테크 전문 잡지 창립자인 바시르 오스만(Bashir Osman)은 자신의 인스타그램 계정 해킹 공격을 당했을 때, 해커를 공격하기로 결심했다. 오스만은 패스워드 초기와 피싱 이메일을 보내 해커가 링크를 클릭하고 자신의 계정에 변경한 신원 정보를 입력하도록 유도했다. 오스만의 해커 공격 전략은 성공했다. 그는 15분 만에 인스타그램 계정을 복구하고, 해커를 차단했다. 오스만은 “살면서 지옥과도 같은 경험을 한 순간이었다. 해커 공격에 성공한 사실은 해커 세력도 보안 유지를 위한 최선의 관행에서 한참 뒤처진다는 사실을 나타낸다”라고 말했다.
계정 보안 관리 소홀은 누구나 범할 수 있는 실수이다. 오스만은 2014년에 인스타그램 비즈니스 프로필을 개설하고, 기간이 만료되었을 때 도메인 명칭과 계정과 연결된 이메일 주소를 바꾸지 않았다. 주기적으로 해당 계정에 등록된 사용자 이름으로 로그인하고는 이중 인증 제도를 설정하지 않았다.
오스만의 계정을 공격한 해커 세력은 조직적으로 공격을 개시했으며, 오스만이 인스타그램 계정에 연결된 도메인 명칭과 이메일에 접근하지 않는다는 사실을 악용했다. 오스만은 “도메인 서비스 기업 고대디(GoDaddy)의 웹사이트를 실행하고는 도메인을 재구매하려 했다. 그러나 놀랍게도 인스타그램 계정에서 직접 로그아웃하고 한 시간도 지나지 않아 누군가가 도메인을 구매한 사실을 알게 됐다. 누군가가 도메인을 구매하면서 인스타그램 계정과 함께 공개적으로 확인할 수 있는 이메일 계정을 재생성하고는 이메일로 패스워드 초기화를 하면서 내 도메인과 인스타그램 계정을 가로챈 것을 깨닫게 되었다”라고 말했다.
이와 같은 인스타그램 해킹은 매우 큰 피해를 줄 수 있다. 특히 매출을 위해 인스타그램에 의존하는 기업체와 인플루언서라면, 계정 해킹의 타격이 심각할 수밖에 없다. SNS 인플루언서를 위한 핀테크 플랫폼인 XPO 창립자 겸 CEO인 로탄나 에제이크(Lotanna Ezeike)는 “해커가 인스타그램 계정을 탈취했다면, 복구할 방법은 없다. 대다수 콘텐츠 크리에이터는 계정 해킹 피해 발생 시 새로운 계정을 생성하면서 활동을 다시 시작하며, 기존 계정으로 쌓은 명성을 찾는 데 몇 년이 걸린다”라고 말했다.
더 심각한 사실은 테크 업계 대기업 페이스북 계열사인 인스타그램에 연락한다면, 계정 복구가 어려우면서도 복잡할 수 있다는 사실이다. 그러나 인스타그램 계정 해킹 피해 발생 시 SNS에 게시글을 올리지 않거나 자신의 계정을 탈취한 해커를 상대로 다시 해킹하라는 의미는 아니다. 봇과 온라인 공간의 사기꾼의 관심을 집중시키면서 결국에는 상황이 더 심각해질 수 있다.
인스타그램 계정 해킹 피해 발생 시 행동 방법과 처음부터 계정 탈취를 막을 방법을 아래와 같이 설명한다.
[사진=Unsplash]
해커가 인스타그램 계정을 표적으로 삼는 이유는? 매달 수십억 명이 인스타그램을 사용하며, 팔로워 수가 많은 계정은 해킹 표적이 될 위험성이 훨씬 더 높다. 해커가 인스타그램 계정을 장악했다면, 종종 탈취한 계정을 악용해 사기 제품을 판매하거나 멀웨어를 유포하면서 피싱 페이지를 통해 민감 정보를 탈취할 것이다.
@andreacdasilva_라는 계정으로 활동하는 인스타그램 인플루언서는 “해커의 표적이 될 위험성이 가장 높은 계정 중에는 브랜드와의 협력으로 거액의 매출을 생성하는 계정도 포함됐다. 해킹 공격 후 가장 빨리 금전적 이익을 취할 수 있기 때문이다”라고 설명했다. 팔로워 수가 많고 인증된 인스타그램 프로필과 참여도가 높은 마이크로 인플루언서도 해커의 표적이 될 위험성이 높다.
사이버 보안 연구 기관 트렌드 마이크로(Trend Micro) 소속 연구팀이 발견한 사기 수법 중 하나와 같이 사이버 공격 세력은 종종 기술 지원 계정으로 위장해 계정 보안이 침해된 인플루언서를 모색한다. 해커는 피해자가 공격 수법에 속도록 유혹하고자 계정 주인이 저작권을 침해했다고 주장하거나 간혹 인증 배지 제공을 제안한다.
해킹 범죄 세력은 피해자가 피싱 사이트로 연결하는 링크를 통해 개인 정보를 입력하도록 유도한다. 패스워드를 입력하면, 해커는 해당 계정 주인의 인스타그램 계정을 탈취한다. 간혹 계정 보유를 빌미로 삼고는 계정 복구 조건으로 비트코인 결제를 요구한다.
인스타그램 계정 해킹 사실 알릴 방법은?
