Offcanvas

모바일 / 보안 / 분쟁|갈등 / 비즈니스|경제 / 소비자IT / 애플리케이션

칼럼 | FBI의 요청이 현세대 자유와 시민권에 미치는 영향

2016.02.24 Rich Mogull  |  Macworld
최근 미국 캘리포니아 주 법원이 애플에 FBI가 잠금 상태의 아이폰에 접근할 수 있도록 협조하라는 판결을 내렸다. 여기에는 샌 버나디노 총격 사건의 범인이 사용한 아이폰 5c가 포함되어 있다. 명령의 내용은 명확하다. FBI가 횟수 제한 없이 아이폰 비밀번호를 알아내기 위해 신속하게 무차별대입 공격을 할 수 있도록 새로운 펌웨어를 개발해 아이폰에 설치하라는 내용을 골자로 하고 있다.

애플은 이 명령에 항의하고 있을 뿐만 아니라, CEO 팀 쿡이 서명한 공개 서한을 애플 홈페이지의 첫 페이지에 링크로 연결했다.

오해가 없도록 설명하면, 이번 논쟁은 전례가 없는 일이다. 또, FBI와 미국 법무부가 향후 몇 세대의 시민권을 제한할 수도 있는 명령을 강제하기 위해 정교하게 구도를 짰다는 점도 중요하다. 하나의 전화기, 하나의 사건, 애플 자체에 국한되는 문제가 아니다. 이를 훨씬 넘어서는 함의를 갖고 있다.

보안 분야 종사자로서 이번 사건은 여러 모로 섬뜩하다.

왜 지금일까?
간단히 말해, 애플은 탄탄한 비즈니스 모델, 유명세, 기술을 모두 보유한 몇 안되는 회사 중 하나다.

애플은 오랜 기간 법원 명령을 준수하고, 수사 기관의 법 집행에 협조한 기업이다. iOS 8 이전에는 기기에서 데이터를 추출할 수 있었다. 지금도 법정 명령에 입각, 아이메시지와 페이스타임을 제외한 아이클라우드 온라인 서비스의 데이터를 제공하고 있다. 그러나 이번 사건은 여러 이유에서 과거와는 차이점이 있다.

• 법 집행 기관은 애플에 보안 통제책을 우회할 수 있는 새 소프트웨어를 개발할 것을 요구했다. 더 이상 작동하지 않는 기존 기술을 이용할 수 있게 해달라고 요구한 것이 아니다. FBI는 무차별대입 공격이 가능한 새로운 운영체제를 원하고 있다.

• 전국적으로 감정이 격앙된 테러 사건을 정당성의 근거로 삼고 있다.

• 이번 요청은 '모든 영장 법(All Writs Act)'에 근거를 두고 있다. 그런데 애플이 포함된 이 법안에 관련된 사건 자체가 뉴욕에서 다뤄지고 있는 상황이다. 뉴욕 동부 법원 소속 제임스 오렌스타인 연방 치안 판사가 현재 이 법안을 사건에 적용할 수 있는지 판단하고 있다.

이는 이번 사건이 스마트폰 한 대에 국한되지 않는 이유이기도 하다. 애플은 FBI를 지원할 역량을 보유하고 있지 않다. FBI는 용의자가 이미 사망했지만 여전히 감정이 고조돼 있는 테러 사건을 이용하고 있다. 연방 법원이 이번 요청의 근거를 제시한 법안을 심사 중인 상황이다.

쟁점은 '기업에 고객을 위험에 노출시킬 보안 우회 기술을 개발하도록 요구할 수 있을까?’이다. 기존 툴로 법 집행을 돕는데 그치지 않고 완전히 새로운 툴을 개발하라는 요구다.

FBI 국장은 정부가 아이폰의 백도어를 원한다는 점을 분명히 했다. 아이러니하게도 전 NSA 국장은 여기에 반대하고, 소비자 제품의 강력한 암호화를 지지했다. 애플이 이번 사건에 공개적으로 반대하는 이유는 새로운 우회 기술 요구가 기기에 대한 접근권으로 발전할 수 있기 때문이다. FBI는 필요한 증거를 확보하는 것 이상의 의미를 갖는 전례를 원한다. 특히 이번 사건은 큰 주목을 받고 있는 감정적인 사건이다.

테러 사건 범인 한 명의 아이폰을 넘어서는 전례가 만들어질 수 있는 것이다.


기술적인 세부사항
법원의 판결은 꽤 구체적이다. 딱 한 대의 아이폰에 적용되며, 애플로 하여금 패스코드(짧은 비밀번호)를 잘못 입력한 횟수가 10회를 넘어가면 콘텐츠가 삭제되는 기능을 없애는 새 펌웨어 버전을 개발하도록 요구하고 있다. 또 가능한 빨리 패스코드를 입력하도록 만들 것을 요구한다.

애플은 iOS 8부터 패스코드에서 생성된 키를 이용해 장치를 암호화하고 있다. 여기에 장치마다 다른 하드웨어 키를 결합한다. 애플은 이 키를 우회할 방법을 알지 못한다. 최신 장치의 경우 하드웨어 키가 장치에 내장되어 있다. 또 복구가 불가능하다. 패스코드가 이 장치 키와 결합되며, 이런 방식으로 패스코드 입력 횟수를 제한해 무차별 대입 공격의 속도를 늦춘다.

