Offcanvas

디지털 디바이스 / 모바일 / 보안 / 소비자IT

아이폰 보안 해제 기술, 정부 기관들이 잇달아 구매 중··· 공급사 2곳

2018.05.10 Lucas Mearian  |  Computerworld
아이폰의 보안 메커니즘을 우회할 수 있는 두 회사의 기술이 여러 경찰 및 정보 당국에 절찬리에 판매되고 있다. 또 아이폰 암호화 크래킹 하드웨어에 대한 법 집행 기관들의 이러한 관심이 아이폰이 모바일 보안 측면에서 그리 우위에 있지 않다는 강력한 증거로 풀이되고 있다.

J. 골드 어쏘시에이츠의 잭 골드 수석 애널리스트는 "모든 커뮤니케이션 도구가 완전히 안전하다고 자신해서는 안 된다는 사실을 의미한다. 물론 보안은 항상 지키는 자와 공격하는 자 사이의 줄다리기였다"라고 말했다.

지난 2월 이스라엘에 기반을 둔 기술 업체인 셀리브라이트(Cellebrite)가 iOS 11을 실행하는 아이폰의 잠금을 해제하는 방법을 발견했으며, 해당 기술을 제품화해 전 세계의 법 집행 기관 및 사설 법의학 회사에 제품을 판매하고 있다고 보고됐다. 포브스가 확보한 자료에 따르면 미 국토안보부가 이 기술을 테스트했던 것으로 드러났다.

이후 얼마 지나지 않아 그레이시프트(Grayshift)라는 기업이 아이폰의 잠금을 해제할 수 있는 저렴한 솔루션을 개발한 기업으로 부상했다. 이번 주에는 마더보드(Matherboard)가 미 지역 경찰 조직과 연방 정부가 이 기술을 구매하고 있다고 보도했다.그레이시프트는 전 애플 보안 엔지니어를 고용한 것으로 알려졌다.

마더보드에 따르면 그레이시프트의 그레이키(GrayKey) 암호 해독 장치는 아이폰 소유자가 4자리 패스코드를 사용한 경우 약 2시간, 6자리 패스코드를 사용한 경우 약 3일 이상의 시간을 투자해 아이폰을 잠금 해제할 수 있다.

구매에는 이유가 있다
비영리 디지털 저작권 그룹인 전자 프론티어 재단 (Electronic Frontier Foundation, EFF)의 선임 스탭 변호사인 네이트 카르도조는 해킹 능력이 없다면 법 집행 기관들이 해당 기술을 구매하지 않을 것이라고 진단했다.

그는 "FBI는 그들이 아이폰의 보안을 뚫을 수 없다고 말했다. 그러나 우리는 법원의 청문회를 통해 그러한 언급이 거짓임을 발견했다"라고 말해다.

카르도조는 샌 버나디노 총기 사건을 언급했다. FBI는 지난달까지 용의자 파룩의 아이폰에서 패스코드를 깰 수 없다고 주장했었다. 법무부는 법원을 통해 애플에게 기기의 잠금을 해제하라는 명령을 내렸다. 법무부 청문회가 열리기 전날 저녁 FBI는 외부 단체의 도움을 받아 잠금을 해제했다고 발표했다. 그러나 그러한 주장은 이제 사실이 아닌 것으로 관측되고 있다.

애널리스트들은 아이폰 암후화 해제 상품이 정부 기관에 널리 이용되고 있다는 소식이 그리 놀랍지 않다는 반응이다.

골드는 "깰 수 없는 암호화 기술이란 없다. 암호화의 레이어를 추가하거나 인코딩 할 긴 키를 가능한 한 많이 만들 수 있지만 충분한 도구와 충분한 시간이 주어지면 이르 깨드릴 수 있기 마련이다"라고 말했다.

그레이키 박스의 가격은 1만 5,000달러다. 이 모델은 인터넷 연결이 필요한 특정 위치에 고정되어 있으며, 최대 300 개의 잠금을 해제할 수 있는 것으로 전해졌다. 맬웨어바이트에 따르면 셀리브라이트는 하나의 아이폰을 잠금 해제하는데 5,000달러를 요구한다.

EFF의 카르도조는 소비자들이 그리 염려할 이유는 없다고 전했다 법 집행 기관이 기기 잠금 해제를 위해서는 영장이 요구되기 때문이다. 그러나 암호화가 일단 깨졌다는 사실은 이를 다른 기관이나 범죄자들도 이용할 수 있다는 사실을 의미한다. 그는 "경찰들만 해당 기술을 살 수 있다고 믿는다면 지나치게 순진한 생각"이라고 말했다.

애플의 대응
한편 애플은 iOS 기기의 무단 접근을 막기 위해 자체적으로 조치를 취할 수 있다. 실제로 iOS 11.3 베타 버전에서 애플은 USB 리스트릭트 모드로 알려진 신기능을 도입했었다.

보안 소프트웨어 공급 업체 엘콤소프트(Elcomsoft)가 처음 베타 릴리스 문서에 이 기능을 발견했다.

설명에 따르면 이 문서에서는 새로운 기능에 대해 "보안을 향상시키는 방법"으로 묘사돼 있었다. 잠금 장치가있는 iOS 장치가 USB 주변 장치와 통신하려면 잠금을 해제하는 동안 라이트닝 커넥터를 통해 액세서리를 장치에 연결해야 하며, 또 연결돼 있는 동안 패스코드를 적어도 일주일에 한 번 입력해야 한다는 설명이다. 그러나 해당 기능은 공개적으로 출시되기 전에 iOS 11.3에서 삭제된 것으로 관측된다.

엘콤소프트는 회사 블로그를 통해 "셀리브라이트와 그레이시프트가 개발한 잠금해제 기술에 이번 신기능이 미치는 영향을 아직 밝혀지지 않았다"라고 전했다.

iOS 11.4 버전에 이 기능이 포함될지 여부 또한 아직 밝혀지지 않은 상태다. 애플은 논평 요청에 즉각적으로 응답해오지 않았다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.