인스타그램 해킹의 첫 번째 징조는 보통 피드에 스팸 게시글이 등장하거나 팔로워가 DM으로 의심스러운 링크를 전송하는 등 이상한 활동이 이어진다. 커뮤니케이션 기관 바튼홀(Battenhall) CEO인 드류 벤비(Drew Benvie)는 “운이 좋다면, 인스타그램이 계정과 관련된 의심스러운 활동 보고 메일을 보낼 것이다”라고 언급했다.
의심스러운 활동이 이어졌을 때는 인스타그램 계정에 계속 접속할 수 있으므로 신속한 대응이 중요하다. 사이버 보안 기업 카스퍼스키(Kaspersky)의 수석 보안 연구원인 데이비드 엠(David Emm)은 “해커가 패스워드를 변경하지 않아 계정에 접속할 수 있다면, 즉시 더 복잡하면서 고유한 계정 접속 방식으로 변경해야 한다”라고 말했다.
누군가가 계정을 탈취하고 이메일 주소와 연락처 등 상세 정보를 변경했다면, 인스타그램 고객 센터 페이지에 명시된 설명과 같은 방식과 같은 절차를 거쳐야 한다. 이때, 계정 탈취 사실을 알게 된 요소를 비롯한 몇 가지 질문을 받게 되며, 인스타그램은 이메일이나 휴대전화를 통해 로그인 링크나 인증 코드를 보낸다. 물론, 해커가 계정과 연결된 계정 상세 정보를 변경했다면 무용지물이다. 또는 아이폰이나 구글 안드로이드 기기에서 앱을 통해 인스타그램에 해킹 피해 지원 요청을 할 수도 있다.
인스타그램은 해킹 계정 복구를 위해 사용자가 이메일 주소와 연락처, 접속한 기기 등 상세 정보와 피해 지원 요청을 하는 이의 신원을 확인하는 데 도움이 될 셀프 비디오도 요청할 것이다.
인스타그램 계정 해킹 예방법은?
항상 손쉽게 계정을 복구할 수 있는 것은 아니다. 그러나 몇 가지 단계를 거쳐 처음부터 인스타그램 해킹을 예방할 수 있다. 패스워드 보안이 해킹 피해를 막을 훌륭한 시작점이다. 항상 패스워드를 길고 복잡하게 설정하고, 이중 인증 혹은 다중 인증 제도를 활성화해야 한다.
길고 복잡한 패스워드와 두 가지 이상의 계정 인증 수단을 이용하면, 해커가 여러 가지 패스워드 조합을 임의로 입력해 패스워드를 찾는 무작위 대입 공격을 개시하기 어렵다. 사이버 보안 컨설턴트 대니얼 카드(Daniel Card)는 10~20회로 패스워드 입력 시도 횟수가 제한됐기 때문이라고 말한다. 그는 “현실적으로 사이버 공격 세력이 패스워드를 손에 넣으려면 피싱 공격을 개시해 누군가가 패스워드 정보를 유출해야 한다”라고 설명했다.
따라서 의심스러운 듯한 이메일을 수신했다면, 브라우저에서 별도로 인스타그램을 실행해 무언가 탈취된 사항이 있는지 확인해야 한다. 그렇다면, 악성 링크를 클릭하는 일을 피할 수 있다.
게다가 여러 웹사이트에서 같은 패스워드를 사용하지 않는다면, 해커가 다른 웹사이트에서도 민감 정보를 해킹하려 하는 민감 정보 무작위 공격 피해를 막을 수 있다. 패스워드 매니저를 사용해 패스워드 중복 사용 때문에 발생하는 피해를 막을 중요한 예방 단계를 거쳐야 한다. 또, 엠은 인증 앱이나 보안 키를 통한 이중 인증 제도를 사용하는 것이 필수라고 말한다.
‘설정’ > ‘보안’ > ‘로그인 활동’을 통해 주기적으로 로그인 활동을 확인하는 것도 좋은 예방법이다. 한편으로는 ‘설정’ > ‘보안’ > ‘데이터 접근’ > ‘데이터 다운로드’를 통해 전체 활동 기록을 다운로드할 수도 있다.
보안 기업 쇼어클라우드(SureCloud)의 수석 보안 컨설턴트인 샘 커크만(Sam Kirkman)은 “사용자가 인식하지 못한 로그인과 활동은 계정 해킹 사실을 시시한다”라고 말했다.
인스타그램 계정 보안 수준을 높이고 사이버 범죄 세력이 계정 탈취 목적으로 사회적 공학 기법을 악용하지 못하도록 하려면, 인스타그램 프라이버시 설정 잠금도 중요하다. 엠은 “인스타그램 계정과 연동된 앱과 웹사이트를 살펴보고, 게시글을 볼 수 있는 사용자 범위를 관리하는 프라이버시 설정을 변경하는 것도 중요하다”라고 조언했다.
인스타그램을 사용하는 기업과 인플루언서 다수의 해킹 위험성이 높기 때문에 기관 보안도 표준으로 설정해야 한다. 커크만은 기기를 업데이트하고, 공식 앱스토어 이외 다른 곳에서 제공하는 소프트웨어나 앱을 다운로드하지 않도록 주의해야 한다고 말했다. 그는 “기기 보안 관리는 기기 해킹 위험성을 줄인다. 기기 보안이 악화되면, 계정 보안도 공격을 당할 수 있다”라고 경고했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202110/3442_4543_5054.jpg)
뉴스레터 신청