Offcanvas

모바일 / 보안 / 애플리케이션

애플의 새 'USB 제한 모드'가 호평 받는 이유

2018.06.18 Lucas Mearian  |  Computerworld
애플이 FBI 같은 수사기관이 포렌식 업체와 손잡고 범죄 수사와 관련된 데이터를 빼내기 위해 아이폰을 해킹할 수 있었던 보안 취약점을 막을 계획이라고 확정 발표했다.



애플은 향후 배포할 iOS 12에서 아이폰이 1시간 동안 잠금 해제 상태일 경우 USB 포트에 대한 액세스를 차단하는 것으로 기본 설정을 변경하기로 했다. 사실 애플은 iOS 11.3 베타 버전에서 'USB 제한 모드(USB Restricted Mode)'로 불리는 이 기능을 도입했지만 iOS 11.3 공식 버전에서는 빠졌다.

애플 자료를 보면, 이는 보안을 향상하는 새로운 기능이다. 최소 2개 포렌식 업체가 USB 포트를 이용해 아이폰을 크랙할 수 있다. FBI 같은 수사기관은 범죄 수사와 관련해 아이폰을 크랙하는데 포렌식 업체의 도움을 받고 있다.

컴퓨터 보안 전문가인 브루스 슈나이어는 “USB 포트 액세스 차단은 FBI의 크랙을 차단하기 위한 것이 아니다. 그 누구도 이런 방식으로 아이폰을 크랙하지 못하도록 만드는 데 목적이 있다. 사용자가 데이터를 암호화하는 이유가 무엇인가? FBI가 아닌 범죄자의 데이터 액세스를 막기 위한 것이 아닌가? USB 포트 액세스 차단은 악당이든 좋은 사람이든 알려진 공격 중 하나에 대한 보안을 강화하는 것이다. 애플이 이런 기능을 도입해 우리 모두가 더 안전해졌다는 것이 중요하다”라고 말했다.

애플도 보도 자료를 통해 이런 보안 변경이 수사기관 때문만은 아니라고 설명했다. 업체는 “우리는 소비자를 해커, 신원(ID) 도용, 개인 데이터 침입으로부터 보호하기 위해 모든 애플 제품의 보안을 꾸준히 강화, 향상하고 있다. 애플은 법 집행 노력을 존중한다. 이런 노력을 방해하기 위해 보안을 강화하지 않는다”라고 설명했다.

아이폰 ‘해킹’하는 사법기관들
지난 2월 한 언론 보도에 따르면, 이스라엘의 기술 업체인 셀러브라이트(Cellebrite)가 iOS 11이 설치된 암호화된 아이폰의 암호를 푸는 방법을 발견하고, 이를 상품화해 전세계의 사법 기관 및 민간 포렌식 업체에 홍보했다. 이를 보도한 포브스(Forbes)가 입수한 경찰의 영장을 보면, 미국 국토안보부(DHS)도 이 기술을 테스트했다. 이후 얼마 지나지 않아 그레이시프트(Grayshift)라는 회사도 어떤 아이폰이든 잠금을 풀 수 있는 저렴한 블랙 박스를 개발했다. 언론 보도에 따르면, 미국의 연방 및 주, 지방 정부 산하 경찰과 연방정부 기관이 이 제품을 실제 구입했다.

뉴욕 타임즈(The New York Times) 보도에 따르면, 지난 해 루이지애나 주 배턴 루지 검찰은 5개 사건에서 아이폰 잠금을 해제하기 위해 셀러브라이트에 많은 돈을 지불했다. 이 중에는 루이지애나 주립 대학의 남학생 클럽 신입생 신고식 중 사망 사건 같이 세상의 이목을 끈 사건도 포함돼 있다. 배턴 루지 검찰청의 검찰총장 힐라 무어는 타임즈와의 인터뷰에서 “애플이 이런 유용한 수사 경로를 차단할 계획을 세운 것에 화가 난다. 애플 고객의 프라이버시를 명분으로 범죄 행위를 보호하는 것이다”라고 맹비난했다.

비영리 디지털 권리 옹호 단체인 EFF(Electronic Frontier Foundation)의 수석 변호사 네이트 카르도조는 “법 집행 기관은 ‘감시에 있어 황금 시대’에 있다. 전례가 없을 정도로 사람의 일상을 엿볼 수 있고, 과거 어느 때보다 데이터를 많이 확보할 수 있다. 따라서 IT 기업은 단 하나의 취약점이라도 장기간 방치해 수백만 명의 무고한 사용자에 대한 보안을 약화해서는 안 된다. ’의무’에 따른 백도어 때문에 보안이 영구적으로 악화하는 일이 있어서도 안 된다"라고 말했다.

