(씨넷코리아=권봉석 기자) 아이클라우드 드라이브나 주소록, 사진 보관함이나 결제 정보에 접근하는데 꼭 필요한 애플ID 비밀번호를 너무나 쉽고 간단하게 훔칠 수 있다는 주장이 나왔다.
애플 개발자인 펠릭스 크라우스는 최근 블로그를 통해 iOS의 애플ID 로그인 창을 흉내낸 피싱 수법을 공개했다. iOS가 앱스토어나 각종 서비스 로그인시 띄우는 창을 똑같이 베껴서 비밀번호를 입력하게 만드는 것이다.
그는 “애플ID 비밀번호를 훔치려면 이용자들에게 정중하게 요청만 하면 된다. 이용자들은 그렇게 하도록 훈련되어 있기 때문에 기꺼이 로그인 정보를 넘겨 줄 것이다”라고 설명했다.
물론 앱 개발자들이 이런 수법을 이용해서 애플ID나 이메일 주소를 훔치는 것은 엄연한 범죄 행위다. 펠릭스 크라우스 역시 “윤리적인 이유에서 팝업창을 띄우는 소스 코드를 공개하지는 않기로 했지만 iOS 로그인 창을 흉내내는 것은 충격적으로 간단했다”고 설명했다.
iOS 로그인 창을 흉내낸 피싱을 피하는 방법도 매우 간단하다. 로그인 창이 나타났을 때 홈 버튼을 눌러보라는 것이다. 만약 앱이 종료되면서 로그인 창도 같이 사라지면 피싱이며, 홈 버튼을 눌러도 창이 사라지지 않는다면 iOS가 요청하는 로그인 창이다.
또 내가 아닌 다른 사람이 외부에서 애플 기기를 이용해 로그인하는 것을 막아 주는 이중 인증을 설정하는 것이 좋다. 이 기능을 이용하면 초기화된 애플 기기에서 애플ID로 로그인할 때 다른 애플 기기에 나타난 6자리 확인 코드를 입력해야 정상적으로 로그인된다.
