2016.11.18

애플, 아이클라우드에 아이폰 통화 내역 저장…동의와 통제 없이 보안 위협 야기

Ian Paul | Macworld
최신 스마트폰은 모든 데이터를 클라우드에 쉽게 백업할 수 있으므로 디바이스 간의 동기화를 유지하거나 새 스마트폰으로 데이터를 다운로드할 수 있다. 하지만 이런 기능은 좋은 않은 결과를 초래할 수도 있는데, 특히 사용자가 명확하게 인지하지 못한 채로 민감한 정보를 동기화할 때 위험성은 커진다.

스마트폰 크래킹 소프트웨어 개발로 잘 알려진 러시아 업체 엘콤소프트(Elcomsoft)는 최근 자사의 폰 브레이커(Phone Braker) 소프트웨어에 새로운 기능을 추가했는데, 엘콤소프트에 따르면 이 기능으로 아이클라우드를 통해 아이폰 사용자의 통화 내역 데이터를 회수할 수 있다. 공격자가 아이클라우드 계정을 뚫기 위해서는 사용자의 로그인 데이터 또는 디바이스 중 하나의 로그인 토큰이 필요하다.



애플은 아이클라우드 드라이브를 사용하는 사용자의 통화 내역을 최대 4개월 간 저장한다는 것이 엘콤소프트의 설명이다. 아이클라우드에 저장되는 통화 내역에는 전화를 걸거나 받은 전화번호, 날짜, 시간, 통화 시간 등이 저장된다. 받지 못한 통화 데이터 역시 동기화된다. iOS 10에서는 동기화되는 데이터에 애플의 새로운 콜킷(CallKit) 프레임워크를 사용하는 VoIP 앱의 통화 데이터도 포함된다.

엘콤소프트의 발표에 대해 애플은 고객 편의를 위해 통화 내역 동기화를 지원한다고 밝혔다.

애플이 통화 기록을 동기화하는 것은 그리 큰 문제가 아니다. 문제가 되는 것은 어떤 식으로 구현했느냐에 있다. 통화 내역 동기화는 필요한 사람에게는 매우 편리한 기능으로, 애플의 의도 역시 마찬가지일 것이다. 하지만 이런 기능이 필요없거나 예상도 하지 못하는 사용자에게는 큰 문제가 된다.

우선 이 통화 내역은 NSA가 그토록 관심을 두는 바로 그 정보이다. 더구나 4개월 간의 데이터는 통신업체들이 통상 저장하는 정보보다 2배나 많다. 프라이버시에 민감한 사용자라면 이런 데이터를 사법기관이 쉽게 액세스할 수 있도록 두지 않을 것이다.

두 번째 문제는 통화 내역 동기화 기능을 켜거나 끄는 명시적인 방법이 없다는 것이다. 아이클라우드 드라이브를 차단하면 되겠지만, 이 경우 다른 편의 기능까지 모두 이용할 수 없게 된다.

애플은 또한 이 정보를 공개하는 데도 좋지 않은 방법을 썼다. 이 기능은 지난 5월 PDF로 발표된 애플의 보안 백서에 언급되어 있는데, 이 백서를 읽은 사용자는 몇 명 없을 것이다.

그렇다면 왜 이 기능에 대한 언급이 애플 지원 페이지의 아이클라우드 보안 및 프라이버시 개요에는 없는 것일까? 이 페이지에는 아이클라우드로 보내지는 다른 모든 민감한 데이터 목록과 보호 방법을 설명하고 있지만, 현재까지 통화 내역에 관한 내용은 없다. 백업된 아이클라우드 데이터에 대한 다른 지원 페이지에도 이에 관한 설명은 없다. 이들 페이지는 각각 9월 중순, 그리고 10월 말에 최종 업데이트된 것이다.

과연 브라우저의 북마크와 벨소리가 아이클라우드로 동기화되는 것과 4개월 분의 통화 내역이 저장되는 것 중 어떤 것이 더 중요한지 사용자 스스로에게 질문해야 하는 대목이다.

엘콤소프트는 이 기능이 2015년 3월 출시된 iOS 8.2부터 있었다고 밝혔다. 다양한 애플 관련 포럼을 검색해 보면, 사람들이 이때부터 여러 디바이스 간의 통화 내역 동기화에 대해 불만을 이야기하기 시작한 것을 볼 수 있다.

사실 해법은 간단하다. 애플은 아이클라우드의 동기화 기능과 관련해 좀 더 세밀한 제어 기능을 제공해야 한다. 물론 사용자들이 너무나 많은 선택 사항 때문에 피로감을 느낄 수도 있겠지만, 이는 애플이 사용자 프라이버시를 중요하게 생각한다면, 감수해야 할 위험이다.

현재로서는 사용자가 취할 수 있는 방법이 많지 않다. 우선 프라이버시를 중요하게 생각하는 사용자라면 아이클라우드 드라이브를 차단하면 된다. 이 때 디바이스의 통화 내역을 먼저 삭제하는 것이 좋다. 하지만 그럼에도 애플 시스템에는 한동안 백업 정보가 남아 있을 가능성이 크다.

