Case
애슐리매디슨 해킹사건, 볼륜 권장 사이트①
2016 11 15
  • Facebook
  • Twitter
  • Copy URL

“인생은 짧습니다. 바람을 피세요”라는 슬로건을 달고 당당하게 불륜을 권장하는 사이트 애슐리 매디슨이 해킹당해 사용자 약 3,700만 명의 회원정보가 유출되었다. 애슐리매디슨을 해킹한 자칭 임팩트팀은 이스테블리쉬맨과 애슐리매디슨 사이트를 닫지 않으면 회원 정보를 공개할 것이라고 밝혔다. 애슐리매디슨 측은 이에 응하지 않았고 결국 해커들은 1차에서 9.7기가, 2차에서 웹사이트와 애플리케이션의 코드, CEO 노엘 비더만의 메일을 포함한 20기가나 되는 양의 회원정보를 네트워크에 풀어버렸다.[1]

이미지를 불러오는데 실패했습니다.

애슐리매디슨(ashleymadison)은 '인생에서 한 번쯤은 바람피워 봐야지'라는 자극적인 슬로건으로 본격 불륜을 조장하는 웹사이트다. 애슐리매디슨의 CEO 노엘 비더만(Noel Biderman)은 1971년에 태어난 캐나다인으로 스포츠 에이전트이며 기업의 마케팅, 운영 전문가다.[2] 노엘 비더만은 데이트의 어두운 이면인 가벼운 만남, ‘불륜’은 지루한 삶에서 한 번쯤은 해볼 만한 일이라며 이를 상품화하여 틈새시장을 노렸다.[3] 즉, 그는 가벼운 만남을 원하는 기혼남녀를 대상으로 이 웹사이트를 자칭 ‘온라인 데이팅’이라 불렀다.[4] 애슐리매디슨은 2001년 캐나다를 시작으로 한국을 비롯해 영어, 중국어, 스페인어, 프랑스어 등 30개 언어, 46개국에 서비스를 제공하고 있다.[5] 애슐리매디슨 외에도 2개의 비슷한 사이트를 함께 운영하고 있으며 이번 해킹사건에서 그 중 하나도 언급됐다. 애슐리매디슨과 비슷한 2개의 사이트 중 ‘이스테블리쉬맨(establishedMen)’은 어린 소녀와 부유한 중년남성의 만남 주선 사이트로 ‘어린 소녀의 부유한 스폰서를 찾는다’라는 슬로건을 가지고 있다. 비슷하게 ‘쿠커라이프(cougarlife)’은 부유한 중년 여성과 어린 소년의 만남을 주선하는 사이트도 함께 운영되고 있다.

이미지를 불러오는데 실패했습니다.

애슐리매디슨 해킹 사건은 2015년, 자칭 ‘임팩트팀(Impact Team)’이라 불리는 해커그룹이 애슐리매디슨, 쿠커라이프, 이스테블리쉬맨 이 세 사이트를 운영하는 아비드라이프미디어(Avid Life Media)를 해킹하여 약 3,700만 개의 회원정보를 가져갔다. 특히, 이번 해킹사건으로 가져간 회원들의 데이터양만 무려 9.7기가 정도 된다. 가져간 정보로는 회원의 사진, 이름, 패스워드, 집 주소, 이메일, 폰 번호, 성적 취향, 신용카드 번호 마지막 4자리와 같이 민감한 개인정보가 포함되어 있다.[6] 임팩트팀은 회원정보를 전체공개하기 전에 앞서 이스태블리쉬맨과 애슐리매디슨 사이트 서비스를 종료하라고 요구했다. 하지만 애슐리매디슨은 이를 무시했고 해커들은 많은 회원들 중 2명을 추려 본보기로 사진은 물론 아이디, 이름, 거주지, 결제내용, 성적 취향을 적나라하게 공개했다. 하지만 애슐리매디슨은 이러한 공개에도 애슐리매디슨은 해커의 요청을 무시했고 오히려 FBI에게 수사를 의뢰하면서 결국 해커들은 해킹한 정보를 토렌트 사이트에 올렸다.[7] 이어서 그들은 3일 후에 애슐리매이슨 웹사이트, 애플리케이션의 소스코드와 CEO 노엘 비더만의 업무 메일을 포함한 회원정보 20기가 정도의 자료를 더 공개했다.[8]

이미지를 불러오는데 실패했습니다.