판결을 살펴보면, FBI는 운영 시스템을 바꿔 10회라는 제한을 없앨 경우 고속으로 무차별대입 공격을 실시할 수 있다고 판단하는 것으로 보인다. 현재는 하드웨어 키 때문에 FBI가 보유한 고성능 컴퓨터에서 장치 이미지를 만들어 공격을 수행할 수 없다고 생각하는 것이다. 4자리 패스코드를 깨는 데는 단 몇 시간이면 된다. 6자리 코드는 수 일 또는 수 주가 소요된다. 6자리를 넘어설 경우 수 개월 또는 수 년이 걸릴 수 있다.

아이폰 '탈옥'을 해 본 사용자들은 잘 알겠지만, DFU(Device Firmware Upgrade) 모드에서 펌웨어를 불러올 수 있다. 아이폰은 DFU 모드에서 USB 케이블을 통해 새 펌웨어 이미지를 수락하게 된다. 아이폰은 펌웨어 이미지를 불러오기 전, 해당 펌웨어에 유효한 애플 서명이 있는지 점검한다. 이 서명 확인 절차 때문에 FBI는 독자적으로 아이폰에 새 소프트웨어를 로딩할 수 없다. 애플이 펌웨어 서명에 사용하는 비밀 키가 없기 때문이다. FBI는 애플이 서명한 새로운 iOS를 아이폰에 설치, 무차별대입 공격의 패스코드 입력 횟수 제한을 없애기 원한다.

이는 몇 가지 질문을 불러온다. Secure Enclave 등 강화된 암호화가 사용된 최신 장치에서도 효과가 있을까? 애플은 어떤 방법으로 장치를 페어링해 펌웨어를 교체할 수 있을까? 해당 테러 범죄자의 컴퓨터를 사용할까? OTA(Over-the-air) 업데이트가 가능할까? 애플은 (Secure Enclave와 상관 없이)모든 장치가 이런 형태의 공격에 취약하다고 설명했다. 그러나 기술적인 방식에 대해서는 구체적인 설명을 거부했다. 개인적으로 처음에는 고개를 갸웃거렸다. 그러나 이유를 들은 이후에는 수긍할 수 있었다.

문제가 되는 이유
법적 판례는 마치 빙하와 같다. 시간이 경과하면서 점점 커지고, 나중에는 어떻게 할 수 없는 상태가 된다. 이렇게 중대한 사례의 경우, 처음 판례가 수립되고 난 이후 다른 사건에 영향을 주면서 점차 커져 나간다. NRA가 작은 총기 규제에도 맞서 싸우는 이유가 여기에 있다. 작은 규제를 두려워해서가 아니라, 이 규제가 커질 것을 두려워하기 때문이다.

암호화 논쟁은 기업에 고객의 보안을 위협할 우회 도구를 만들도록 강제할 수 있는지가 쟁점이다. 이에 대한 대답이 '그렇다'일 경우, 처음부터 운영체제에 이런 도구를 탑재하라는 요구의 초석이 될 수도 있다.

필자는 FBI가 고의적으로 세간의 관심이 높은 자국 내 테러 사건을 선택했다고 생각한다. 보통 사람들은 FBI가 이런 악마 같은 행동을 그만두기를 원한다. 이 개별 사례가 우리의 일상과 권리에 영향을 미치지 않을 가능성도 있다. 지나친 소란일지도 모른다. FBI가 테러리스트의 연락처를 파악하고, 다른 테러 공격을 막을 수도 있지 않은가?

그러나 유념해야 할 사실이 하나 있다. 애플이 이를 마지못해 수용할 경우, 다른 법 집행 기관의 요구가 마구 쏟아져 들어올 것이다. 민사 소송은 어떨까? 이혼 소송이나 양육 소송에서도 이런 요구가 받아들여질 수 있다. 다른 국가에서도 마찬가지다. 이미 중국이나 UAE에서는 블랙베리 등의 휴대폰 제조사가 고객의 보안을 침해하도록 강제하는 명령이 내려진 사례가 있었다.

이런 요청이 증가하면 여기에 사용된 도구가 유출될 것이 분명하다. 보안 전문가인 필자가 장담할 수 있다. 또 범죄자가 그 기법을 악용하면서 보안 수준이 크게 하락할 수 있다. 아이폰 5c 나 6s만의 문제가 아니다. 사망한 테러리스트 또는 마약 범죄자에 관한 문제도 아니다. 애플이 강요 받은 특정 우회 기술에 대한 문제도 아니다.

바로 시민이 보유한 전자기기, 커뮤니케이션과 관련된 개인정보 보호 및 보안에 대한 권리의 문제다. 이 권리가 공격받고 있는 것이다. 사용자들은 도구에 있어 범죄자는 물론이고 정부로부터 스스로를 보호할 수 있는 권리를 가지고 있다. 물론 이런 도구가 최악의 범죄에 잘못 사용될 위험도 있다. 그러나 이는 테러만큼 위험하지는 않지만 흔히 발생하는 온갖 범죄에서 사용자의 디지털 라이프를 보호하고, 언론의 자유, 시민권을 보호하는데 없어서는 안될 도구이기도 하다.

FBI와 법무부는 그 파급과 성공 확률을 극대화할 수 있도록 상황을 유도했다. 그리고 애플은 여기에 맞서 싸우고 있다. 보안 전문가인 필자에게는 이런 애플의 입장을 지지해야 할 의무와 더 강력한 보안을 지지해야 할 책임이 있다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.