멀쩡한 맥에 심각한 문제가 있다며 이를 치료한다는 명목으로 금전적 결제를 유도하는 맥키퍼(MacKeeper)’. 소프트웨어만 문제인 줄 알았더니 인터넷 서버의 사용자 계정 관리도 매우 허술한 것으로 드러났습니다. 미 IT매체 ‘9to5mac‘에 따르면 맥키퍼 제작사 ‘크롬텍’이 운영하는 서버에서 무려 1천300만 건이 넘는 방대한 개인정보가 유출되는 일이 발생했습니다.
이 사건은 ‘크리스 비커리(Chris Vickery)’라는 한 보안 전문가에 의해 일어났는데요. 그는 스스로 레딧 게시판을 통해 ‘최근 크롬텍 서버에서 민감한 계정 정보 1천300만 건을 다운로드 했다’고 밝혔습니다. 이 계정 정보에는 고객의 이름은 물론 계정 비밀번호와 이메일 주소, 집 주소와 전화번호, 해시 처리된 비밀번호, IP 주소, 소프트웨어 라이센스와 시리얼 코드, 컴퓨터 종류와 컴퓨터의 시리얼 번호 등이 포함된 것으로 알려졌습니다.
↑히커리가 맥키퍼 제작사 서버에서 입수했다고 주장한 데이터베이스
비커리는 레딧 게시판에 이 같은 사실을 올리기 전에 제작사 측에 연락을 취했지만, 6시간이 넘도록 아무런 조처가 이뤄지지 않았다고 지적했습니다. 또한, 고객의 비밀번호가 암호화돼 있지만, 무작위 문자열(Salt)이 더해지지 않은 평이한 MD5 알고리즘을 사용하고 있어 해킹 등에 의해 비밀번호가 노출될 위험성이 큰 것으로 나타났습니다. 비커리는 크롬텍이 서버 취약점을 보완하는 즉시 고객들의 개인정보를 어떻게 입수했는지 그 경로를 자세히 밝히겠다고 예고했습니다.
안에서 새는 바가지가 밖에서도 샌다는 말이 있듯이, 애초에 이로운 소프트웨어를 만들겠다는 생각보다 고객의 돈을 뜯어내는 데 혈안인 제작사가 철두철미하게 개인정보를 관리할 리 없다는 지적이 절로 나옵니다.
한편, 앞서 미국에서는 맥키퍼 제작사의 기만적인 비즈니스 행위와 허위 광고로 집단소송이 제기된 바 있으며, 논란이 커지자 제작사가 200만 달러 규모의 합의금을 고객들에게 지급하기로 했다는 소식이 전해지기도 했습니다. 재판이 진행되는 동안 맥키퍼 소프트웨어 판권이 ‘지오비트’에서 ‘크롬텍’으로 이전됐는데, 명의만 바뀌었을 뿐 실질적인 소유주는 원래 제작사인 지오비트 경영진이라는 의심을 받고 있습니다.
참조
• Reddit – Massive data breach /via 9to5mac
관련 글
• ‘MacKeeper’를 클릭 한 번으로 깨끗이 지워드립니다… ‘DetectX’
• MacKeeper 허위 광고에 대한 집단소송 합의… ‘200만 달러 보상’
• MacKeeper, ZipCloud 설치하는 가짜 사파리 업데이트 주의보
애플에 대한 이야기를 공유하는 Back to the Mac 블로그를 운영하고 있습니다~