이번 해킹 사건으로 여러 논란거리가 나왔다. 그 중 하나가 애슐리매디슨의 결제시스템이었다. 애슐리매디슨은 ‘불륜’을 상업적으로 사용한 것도 문제지만 이용료가 만만치 않았다. 이 사이트에서 사용되는 사이버머니의 최소충전금액은 122,000원부터다. 이렇게 충전한 사이버머니는 채팅하고 수신할 때 사용되고 메시지를 보내는 글자 수 별로 차감됐다. 이러한 무지막지한 과금 시스템은 남성만 한해서 적용되었고 돈을 다 쓰고 나면 자동으로 결제되는 시스템으로 당연히 환불은 안되었다. 더군다나 탈퇴하려고 해도 2만 원 정도의 돈을 지불해야 탈퇴가 가능했다.[9] 하지만 이것도 완전한 삭제가 아니고 개인정보는 그대로 남아 있었다. 완전하게 고객을 봉으로 삼았다.

두 번째 논란거리로 무분별한 개인정보 수집 및 허술한 관리, 회원정보를 회사의 이익을 위해 남용하기도 했다. 특히, 애슐리매디슨은 사이트 상단에 있는 보안 검증 메달을 조작하여 올리기도 했다.[10] 22일 캐나다와 호주의 프라이버시 분야 기관에서는 사이트에 가입하려는 고객이 안심하고 가입할 수 있도록 검증받지도 않은 보안 메달을 올려놓았다고 말했다. 더욱이 애슐리매디슨 사이트의 개인정보관리는 보통수준에도 한참 못 미칠 정도의 관리였다고 한다. 무분별한 회원들의 개인정보 수집도 문제가 되었다. 삭제된 계정에 대한 정보를 계속 저장하는 것은 해당 국가에서 금지하고 있는 사항이다. 그렇지만 애슐리매디슨은 회원이 가입하면 회원들의 위치를 따로 저장했으며 애슐리매디슨은 돈을 지불하고 삭제한 ‘완전삭제’에 해당하는 계정 정보도 계속 저장하고 있었다고 인정했다. 아래에는 애슐리매디슨 회원약관 일부분이다.

이미지를 불러오는데 실패했습니다.

귀하는 해당 콘텐츠의 저작자로서 식별될 일체의 모든 저작인격권을 포기합니다. 여기에는 귀하의 사진과 프로필 및 전 세계 일체의 관한 국가에서의 일체의 유사한 권리가 포함됩니다. … 중략 … 당사는 귀하가 “프로필 완전 제거” 옵션을 사용하지 않는 한 귀하가 회원 자격을 종료한 후에도 귀하의 프로필, 사진 및 기타 정보를 본 사이트에서 제거할 아무런 책임이 없습니다. 귀하는 당사가 귀하의 연락처 정보를 이용해 당사 서비스에 관련된 정보와 홍보자료, 그리고 당사의 계열회사 및 제 3자 사이트의 정보와 홍보자료를 귀하에게 보내거나 전송할 수 있다는 것에 합의합니다.[11]

이미지를 불러오는데 실패했습니다.

즉, 이는 탈퇴한 사용자의 정보를 애슐리매디슨에서 이용한다는 것에 동의한다는 것이다.

세 번째로 불륜을 조장한 사이트인 만큼 사이트의 회원이 공개되었다는 것도 큰 파장을 불렀다. 공개된 개인명단 탓에 자신이 쌓아온 명성이나 사회적 지위에 피해가 간 사례도 많다. 이번 애슐리매디슨 개인정보 유출 때문에 자살한 이도 나오고 있다. 특히, 애슐리매디슨 회원으로 목사, 선생님 등 사회적으로 명성, 지위가 있는 이들도 상당해 회원들도 해킹의 후폭풍을 정통으로 맞았다.[12] 이번 공개로 미국 TV리얼리티 쇼의 나오는 조쉬 듀가(Josh Duggar)가 애슐리매디슨 회원인 것으로 밝혀졌다.[13]

이미지를 불러오는데 실패했습니다.

그는 19명의 아이를 출산해 사는 대가족의 장남으로 처음에는 모르쇠를 일관하다 결국 불륜을 인정했다. 그가 회원임을 증명하듯 그에 관한 기사에는 그의 성적 취향, 메일, 그의 첫 번째 계정(Josh_the_man), 두 번째 계정(ready4thisdc)으로 결제한 내역까지 적나라하게 들어냈다. 그는 2013년서부터 2015년까지 애슐리매디슨에서 986달러를 사용했고 페이스북에 공개 사과문을 올렸지만 이미 그의 명성은 회복불가였다.[14] 또한, 이번 공개로 애슐리매디슨에 가입한 사실이 드러나며 미국의 한 목사가 스스로 목숨을 끊었다.[15] 존 깁슨(John Gibson), 그는 미국 미시시피 주 펄링턴의 제 1 남부 침례교회 목사이자 루이지애나 주 뉴올리언스의 침례교 신학대학 교수였다. 캐나다에서도 애슐리매디슨 회원정보유출로 자살을 선택한 이가 2명이나 나왔다고 발표하였다.[16] 두 명 중 한 명은 텍사스주 샌안토니오 경찰 국장으로 자신의 메일이 유출된 애슐리메디슨 계정자료에 있음을 확인하고 자살을 선택했다.[17] 자살을 선택하지 않았지만 이번 유출사건으로 목사를 퇴직하는 이만 400명이 넘는다고 한다.[18] 이러한 분위기와 반대로 이번 사건으로 이혼 변호사들은 때아닌 호황을 이루고 있다고 한다.[19]

