2016년 11월 13일, 아주 민감한 성인 엔터테이먼트 웹 서비스를 제공하는 FriendFinder가 해킹을 당한 사실이 leakedsource 사이트에 올라왔다. 작년 불륜 권장 사이트 애슐리 매디슨이 해킹당하면서 많은 이의 계정이 탈취당해 네트워크에 뿌려졌다. 이 사건에 후폭풍이 대단했던 것처럼 이번에도 그 못지않은 후폭풍이 있지 않을까 사람들은 조심스레 예측했다. 애슐리매디슨 해킹 당시 유출된 회원정보 때문에 회원이었던 이를 협박하여 금전적으로 갈취하거나 이 사건으로 자살하는 이들도 나왔다. 이렇든 민감한 개인정보가 해킹을 당하면 신용카드나 다른 사이트의 계정은 물론 유출된 회원이 받는 이들은 굴욕과 창피함을 얻기도 하다.
이번에 해킹당한 FirendFinder는 웹 서비스를 제공하는 미국의 회사로 1996년 앤드류 콘루(Andrew Conru)가 만들었다. 본사는 플로리다에 있는 보카러톤에 있으며 캘리포니아와 뉴욕, 타이완에도 있는 큰 회사다. 회사는 성인 콘텐츠, 온라인 데이트, 소셜 네트워크를 구축하는 등 다양한 성인 엔터테이먼트 웹 서비스를 제공한다. 예를 들어 남미에 초점을 맞춘 Amigos.com처럼 지역에 맞춰 카테고리를 구분 지어 놓은 데이팅 서비스나 기독교 데이트 서비스인 bigchurch, 성인 웹캠 사이트 등 다양한 생활 스타일을 위해 틈새시장을 노렸다. 앤드류 콘루는 사용자가 네트워크를 이용해 성적 파트너를 찾는 서비스로 사용한다는 것을 발견한 후, 그는 투자자본 없이 AdultFriendFinder로 시작해서 50개 이상의 프로그램과 제휴 맺었었다. 그러다 2013년 8월 파산 신청을 하고 2013년 12월 구조조정을 하면서 다시 설립자 앤드류 콘루를 회장 겸 CEO로 임명하였고 2016년 2월, 네덜란드에 있는 펜트하우스 남성잡지(플레이보이와 비슷한 성인 잡지, 국내 잡지로는 맥심) 회사에 팔렸다. 즉, 한마디로 세계 최대의 성인 사이트라고 봐도 무방하다.
이번 해킹 사건을 발표한 Leaked Source는 해킹당한 데이터가 저장된 곳으로 해커들은 성인 엔터테이먼트 웹 서비스를 제공하는 회사 FriendFinder를 해킹하고 사용자 이름, 비밀번호, 이메일 주소 등 약 4억 명 정도의 회원 정보를 훔쳤다. 회원 정보는 AdultFriendFinder.com에서 3억 4천 개, Penthouse.com 및 Stripshow.com에서 수천 만개, 그리고 데이터베이스에서 삭제되지 않은 1500만 개의 삭제된 계정도 함께 유출되었다. 더불어 본래 이번뿐만 아니라 이전에도 한번 해킹당하면서 350만 명의 사용자 정보도 포함되었을 것이다. Leaked Source는 이번 해킹 사건의 사실 여부를 파악하기 위해 이번 해킹 사건으로 유출된 개인정보를 익명으로부터 받아보고 FrienFinder의 실제 회원인지 확인, 해당 회원에게도 자신의 데이터가 맞는지 확인했다.
이번 공격은 리볼버(Revolver)라고 알려진 한 보안 연구원이 AdultFriendFinder 사이트에 로컬 파일 포함 취약점을 공개한 것과 거의 동시에 발생했다. 이 취약점을 통해 공격자는 웹 서버에서 악성코드를 원격으로 실행할 수 있다. 그런 의미로 이번 해킹 사건의 배후로 리볼버가 있다는 얘기가 있었지만 사실상 진짜 누가 했는지는 밝혀지지 않았다. 더불어 리볼버는 이러한 얘기에 자신은 절대 이번 해킹사건의 배후가 아니며 오히려 낮은 보안의식을 가지고 있던 해킹당한 사이트를 비난했다.
