해커들이 뉴욕포스트(New York Post)에 친 만우절 장난
April 13, 2017

만우절인 4월 1일을 맞이하여 올해도 구글, 스냅챗 등 다양한 기업들은 익살스러운 농담을 선보였다. 언어 교육 앱 서비스를 제공하는 듀오링고 (Duolingo)는 이모지 언어 교육 서비스를 출시했고, 아마존은 애완동물들을 위한 알렉사인 펫렉사 (Petlexa)를 출시했다. 이러한 재미있는 장난이 오가는 날에, 해커들도 참여하고 싶지 않을까?

미국 언론사 중 하나인 뉴욕 포스트 (New York Post)의 앱 이용자들은 4월 1일에 이상한 푸쉬 알림을 받기 시작했다. 이 푸쉬 알림은 미국 대통령인 도널드 트럼프를 겨냥한 메시지와 록 밴드인 너바나 (Nirvana)의 노래 가사의 일부와 종교적인 사례를 담은 문구들을 비롯하여 불분명한 의미의 메시지들을 사용자들에게 보냈다.

상황은 빠르게 종료되어 뉴욕 포스트는 다시 푸쉬 알림 시스템을 제어하고 사과 메시지를 보냈으나, 이미 발송된 푸쉬 알림들은 트위터와 다른 SNS 채널을 통해 인터넷상에서 빠르게 공유되었다. 다행히 이번 해킹은 푸쉬 알림 공유에서 그쳐 추가적인 피해는 발생하지 않았으나, 이번 공격의 정확한 원인이나 어떠한 경로를 이용해서 푸쉬알림 시스템을 장악했는지에 대한 정보는 아직 밝혀지지 않았다.

이 사례의 흥미로운 점은, 기업을 위협하는 해킹의 방법은 끊임없이 진화하고 있다는 것이다. 일반적으로 흔히 알려진 해킹 방법은, 악성코드를 이용하거나 앱을 변조 혹은 위변조하는 방식이지만, 뉴욕 포스트의 케이스처럼 푸쉬 알림을 조작하는 사례는 흔치 않다. 이번 해킹을 통해 해커들은 빠르게 뉴욕 포스트의 독자들로부터 부정적인 반응을 얻어낼 수 있었다. 실제로, 트위터에서는 이 사건에 대해 불평을 표출하는 사용자들을 많이 찾아볼 수 있었다.

기업을 타깃으로 하는 해킹 공격은 앱 사용자들에게 빠르게 접근할 수 있고, 단시간에 기업의 평판에 부정적인 영향을 끼칠 수 있다. 또한, 공격당한 앱이 적절한 보안을 가지고 있지 않다는 사실을 바로 보여주어 사용자들의 신뢰를 하락시킬 수 있다. 기업에 브랜드 가치, 사용자의 신뢰 및 로열티를 유지하는 것은 중요한 우선순위에 포함된다. 하지만, 해커들은 항상 새로운 공격 방식을 연구하고 실험하며 기업들을 위협하고 있다. 이처럼 빠르게 변화하는 해킹 공격 트렌드에 대응하기 위해서는 미리 강력한 보안을 적용하고, 보안 현황을 항상 감시하며 취약점 패치에 주의를 기울여야 한다.

이미지 출처: New York Daily News

조 성
샌프란시스코의 모바일 보안 전문 스타트업 'SEWORKS'에서 마케팅 총괄(Head of Marketing)로 일한다. '티파니 앤 코(Tiffany & Co.)'에서 글로벌 마케팅을 담당했고, 뉴욕 대학교(New York University)에서 국제 정치와 비즈니스(International Politics and Business)로 석사 학위를 받았다. 글로벌 비즈니스에 관심과 열정을 갖고 있다. 'SEWORKS'에서 일하며 느낀 보안의 중요성을 널리 알려, 전 세계 앱 개발자들이 해킹 공격으로부터 안전해지기를 바라고 있다.