애플과 사법기관의 갈등은 2015년 샌 버나디노(San Bernardino) 테러 총격 사건 때 시작됐다. 당시 FBI는 14명을 죽이고 22명을 다치게 한 총격범 사이드 리즈완 파룩이 소유한 아이폰의 데이터에 접근하려 했다. 그러나 애플은 FBI의 아이폰 암호 보안 ‘크랙’ 지원 요청을 거부했다. 당시 국회의원들은 법 집행 및 정부기관이 범죄 조사 때 데이터에 쉽게 액세스 할 수 있도록 애플이 iOS에 백도어를 설치해야 한다고 주장하기도 했다.

또한 법무부는 법원에 애플이 잠긴 장치를 풀도록 명령을 내려 달라고 청원했다. 담당 판사는 법무부의 요청을 승인했지만 양쪽의 의견을 모두 들은 후에 최종 결정을 내리겠다고 말했다. 법원이 양쪽의 의견을 듣기 바로 전 날 정부는 외부기업의 도움으로 아이폰을 크랙할 수 있게 됐다면 청원을 철회했다. 그리고 지난 2월 언론 보도로 이스라엘의 기술 업체인 셀러브라이트가 iOS 11이 설치된 암호화된 아이폰의 암호를 푸는 방법을 발견하고, 이를 상품화 해 전 세계 사법기관 및 민간 업체에 팔고 있다는 사실이 드러났다.

---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

모든 아이폰 사용자를 위한 ‘승리’
카르도조는 “애플은 이번 조치로 아주 중대한 보안 취약점을 없앴다. 이는 모든 아이폰 사용자의 보안에 큰 도움이 될 것이다. 사실 휴대폰의 보안 취약점을 범죄자, 신원 도용자, 기업 스파이, 악의적인 파트너, 해외 정보기관 등을 악용할 수도 있었다”라고 말했다.

셀러브라이트는 웹사이트에서 전세계의 법 집행기관, 군사기관, 정보기관, 기업 고객에게 자신의 기술을 판매하고 있다고 설명했다. 그레이시프트는 고객을 공개하지 않고 있다. 하지만 지난 4월 언론 보도에 따르면, 그레이시프트는 범죄자의 표적이 됐다. 제품 소스코드가 온라인에 유출되었기 때문이다.

슈나이어에 따르면 암호 크랙 기술을 완벽히 보호하기란 불가능하다. 애플 같은 기술 공급업체가 자신의 장치를 안전하게 만들기 위해 할 수 있는 모든 일을 해야 하는 이유도 여기에 있다. 셀러브라이트와 그레이시프트는 정부기관이나 치안기관 등 권한이 있는 사용자에게만 기술을 판매한다고 주장하지만, 정부 중에는 양심적이지 못한 정부도 있을 수 있다.

슈나이어는 “중국 같은 나라에 반체제 세력 공격에 사용하도록 이런 기술을 판매하는 회사가 있을 수 있다. 지구 상에는 도덕적인 회사만 있는 것은 아니다. 실제로 이런 업체들 가운데 상당수는 꽤 의심스러운 정부기관에 기술을 판매한다”라고 말했다. 즉 이런 업체가 거짓말을 할 수도 있고, 사실을 말해도 그것이 중요하지 않을 수 있다.

제이골드어소시에이츠(J. Gold Associates)의 책임 애널리스트 잭 골드에 따르면, 애플은 애플 기기가 세상에서 가장 안전한 장치라는 평판을 갖기 원한다. 그러나 애플의 최근 조치가 추구하는 목적을 달성할 수 있을지는 여전희 미지수다.

골드는 이메일 인터뷰에서 “아이폰 해킹이 더 어려워질 것이다. 그러나 애플은 불가능하다고 주장하지만, 결국 누군가 과거처럼 침입 방법을 찾아낼 것이다. 다시 말해 끝이 없는 ‘전투’다. 기업은 보호 방법을 찾고, 범죄자는 이를 뚫을 방법을 찾는다. 이런 과정이 계속 반복된다”라고 말했다.

사법기관의 모바일 장치 보안 크랙 시도는 안드로이드 기기에도 직접적인 위험이다. 안드로이드 스마트폰 대부분은 애플 수준의 해킹이나 크랙 방지 보안 기술을 지원하지 않는다. 볼트(vaults)를 지원하는 새 구글 워크 비즈니스 기기, 보안 장벽이 추가된 삼성 녹스(Knox) 기기 정도가 예외일 '가능성'이 있다. 골드는 “애플 사용자 대부분은 아이폰 해킹을 막는 이번 조치를 높게 평가할 것이다”라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.