iOS / 디지털 디바이스 / 보안

아이폰 암호를 뚫는 그레이키에 대해 알아야 할 것과 스스로를 보호하는 방법

Glenn Fleishman | Macworld 2018.04.20
경찰과 법 집행기관들이 큰돈을 들이지 않고 단 몇 분 만에 아이폰과 아이패드 암호를 해독할 수 있는 크랙 장치를 확보했다. 지난 3월 포브스가 가장 먼저 보도한 그레이키(GrayKey)는 그레이시프트(Grayshift)라는 회사가 개발한 턴키 방식의 iOS 암호 크랙 장치다.

3월 중순 맬웨어바이츠(Malwarebytes)가 이 장치를 깊이 ‘탐구’한 후, 4자리 암호는 몇 시간, 6자리 암호는 며칠 만에 크랙이 가능하다고 밝혔다.

마더보드(Motherboard)는 며칠 전 이에 대해 더 자세히 분석한 결과를 공개했다. 실제 그레이키를 사용해서 그 방법을 파악한 것이다. 그리고 지난 월요일 보안 연구원인 매튜 그린은 트위터에 크랙 시간이 역대 가장 빠르다고 주장하며, 이 문제가 다시 큰 관심을 끌었다. 6자리 암호를 알려진 것보다 더 빨리 해독할 수 있다는 주장이었기 때문이다.

그레이키에는 2개의 라이트닝 플러그가 장착되어 있다. 이를 이용해 약 2분간 iOS 장치를 연결하면 크랙이 시작된다. 현재 이 회사가 애플이 몇 년 전부터 도입해 이용하고 있는 암호 재입력 횟수 제한, 일정 시간이 경과해야 재입력을 할 수 있는 것 등 보안을 위한 기능들을 무력화하기 위해 이용한 익스플로잇이 무엇인지는 알려지지 않았다. 애플은 과거 보안 회피나 iOS 탈옥 때처럼 다각도로 익스플로잇을 찾아 이를 패치하려고 노력하고 있을 것이다.

그레이키

법 집행대상이 되는 범죄, 민사, 정치적 행위를 하지 않기 때문에 그레이키를 신경 쓸 필요가 없다고 생각할지 모르겠다. 사용하는 애플 디바이스가 ‘소환’될 일이 없기 때문이다. 또, 미국을 비롯한 많은 국가에서 법원은 장치 잠금에 필요한 정보 제공을 강제 집행할 수 있다. 이를 거부할 경우 벌금이나 구금형에 처해지는데, 지금까지 꽤 효과적으로 활용되고 있는 방법이다.

그러나 그레이키가 존재한다는 것은 다른 사람도 유사한 경로를 발견했을 수도 있음을 시사한다. 또, 애플이 이런 취약점을 패치하지 못한 상태라면 취약한 장치나 범죄자나 범죄 집단의 손에 들어가 과거에는 불가능했던 방식과 용도로 악용될 수 있다는 의미도 된다.

이런 위험으로부터 스스로를 더 튼튼히 보호하려면 어떻게 해야 할까? 더 긴 암호, 길고 복잡한 암호를 사용해야 한다. 또, ‘내 아이폰/아이패드 찾기’ 기능을 활성화시켜 사용한다.

더 복잡한 암호 사용하기
애플은 특정 하드웨어와 스마트폰 크랙 소프트웨어로 꽤 빠른 시간에 4자리 간단한 암호를 해독할 수도 있다는 점을 인식하고, iOS 9부터 6자리 암호를 사용하도록 했다. 그러나 구형 장치의 경우 6자리 암호를 사용할 수 없다. 또 처음에 긴 암호를 설정하고, 나중에 4자리로 바꿀 수도 있다.

그런데 이제 그레이키를 이용해 쉽게 6자리 암호를 크랙할 수 있음이 드러났다. 6자리 암호가 더 이상 안전하지 않다는 의미다. 7자리 암호와 8자리 암호 해독에는 각각 며칠에서 몇 주, 몇 주에서 몇 달이 소요되는 것으로 알려져 있다.

보안 연구원인 그린은 더 긴 암호를 사용하라고 조언한다. 이런 긴 번호도 전화번호처럼 외워서 사용할 수 있다. 물론 전화번호와 유사한 암호를 사용하면 안 된다. 그린에 따르면, 10자리 간단한 암호의 경우 온디바이스 도구를 사용했을 때 평균 10년을 투자해야 암호를 해독할 수 있다.

