개발자들이 IoT 디바이스의 클라우드 연동을 위해 AWS-IoT 계정을 이용하다 해킹을 당해 수백 또는 수천만원의 피해를 보는 사례가 발생하고 있어 주의가 요구되고 있다.

최근 한 개발자는 IoT 디바이스의 클라우드 연동을 시험하기 위해 AWS-IoT 무료 계정을 사용했다. 이 개발자는 단순한 테스트 및 시연 용도로 사용하기 위해서 회사 이메일 계정으로 AWS-IoT 무료 계정을 이용했다.

이후 회사를 퇴사하며, 회사 메일은 당연히 사용을 안 하게 됐는데, AWS 계정이 해킹을 당해 무단으로 서버가 사용되면서 AWS에서는 퇴사해 사용하지 않는 메일로 빌링 정보를 계속 보내고 있었던 것이다.

이후 개발자가 그 사실을 알았을 때는 이미 수백만원의 금액이 청구된 상태였고, 기존의 등록했던 계정의 접속 비밀 번호가 바뀌어 보안 조치를 할 수 없는 상황이 발생했다.

이 사실을 AWS에 알리고 보안 조치를 취하려고 했으나 AWS는 소유자가 그 계정에 접속을 해 처리를 해야 한다는 답변뿐이었다고 한다.

하지만 피해자가 비번을 초기화 하려면 그 계정에 등록된 이메일 주소로 초기화 메일을 받아야 하는데 이미 회사를 퇴사했기에 메일이 폐쇄 돼 메일을 받을 수도 확인 할 수도 없는 상황이 돼 버린 것이다.

이에 피해자는 AWS 한국지사와 미국 본사에 지속적으로 연락을 취하고 해결 가능한 방법을 모색 중으로 알려졌다.

이와 같은 사례가 이 개발자에게만 발생하는 것이 아닌 상당한 규모의 피해 사례가 있는 것으로 알려지고 있다.

특히 초보 개발자들에게서 많이 발생하는 사고로 정식 어플리케이션 개발 전 테스트용 또는 교육용으로 사용하다 사고가 빈발하는 것으로 알려졌다.

해킹은 무차별적으로 이뤄지는데 경험이 풍부한 개발자들의 경우 2단계 인증 등 보안에 신경쓰는 반면 초보 개발자들의 경우 영어로 구성된 매뉴얼 등에 익숙하지 않아 보안의 중요 사항을 놓친다는 것이다.

이에 한 개발자의 경우 억대의 사용료가 청구돼 자기도 모르게 큰 빚을 지는 경우도 있었다.

해결방법은 딱히 없는 것으로 알려지고 있다.

피해자들은 대부분 경찰에 신고하거나 AWS 측에 피해 사실을 고지하고 사용료 감액 등의 협상을 벌이기도 하지만 가해자를 잡기는 매우 어렵고, 소송 등을 통해 피해를 입증한다는 것 또한 어려워 대부분의 경우 울며 겨자 먹기로 청구된 사용료를 지불하고 있는 것으로 알려졌다.

본사 및 한국지사와의 협상을 통해 일부 청구 금액을 감액 받는 사례도 있지만 결국은 개발자가 사용하지도 않은 비용을 내고 있는 것은 마찬가지다.

이에 피해 개발자들은 AWS 클라우드의 무료 체험 계정을 만들었을 경우 계정 보안에 상당한 주의가 필요하다고 입을 모으고 있다.

전문가들은 클라우드 업체들이 보안을 강화한다고 하지만 계정이 유출된다면 쉽게 해커들의 먹잇감이 될 수 있다며, 2단계 인증, OPT 암호 사용 등 2중, 3중의 보안을 유지하도록 주의해야 하고, 사용하지 않는 계정을 바로 계정 삭제를 통해 문제의 소지를 없애야 한다고 조언했다.