비행기의 탑승권이 찍힌 사진에서 개인정보를 빼내기까지의 기록...호주 전 총리의 경우

호주의 전 총리인 토니 애벗 씨가 Instagram에 게시한 비행기 탑승권 사진으로 애벗 씨의 여권번호와 전화번호를 알아낼 수 있다며, 그 방법이 온라인으로 공개되었습니다.

When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number
https://mango.pdf.zone/finding-former-australian-prime-minister-tony-abbotts-passport-number-on-instagram

When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number

Former Australian PM Tony Abbott's passport details and phone number obtained by hacker | Tony Abbott | The Guardian
https://www.theguardian.com/australia-news/2020/sep/16/former-australian-pm-tony-abbotts-passport-details-and-phone-number-obtained-by-hacker

Former Australian PM Tony Abbott's passport details and phone number obtained by hacker

Tony Abbott hacked: Former PM’s massive boarding pass mistake
https://www.news.com.au/travel/travel-updates/health-safety/tony-abbotts-massive-boarding-pass-mistake/news-story/5eff8faffe0f925fe9ccb73b56c59bd5

Tony Abbott’s massive boarding pass mistake

해커로 활동하는 알렉스 씨는 어느 날 친구에게서 '이 남자를 해킹할 수 있을까?'라는 메시지를 받았습니다. 이 메시지에는 호주의 전 총리인 토니 애벗 씨가 Instagram에 게시한 탑승권의 사진이 첨부되어 있었습니다.

아래의 이미지가 문제가 된 애벗 씨의 Instagram 게시물. 이미지의 모자이크 처리는 알렉스 씨가 한 것으로, 투고 시에는 없었습니다. 또한, 현재는 게시물이 삭제되었습니다.

알렉스 씨에게 이런 제의가 들어온 이유는, 알렉스 씨가 평소 불법적인 해킹 활동을 하고 있었기 때문이 아니라, 최근 친구들 사이에서 'Instagram에 게시된 탑승권을 이용하여 해킹이 이루어지고 있다'는 것이 화제가 되고 있었다고 합니다. Instagram에서는 '#boardingpass'라는 태그가 사용되고 있으며, 이 태그가 삽입된 게시물에서 여권번호를 부정하게 취득당했다는 피해가 일어나고 있었다고 합니다.

구체적으로 탑승권을 이용한 해킹 방법을 몰랐던 알렉스 씨는 먼저 Google 검색을 통해 탑승권 사진으로 어떻게 해킹이 이루어지고 있는지를 설명하는 웹페이지를 찾아냈습니다. 이 설명에 따르면, 해킹에는 '예약번호'와 '예약자의 성'을 이용한다고 설명되어 있었습니다. 예약번호 및 성은 예약자가 항공사의 웹사이트를 방문하여 예약 내용을 수정하는 데에도 사용됩니다. 예약번호를 얻으려면 탑승권 바코드를 읽어내야 하기 때문에, 알렉스 씨는 사진에 찍혀 있던 바코드의 명암을 증가시키는 등 어떻게든 명확한 바코드를 얻으려고 궁리했다고 합니다.

한참을 바코드와 씨름 후 우연히 탑승권 항목에 예약번호를 의미하는 'Booking Ref'라는 기재가 있는 것을 뒤늦게 발견했습니다. 바코드를 읽을 필요 없이 무사히 예약번호를 취득했습니다.

항공사의 웹사이트를 방문하여 예약번호와 예약자의 성인 'Abbott'를 입력하면 ......

다음과 같은 예약관리 화면에 액세스 할 수 있었다고 합니다.

관리 화면에는 애벗 씨가 타는 비행기의 탑승 시간과 마일리지 번호, 예약 시에 이용한 여행사의 법인명 등이 적혀있었지만, 알렉스 씨가 방문한 시점에서는 이미 비행기가 비행을 마쳐, 여기에 뭔가를 변경할 수 있는 것은 없었다고 합니다. 그래서 더 많은 정보를 얻기 위해 알렉스 씨는 오른쪽 클릭하여 '요소 검사'에 액세스.

'요소 검사'는 웹사이트에 사용되는 HTML을 표시하는 기능으로, 프로그래머가 웹사이트의 구조를 이해하고 싶을 때 사용합니다. 알렉스 씨가 Ctrl + F로 'passport'라고 검색하자 애벗 씨의 여권번호 등이 기재되어 있는 부분을 발견. 그러나 'phone'이나 'number'이라는 단어로 검색해도, 전화번호 등의 개인정보는 얻을 수 없습니다.

그러나 자세히 보니, HTML에 의미를 알 수 없는 코드도 포함되어 있었습니다.

RQST QF HK1 HNDSYD / 03EN | FQTV QF HK1 | CTCM QF HK1 614 [phone number] | CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOW

또한 '히토미가 애벗에게 FASTTRACK를 희망했다'는 불가사의한 문장도 있었습니다.

HITOMI CALLED RQSTING FASTTRACK FOR MR. ABBOTT

위의 문자열은 항공사에서 사용되고 있는 암호가 틀림없다고 생각한 알렉스 씨는 항공사가 독자적으로 사용하는 코드에 대해 Google에서 검색. 그 결과, 수수께끼의 코드가 약자임을 알아냈습니다. 약어의 예는 다음과 같습니다.

RFTV / Reason for Travel (여행의 이유)
UMNR / Unaccompanied minor (어린이 혼자 여행)
PDCO / Carbon Offset (카본 오프셋)
WEAP / Weapon (무기)
DEPA / Deportee-accompanied by an escort (동반자가 함께하는 국외 추방자)
ESAN / Passenger with Emotional Support Animal in Cabin (정신적 지주가 되는 동물이 객실에 동반)

그리고 알렉스 씨가 발견한 문장에 포함된 CTCM가 승객의 전화번호임을 알아낸 알렉스 씨는 애벗 씨의 개인 전화번호를 입수할 수 있었다고 합니다.

알렉스 씨는 그 후 몇 달에 걸쳐 애벗 씨의 개인 비서에게 연락을 시도하여 애벗 씨 본인과 대화하는 기회를 얻었다고 합니다.

알렉스 씨는 해킹에 대해 애벗 씨에게 말하기 전에 오해를 받아 체포되는 것이 아닐까 두려워했다고 합니다만, 그런 전개는 일어나지 않았습니다.

또한, 알렉스 씨는 해킹을 한 호주의 콴타스 항공에도 이 사실을 알려, 현재는 해당 문제가 해결되었다고 합니다.