1x0123이라고도 불리는 리볼버는 2016년 10월 18일, 사건이 일어나기 한달 전에 AdultFriendFinder 웹 사이트에 LFI(Local File Inclusion) 취약점이 있다는 것을 확인했고 이를 스크린 샷으로 게시했다. 이미지에서는 LFI 취약점이 확연히 드러났고 리볼버는 이런 취약점을 AdultFriendFinder에서 사용하는 프로덕션 서버에서 발견되었다고 얘기했다. LFI 취약점은 서버에 있는 파일을 통해 어떤 것에 대한 데이터를 출력할 수 있다. 이런 경우, 화면에 출력된 데이터를 가져오거나 코드를 포함하여 실행한 후 더 악의적인 작업을 수행할 수 있다. 이러한 취약점이 생겨난 원인은 사용자의 입력의 유효성을 제대로 검사하지 않아 서버에 그대로 노출되고 호출되는 파일이 존재하기 때문이다.
FriendFinder는 이번 해킹 사고가 처음 겪었던 사건이 아니었다. 지난해 이 회사는 성적 취향이 담긴 개인 정보 400만 개의 계정이 노출되었다. 그나마 이번 사건과 작년 해킹 사건의 차이점은 작년은 회원의 성적 취향에 대한 데이터가 담겨있었지만, 이번에는 사용자의 성적 취향은 포함되어 있지 않았다. 또한, Leaked Source는 도난당한 비밀번호 대부분은 암호화되어 있지 않아 일반적인 평문으로 저장되어 있었고 그 중 일부는 암호화가 되었어도 취약한 암호화 알고리즘 SHA-1을 사용하여 현대 암호학적으로 안전한 것은 아니다. 그런 의미로 Leaked Source는 유출된 데이터베이스의 모든 암호 중 99%는 복호화할 수 있어 현재 이 상황이 그렇게 안전하다고 생각되지 않는다고 말했다.
Leaked Source는 이번에 유출된 개인정보를 배포하지 않기로 했다. 하지만 자신들이 해킹한 정보를 암시장이나 해커 포럼에 올라온 것처럼 다른 웹 사이트에서 올라오는 정보는 막을 수 없다고 말했다. 더불어 이러한 정보가 유출한 정보로 인해 영향을 받을 일반인 회원들을 위해 조심할 필요성이 있다고 말했다. 이에 따라 FriendFinder 관계자에게 해킹 사건에 대한 뒤처리나 수습을 어떻게 할 것이냐고 물었고 관계자는 고객의 정보 보안을 중요하게 생각하며 조사를 계속 받으면서 최대한 협조할 것임을 밝혔다.
만약 일반적인 단둘만의 공간을 해커가 해킹했다면 사실 큰 피해는 없을 수도 있다. 하지만이 해킹사건에서 유출된 개인정보가 얼마나 위험한지는 애슐리 매디슨 해킹 사고의 파장으로 잘 알 수 있다. 애슐리 매디슨의 해킹 사고에 이어 개인정보 유출 때문에 기사에 나온 자살자 수만 최소 3명 이상이며 실제로는 한 명씩 헤아리기 어려울 수도 있다. 그뿐만 아니라 그 사건으로 유출된 개인정보 탓에 금전적 협박, 협박으로 인한 회사 내 정보 유출 등 2차 피해도 상당했다. 그런 의미로 20년 동안 묶어놓은 이번 FriendFinder 해킹 사고의 피해자 수는 애슐리 매디슨의 계정 유출 건수의 거의 13배에 달한다. 더불어 애슐리매디슨 때는 당시 한국의 서비스를 시작한 지 얼마 되지 않아 해킹을 당했던 시기로 한국에는 큰 영향을 주지 않고 넘어갔다. 하지만 이런 대규모의 성인 사이트는 서비스를 제공한 지 오래되었기 때문에 한국국적의 계정도 상당하다. 물론 불륜을 권장하는 목적이 비윤리적이었던 애슐리 매디슨과 비교하기에 FriendFinder는 좋게 봐서 건강함을 추구하는 성인 웹 서비스일 수도 있다. 하지만 성적 취향이란 것이 드러날 수 있다는 점은 분명하게도 민감한 정보에 속할 것이다. 부디 이번 해킹 사건으로 개인정보 유출로 인한 피해가 작기를 바랄 뿐이다.
아래에는 이번 해킹 사건으로 유출된 사이트와 계정이다. 따로 하이퍼링크는 걸지 않겠다.
Adultfriendfinder.com
339,774,493 사용자 세계 최대의 성인 콘텐츠
Cams.com 62668630 사용자 웹 캠을 이용한 성인 콘텐츠
Penthouse.com 7176877 사용자 플레이보이에 가까운 남성 성인 잡지
Stripshow.com 1423192 사용자 또 다른 웹캠 사이트
iCams.com 1135731 사용자 무료 라이브 성인 캠
알 수 없는 도메인 35372 사용자