네 번째 논란거리로 정부와 관련된 국방연구소, 여성 의원, 수 백 명의 공직자가 애슐리매디슨의 회원인 것으로 나타나 논란을 빚었다. 개인정보가 노출된 회원 중 공직자는 124명, 국방부 직원 92명, 경찰관 50명, 교육관계자 65명 대학 관계자 1,716명이나 되었다. 애슐리매디슨의 접속기록을 보면 국방부 본부는 물론 국방부 인터넷망과 연방 상하원의 네트워크에서도 접속한 사실이 드러났다. 특히, 기혼 여성의원인 미셸 톰슨이 애슐리매디슨의 회원인 것으로 나타났다. 이에 그녀는 자신의 아이디는 맞지만 자신은 회원가입도 사이트에 접속한 적도 없다고 말했다.[20] 이렇게 많은 이들이 이번 일로 피해를 보자 이 일로 애슐리매디슨을 소송하겠다는 무리도 곳곳에서 생겨났다.[21]

다섯 번째는 공개된 회원명단을 이용하여 제 3자가 애슐리매디슨 회원을 협박하여 금전적 요구를 하는 등의 사례가 나오고 있다는 것이다. 이번 애슐리매디슨에서 유출된 개인정보를 통해 어떤 이가 통신사 직원을 협박하여 통신사 내에 있는 개인정보를 외부로 유출한 사건도 있었다.[22] 또 다른 일례로 애슐리매디슨의 회원정보를 가지고 비트 코인을 요구하기도 하고 페이스북 계정을 해킹하여 애슐리매디슨의 회원정보를 유출할 거라는 협박을 하기도 했다.[23] 이러한 협박으로 해커들이 요구하는 금액은 평균 275달러, 9월 1일부터 협박금은 총 6,400달러에 달했다.[24]

여섯 번째는 이번 해킹사건으로 확인된 애슐리매디슨의 남녀비율이었다. 해커들이 분석한 결과 애슐리매디슨의 회원 95%는 남성이고 고작 5%가 여성이라는 것이다.[25] 즉, 남녀 비율이 13:1 정도 된다. 심지어는 여성의 비율 5%도 대부분은 진짜 사람이 아닌 봇으로 밝혀졌다.[26] 진짜는 남성 1만 명당 여성은 3명뿐이라는 것이다. 결국, 애슐리매디슨에 가입하여 122,000원 결제하고 여성이 아닌 봇과 대화하면서 2만 원을 주고 계정탈퇴를 하더라도 개인정보가 남아 그대로 해킹당한 꼴이다. 실제 회원의 말을 들어보면 막상 사이트에서 여자를 만나기는 무척 어려웠다고 한다.

마지막으로 해커 임팩트팀은 회원의 정보뿐만 아니라 사이트의 소스코드와 애플리케이션의 코드를 함께 공개해버렸다. 소스코드가 공개된다는 것은 그 소스를 통해 이용할 수 있는 취약점이 드러난다는 것이다. 이 때문에 다른 이들도 애슐리매디슨에 접근하기가 더 쉬워졌고 해킹할 가능성도 더 커졌다. 이는 임팩트팀이 애슐리매디슨의 싹을 완전히 잘라버리겠다는 이야기와 같은 이야기다.[27]

현재 애슐리매디슨, 쿠커라이프, 이스테블리쉬맨은 여전히 운영되고 있지만 이번 해킹사고로 창업자 겸 CEO인 노엘 비더만이 사퇴했다.[28] 또한, 이번 사건으로 불거진 개인정보 관리에 대해서 애슐리매디슨 측에서는 삭제된 계정은 서버에서도 삭제할 것임을 말했으며 현재 ‘계정 완전 삭제’는 무료로 서비스되고 있다.[29] 애슐리매디슨은 이번 해킹사고로 익명성을 높이고자 회원 사진에 마스크를 추가하거나 사진을 흐릿하게 하는 기능을 제공한다고 하지만 이에 대해 회원 측은 부족하다는 평이다.[30] 또한 애슐리매디슨 측에서는 이번 해킹사건에 막대한 포상금을 걸어 배후에 힘을 가진 어떤 이가 있지 않느냐는 이야기도 돌고 있다.[31]

이어서보기_애슐리매디슨 해킹사건, 공격!!!②

유성경 yuopboy@grayhash.com