2020.01.20

다시 불붙은 아이폰 백도어 요청 논란… FBI는 이미 관련 툴 확보 정황

Lucas Mearian | Computerworld
프라이버시 단체들은 애플이 자사 iOS 플랫폼에 대한 항구적인 백도어를 거부함으로써 향후 수백만 명의 사용자를 향후 있을 정부와 해커의 위협에서 보호하고자 한다고 평가한다.

애플이 미국 법무부 장관 윌리엄 바의 아이폰 해제 요청을 거절한 후, FBI는 애플 아이폰에 액세스하는 데 필요한 툴을 이미 확보한 것으로 드러났다. 미 법무부는 최근의 총격 사건에 연루된 테러리스트 용의자의 아이폰 2대를 잠금 해제해 달라고 요청했다.
 
ⓒ GettyImagesBank

애플은 21세 총격범 무함마드 시드 알샴라니가 사용한 아이폰 2대의 잠금 해제를 돕지 않을 것이라며, 미국 법무부의 요청을 거절했다. 알샴라니는 지난 해 12월 6일 미 플로리다 펜서콜라 해군 항공기지에선 사우디 훈련생 신분으로 총기를 난사해 3명이 숨지고 8명이 부상을 입었다. 용의자인 알샴라니도 총격 중 사망했는데, 단독 행동인 것으로 알려져 있다.

애플의 프라이버시 관련 정책과 이를 빠져나가려는 미 당국 간의 줄다리기가 다시 한번 벌어진 것이다.

하지만 포브스가 처음 발견한 수색 영장을 보면, FBI는 이미 패스워드로 보호되는 스마트폰을 푸는 데 필요한 블랙박스 기술을 확보한 것으로 보인다. 수색 영장에 따르면, 지난 해 미국 오하이오주의 FBI 수사관은 그레이시프트(GrayShift)란 회사의 기술을 사용해 잠김 상태의 바리스 알리 코흐 소유 아이폰 11 프로 맥스에 액세스했다. 코흐는 혐오 범죄로 유죄를 선고받은 자신의 형제가 국외로 도주할 수 있도록 도운 혐의를 받고 있다.

미국 아틀란타주 소재의 그레이시프트는 애플 아이폰의 패스코드 보안을 무작위 대입 공격(Brute-Force Attack)으로 뚫을 수 있다고 주장하는 두 업체 중 한 곳이다. 다른 한 곳은 이스라엘 업체 셀레브라이트(Cellebrite)이다. 두 업체는 이 공격으로 아이폰 보안을 우회해 전체 파일 시스템 추출이 가능하다고 주장한다. 고급형 안드로이드 디바이스에 대해서도 마찬가지이다.

EPIC(Electronic Privacy Information Center)이 정보공개 요청을 통해 확보한 문서에 따르면, 셀레브라이트의 UFED 클라우드 애널라이저란 툴은 “실시간 모바일 데이터, 통화 기록, 연락처, 일정표, SMS, MMS, 미디어 파일, 앱 데이터, 채팅, 패스워드”를 포함한 휴대폰 데이터를 잠금 해제하고 해독하고 추출할 수 있는 것으로 알려져 있다. 그레이시프트의 그레이키(GreyKLey) 블랙박스는 사용자가 4자리 패스워드를 걸었을 때는 2시간, 6자리 패스워드를 걸었을 때는 3일 정도에 아이폰을 해제할 수 있는 것으로 나타났다.

2018년에 애플은 그레이시프트의 그레이키 블랙박스에 대해 iOS 업데이트로 아이폰을 다시 안전하게 만들 수 있다고 밝힌 바 있다. 하지만 FBI의 영장을 보면, 해당 업데이트가 애플의 기대처럼 성공적이지 못했을 수도 있다. 

그런데도 미 당국은 여전히 애플이 그냥 백도어를 심는 방식을 선호한다. EPIC의 법무 책임자 앨런 버틀러는 만약 정부가 애플이 아이폰 보안을 포기하도록 강제하는 데 성공한다면, 기업 IT 관리자는 곤란한 입장이 된다고 지적했다. 대부분 직원이 기업 디바이스나 BYOD 정책 하에서 스마트폰을 사용해 업무를 수행하고 민감한 정보를 전송하기 때문이다. 

버틀러는 “다수의 민감한 정보는 특별한 권한이 필요하거나 거래 기밀이거나 ITAR(International Traffic in Arms Regulations)의 대상이다. 따라서 사용자는 이를 보호할 법적 책임이 있다”라며, “따라서 기업 또한 자사에 배치한 하드웨어가 안전하다는 것을 보장할 필요가 있다. 만약 정부기관이 하드웨어나 소프트웨어의 보안에 허점을 만들기 위한 명령을 내린다면, 이는 기업 데이터 훼손으로 이어질 수 있다”고 설명했다.