필자는 다이스웨어(Diceware) 같은 방법을 사용할 것을 권장한다. 암호 생성기로 무차별 암호 대입을 무력화할 수 있을 만큼 길이가 길고, 쉽게 조합되지 않은 단어들을 생성 및 교체해서 사용하는 방법이다. 예를 들면, ‘departed-refute-armored-clock-stinky’ 같은 단어 조합형 암호를 사용하라는 이야기다. 다이스웨어 사이트의 암호 해독 시간은 일반적인 오프라인 암호 해독 시간이다. 그레이키 같은 디바이스형 암호 해독보다 더 많은 시간이 소요된다.

단어로 구성된 긴 암호문을 사용하는 것이 좋다고 권장하는 보안 전문가들이 많다. 더 쉽게 기억할 수 있고, (빈도 분석과 다른 단어 조합 예측기를 사용하는 크랙 도구를 포함) 사전 기반 크랙 도구로 단어 조합이 쉽지 않기 때문이다.

물론 입력이 번거롭다. 예를 들면, 필자의 경우 20자의 문자와 문자를 구분하는 몇몇 구두점으로 구성된 암호를 사용한다. 그러나 기억하기 쉽고 강력하다는 장점이 있다. 원패스워드(1Password)의 암호 생성 기능을 이용해 암호를 생성하고 있다. 다른 수많은 암호 ‘금고’와 도구들도 단어로 구성된 긴 암호 생성을 지원한다. 자주 사용하는 구나 단어에 숫자와 구두점 몇 개를 추가한 암호를 사용하지 말아야 한다.

그레이키의 작동 방식을 감안했을 때, 아주 큰 사전을 이용한 더 정교한 공격은 불가능하다. 도구를 iOS 장치에서 실행시켜야 하기 때문이다. 물론 앞으로 바뀔 가능성은 있다.

iOS의 암호 설정 방법
다음은 더 긴 암호, 단어와 구두점으로 구성된 암호를 설정하는 방법이다.



1. 설정 앱을 열어 ‘Touch ID 및 암호’ 혹은 ‘Face ID 및 암호’를 탭한다.

2. 현재 사용하고 있는 암호를 입력한다.

3. ‘암호 변경’을 탭한다.

4. ‘암호 옵션’을 탭한다.

5. 더 긴 숫자로 구성된 암호를 만드려면 ‘사용자 지정 숫자 코드’를, 숫자와 문자로 구성된 암호를 만들려면 ‘사용자 지정 알파벳 숫자 코드’를 탭한다.

6. 새 암호를 입력한 후 확인을 탭한다.

애플은 2년 전, 기존부터 요구했던 암호 입력과 관련된 요구 사항에 터치 ID 만료 기한 기능을 추가했다. 디바이스를 다시 시작할 때를 포함, 6일 이상 암호를 입력하지 않았다면, 그리고 8시간 이상 터치 ID로 전화기의 잠금을 풀지 않았다면 암호를 입력하라는 창이 표시된다. 대부분의 살마들은 주로 아침에 이 요구를 보게 될 것이다.

내 아이폰/아이패드 찾기 켜기
애플은 iOS 7에서 ‘내 아이폰/아이패드 찾기’와 아이클라우드 계정을 연결하는 활성화 잠금 기능을 도입했다. iOS 디바이스를 삭제한 경우에도 내 아이폰 찾기가 켜져 있으면, 아이클라우드 계정 암호에 대한 액세스 없이는 이를 다시 사용할 수 없다.

휴대폰 암호가 해독될 경우 큰 위험이 초래된다고 생각할지 모르겠다. 디바이스의 모든 것에 액세스할 수 있기 때문이다. 그러나 내 아이폰 찾기는 2가지 보호책을 제공한다.

첫째, 내 아이폰 찾기로 디바이스 속 데이터를 제거할 수 있다. 해당 iOS 디바이스가 인터넷에 연결되어 있다면, 즉시 또는 나중에 온라인에 연결될 때 디바이스 내용이 삭제된다. 그레이키는 아마 크랙 후 디바이스가 인터넷에 연결되는 것을 차단하는 방법을 사용하고 있을 것이다. 그러나 이런 방법은 디바이스를 판매할 의도를 갖고 있는 사람에겐 무용지물이고, 또 실수를 할 수도 있다.

둘째, 활성화 잠금 기능이다. 아이폰이나 아이패드를 삭제한 경우에도 다시 복구해서 판매할 수 없도록 만드는 기능이다. 물론, 이 경우에도 다른 사람이 여전히 내 디바이스를 갖고 있는 상태다. 그러니 별 의미가 없는 방법이라고 생각할지 모르겠다. 그렇지만 분명 도난 방지 효과가 있다. 범죄자나 범죄 집단이 그레이키 같은 장치를 이용해 암호를 해독해도 ‘부당 이득’을 올릴 수 없기 때문이다. 범죄자나 범죄 집단은 이 사실을 떠올릴 것이다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.