채팅방에는 50~100명 가량의 참여자들이 있어서 정체를 드러내지 않고 숨어있을 수 있었다.

맥심은 디스코드에서 매일 살다시피 했고, 자기 얘기를 많이 했다.

그곳에서 채팅방에서 하는 말을 들어 보면 맥심은 게임 외에도 구찌 같은 명품 의류를 사는 걸 좋아했고, 오데마피게 같은 초호화 시계도 갖고 있었다. 하지만 그는 방에 있는 친구들에게 충격적인 사진을 보여주거나, 입에 담기 힘든 말을 하는 등, 친구들에게 쿨하게 보이려고 애쓰는 전형적인 10~20대 남성이었다. 그리고 맥심은 리지의 스냅챗 계정을 해킹한 친구들 사이에서 리더 역할을 하는 것 같았다.

하지만 그에게 인터뷰를 요청할 수는 없었다. 맥심은 채팅방에서 마음에 들지 않는 사람들을 자주 차단했다. 맥심의 목소리가 궁금해서 음성채팅방이 열릴 때 들어가 보려고 했지만, 곧바로 쫓겨났고, 차단을 당하기도 했다. 그러면 새로운 계정으로 다시 시작해야 했다. 맥심은 자신에 대해 아무런 단서도 주지 않았기 때문에 디스코드 채팅방을 통해서 그를 파악하는 데는 한계가 있었다.

그래서 이번에는 그의 인스타그램을 살폈다. 맥심은 의외로 인스타그램에서는 자신을 완벽하게 숨기지 않았다. 얼굴에 강아지 귀와 코를 붙이는 필터를 사용하고, 고개를 돌려 얼굴의 1/3을 숨긴 사진이 있었는데, 아주 앳돼 보이는 통통한 얼굴을 가진 16, 17살 정도의 남자아이였다. (나이에 관해서는 제작진 사이에 의견이 갈려서, 22살 정도로 보인다는 의견도 있었다.)

그의 뒤로는 테이블 위에 자낙스 알약이 수북이 쌓여 있는 게 보였고, 프랑스 여권도 눈에 띄었다. 이런 힌트들을 종합해 볼 때 맥심은 프랑스에 사는 20대 초의 남성일 가능성이 높았고, 마약을 즐겨 사용하고, 사운드클라우드에 자기가 직접 부른—아마추어 수준의—랩 음악을 업로드하곤 했다. 노래의 가사는 우울했고, 여성혐오적인 내용을 담고 있었다. 제작진은 그 외에 맥심의 친구인 에반은 영국에, 셉은 스웨덴 스톡홀름에 살고 있다는 것 정도를 짐작할 수 있었다.

자낙스 알약
이미지 출처: Watershed

다시 디스코드로 돌아간 제작진은 맥심과 친구들의 대화에 등장하는 소셜미디어 계정의 숫자가 엄청나게 많다는 사실을 알게 되었다. 그들이 개인적 용도로 사용한다고 보기 힘들 만큼 많았다.

이들은 그런 계정으로 뭘 하는 걸까?

'계정 해커 이야기 ②'로 이어집니다.