애플은 수사에 “본질적인 도움”을 주지 않았다는 미 법무부의 주장을 반박하며 알샴라니의 아이폰에 있는 데이터를 백업하는 데 사용한 클라우드 서비스에 액세스할 수 있도록 했다고 밝혔다. 애플은 “공격 이후 법무부의 수많은 요청에 대한 우리의 대응은 시의적절하고 완전하고 지속적이었다”며, “12월 6일 FBI의 첫 요청 후 몇 시간 만에 우리는 수사와 관련된 다양하고 광범위한 정보를 생성했다. 12월 7일부터 14일까지 추가로 6건의 법적 요청을 받았고 이에 대응해 아이클라우드 백업, 계정 정보, 여러 계정의 거래 데이터를 포함한 정보를 제공했다”라고 설명했다.

전자프론티어재단 사무차장 커트 옵살은 애플은 사용자에게 강력한 보안을 제공할 권리가 있다며, “법무부 장관의 요청은 수백만 명의 무고한 사용자를 위험에 빠뜨리고, 보안 정책과 바꾸기에는 빈약하다”라고 지적했다.

러시아 포렌식 기술업체 엘콤소프트(ElcomSoft)의 CEO 블라디미르 카탈로프는 미 법무부의 요청이 비현실적이라고 평가했다. 파일 기반 암호화와 안전한 격리 기술 때문에 애플도 기술적으로는 아이폰의 잠금을 해제할 수 없다는 것. 이 기능은 iOS와 별도로 기동해서 자체 마이크로커널을 실행하기 때문에 아이폰 운영체제가 직접 액세스할 수 없다.

카탈로프는 “물론 백도어를 추가하고 에스크로우 키 같은 것을 구현하는 것은 기술적으로는 가능하다. 하지만 우선, 아무도 기술을 법적으로 규제할 수 없다. 안전한 통신 채널과 데이터 스토리지는 계속 필요하며, 어떤 정부도 암호화를 사용하지 못하도록 하거나 인증한 한 가지 암호화 기술만 사용하도록 강제할 수 없다. 두번째, 이런 백도어는 금방 범죄자들에게 악용될 것이다. 그 결과는 재앙이 될 수 있다”고 강조했다.  editor@itworld.co.kr



2020.01.20

다시 불붙은 아이폰 백도어 요청 논란… FBI는 이미 관련 툴 확보 정황

Lucas Mearian | Computerworld
프라이버시 단체들은 애플이 자사 iOS 플랫폼에 대한 항구적인 백도어를 거부함으로써 향후 수백만 명의 사용자를 향후 있을 정부와 해커의 위협에서 보호하고자 한다고 평가한다.

애플이 미국 법무부 장관 윌리엄 바의 아이폰 해제 요청을 거절한 후, FBI는 애플 아이폰에 액세스하는 데 필요한 툴을 이미 확보한 것으로 드러났다. 미 법무부는 최근의 총격 사건에 연루된 테러리스트 용의자의 아이폰 2대를 잠금 해제해 달라고 요청했다.
 
ⓒ GettyImagesBank

애플은 21세 총격범 무함마드 시드 알샴라니가 사용한 아이폰 2대의 잠금 해제를 돕지 않을 것이라며, 미국 법무부의 요청을 거절했다. 알샴라니는 지난 해 12월 6일 미 플로리다 펜서콜라 해군 항공기지에선 사우디 훈련생 신분으로 총기를 난사해 3명이 숨지고 8명이 부상을 입었다. 용의자인 알샴라니도 총격 중 사망했는데, 단독 행동인 것으로 알려져 있다.

애플의 프라이버시 관련 정책과 이를 빠져나가려는 미 당국 간의 줄다리기가 다시 한번 벌어진 것이다.

하지만 포브스가 처음 발견한 수색 영장을 보면, FBI는 이미 패스워드로 보호되는 스마트폰을 푸는 데 필요한 블랙박스 기술을 확보한 것으로 보인다. 수색 영장에 따르면, 지난 해 미국 오하이오주의 FBI 수사관은 그레이시프트(GrayShift)란 회사의 기술을 사용해 잠김 상태의 바리스 알리 코흐 소유 아이폰 11 프로 맥스에 액세스했다. 코흐는 혐오 범죄로 유죄를 선고받은 자신의 형제가 국외로 도주할 수 있도록 도운 혐의를 받고 있다.

미국 아틀란타주 소재의 그레이시프트는 애플 아이폰의 패스코드 보안을 무작위 대입 공격(Brute-Force Attack)으로 뚫을 수 있다고 주장하는 두 업체 중 한 곳이다. 다른 한 곳은 이스라엘 업체 셀레브라이트(Cellebrite)이다. 두 업체는 이 공격으로 아이폰 보안을 우회해 전체 파일 시스템 추출이 가능하다고 주장한다. 고급형 안드로이드 디바이스에 대해서도 마찬가지이다.

EPIC(Electronic Privacy Information Center)이 정보공개 요청을 통해 확보한 문서에 따르면, 셀레브라이트의 UFED 클라우드 애널라이저란 툴은 “실시간 모바일 데이터, 통화 기록, 연락처, 일정표, SMS, MMS, 미디어 파일, 앱 데이터, 채팅, 패스워드”를 포함한 휴대폰 데이터를 잠금 해제하고 해독하고 추출할 수 있는 것으로 알려져 있다. 그레이시프트의 그레이키(GreyKLey) 블랙박스는 사용자가 4자리 패스워드를 걸었을 때는 2시간, 6자리 패스워드를 걸었을 때는 3일 정도에 아이폰을 해제할 수 있는 것으로 나타났다.

2018년에 애플은 그레이시프트의 그레이키 블랙박스에 대해 iOS 업데이트로 아이폰을 다시 안전하게 만들 수 있다고 밝힌 바 있다. 하지만 FBI의 영장을 보면, 해당 업데이트가 애플의 기대처럼 성공적이지 못했을 수도 있다. 

그런데도 미 당국은 여전히 애플이 그냥 백도어를 심는 방식을 선호한다. EPIC의 법무 책임자 앨런 버틀러는 만약 정부가 애플이 아이폰 보안을 포기하도록 강제하는 데 성공한다면, 기업 IT 관리자는 곤란한 입장이 된다고 지적했다. 대부분 직원이 기업 디바이스나 BYOD 정책 하에서 스마트폰을 사용해 업무를 수행하고 민감한 정보를 전송하기 때문이다. 

버틀러는 “다수의 민감한 정보는 특별한 권한이 필요하거나 거래 기밀이거나 ITAR(International Traffic in Arms Regulations)의 대상이다. 따라서 사용자는 이를 보호할 법적 책임이 있다”라며, “따라서 기업 또한 자사에 배치한 하드웨어가 안전하다는 것을 보장할 필요가 있다. 만약 정부기관이 하드웨어나 소프트웨어의 보안에 허점을 만들기 위한 명령을 내린다면, 이는 기업 데이터 훼손으로 이어질 수 있다”고 설명했다.

애플은 수사에 “본질적인 도움”을 주지 않았다는 미 법무부의 주장을 반박하며 알샴라니의 아이폰에 있는 데이터를 백업하는 데 사용한 클라우드 서비스에 액세스할 수 있도록 했다고 밝혔다. 애플은 “공격 이후 법무부의 수많은 요청에 대한 우리의 대응은 시의적절하고 완전하고 지속적이었다”며, “12월 6일 FBI의 첫 요청 후 몇 시간 만에 우리는 수사와 관련된 다양하고 광범위한 정보를 생성했다. 12월 7일부터 14일까지 추가로 6건의 법적 요청을 받았고 이에 대응해 아이클라우드 백업, 계정 정보, 여러 계정의 거래 데이터를 포함한 정보를 제공했다”라고 설명했다.

전자프론티어재단 사무차장 커트 옵살은 애플은 사용자에게 강력한 보안을 제공할 권리가 있다며, “법무부 장관의 요청은 수백만 명의 무고한 사용자를 위험에 빠뜨리고, 보안 정책과 바꾸기에는 빈약하다”라고 지적했다.

러시아 포렌식 기술업체 엘콤소프트(ElcomSoft)의 CEO 블라디미르 카탈로프는 미 법무부의 요청이 비현실적이라고 평가했다. 파일 기반 암호화와 안전한 격리 기술 때문에 애플도 기술적으로는 아이폰의 잠금을 해제할 수 없다는 것. 이 기능은 iOS와 별도로 기동해서 자체 마이크로커널을 실행하기 때문에 아이폰 운영체제가 직접 액세스할 수 없다.

카탈로프는 “물론 백도어를 추가하고 에스크로우 키 같은 것을 구현하는 것은 기술적으로는 가능하다. 하지만 우선, 아무도 기술을 법적으로 규제할 수 없다. 안전한 통신 채널과 데이터 스토리지는 계속 필요하며, 어떤 정부도 암호화를 사용하지 못하도록 하거나 인증한 한 가지 암호화 기술만 사용하도록 강제할 수 없다. 두번째, 이런 백도어는 금방 범죄자들에게 악용될 것이다. 그 결과는 재앙이 될 수 있다”고 강조했다.  editor@itworld.co.kr

X