이중 인증을 이용하는 것도 방법이다. 이 방법은 해커가 아이클라우드에 저장된 데이터에 액세스하기 어렵게 만든다. 하지만 이중 인증은 사법기관이 합법적인 방법으로 애플로부터 아이클라우드에 저장된 데이터를 가져가는 것을 막지는 못한다.

한편 엘콤소프트에 따르면, 구글 역시 안드로이드 폰 사용자가 구글 플레이 서비스에 로그인하면 안드로이드 6.0 이상 디바이스의 통화 내역 데이터를 저장한다.  editor@itworld.co.kr


2016.11.18

애플, 아이클라우드에 아이폰 통화 내역 저장…동의와 통제 없이 보안 위협 야기

Ian Paul | Macworld
최신 스마트폰은 모든 데이터를 클라우드에 쉽게 백업할 수 있으므로 디바이스 간의 동기화를 유지하거나 새 스마트폰으로 데이터를 다운로드할 수 있다. 하지만 이런 기능은 좋은 않은 결과를 초래할 수도 있는데, 특히 사용자가 명확하게 인지하지 못한 채로 민감한 정보를 동기화할 때 위험성은 커진다.

스마트폰 크래킹 소프트웨어 개발로 잘 알려진 러시아 업체 엘콤소프트(Elcomsoft)는 최근 자사의 폰 브레이커(Phone Braker) 소프트웨어에 새로운 기능을 추가했는데, 엘콤소프트에 따르면 이 기능으로 아이클라우드를 통해 아이폰 사용자의 통화 내역 데이터를 회수할 수 있다. 공격자가 아이클라우드 계정을 뚫기 위해서는 사용자의 로그인 데이터 또는 디바이스 중 하나의 로그인 토큰이 필요하다.



애플은 아이클라우드 드라이브를 사용하는 사용자의 통화 내역을 최대 4개월 간 저장한다는 것이 엘콤소프트의 설명이다. 아이클라우드에 저장되는 통화 내역에는 전화를 걸거나 받은 전화번호, 날짜, 시간, 통화 시간 등이 저장된다. 받지 못한 통화 데이터 역시 동기화된다. iOS 10에서는 동기화되는 데이터에 애플의 새로운 콜킷(CallKit) 프레임워크를 사용하는 VoIP 앱의 통화 데이터도 포함된다.

엘콤소프트의 발표에 대해 애플은 고객 편의를 위해 통화 내역 동기화를 지원한다고 밝혔다.

애플이 통화 기록을 동기화하는 것은 그리 큰 문제가 아니다. 문제가 되는 것은 어떤 식으로 구현했느냐에 있다. 통화 내역 동기화는 필요한 사람에게는 매우 편리한 기능으로, 애플의 의도 역시 마찬가지일 것이다. 하지만 이런 기능이 필요없거나 예상도 하지 못하는 사용자에게는 큰 문제가 된다.

우선 이 통화 내역은 NSA가 그토록 관심을 두는 바로 그 정보이다. 더구나 4개월 간의 데이터는 통신업체들이 통상 저장하는 정보보다 2배나 많다. 프라이버시에 민감한 사용자라면 이런 데이터를 사법기관이 쉽게 액세스할 수 있도록 두지 않을 것이다.

두 번째 문제는 통화 내역 동기화 기능을 켜거나 끄는 명시적인 방법이 없다는 것이다. 아이클라우드 드라이브를 차단하면 되겠지만, 이 경우 다른 편의 기능까지 모두 이용할 수 없게 된다.

애플은 또한 이 정보를 공개하는 데도 좋지 않은 방법을 썼다. 이 기능은 지난 5월 PDF로 발표된 애플의 보안 백서에 언급되어 있는데, 이 백서를 읽은 사용자는 몇 명 없을 것이다.

그렇다면 왜 이 기능에 대한 언급이 애플 지원 페이지의 아이클라우드 보안 및 프라이버시 개요에는 없는 것일까? 이 페이지에는 아이클라우드로 보내지는 다른 모든 민감한 데이터 목록과 보호 방법을 설명하고 있지만, 현재까지 통화 내역에 관한 내용은 없다. 백업된 아이클라우드 데이터에 대한 다른 지원 페이지에도 이에 관한 설명은 없다. 이들 페이지는 각각 9월 중순, 그리고 10월 말에 최종 업데이트된 것이다.

과연 브라우저의 북마크와 벨소리가 아이클라우드로 동기화되는 것과 4개월 분의 통화 내역이 저장되는 것 중 어떤 것이 더 중요한지 사용자 스스로에게 질문해야 하는 대목이다.

엘콤소프트는 이 기능이 2015년 3월 출시된 iOS 8.2부터 있었다고 밝혔다. 다양한 애플 관련 포럼을 검색해 보면, 사람들이 이때부터 여러 디바이스 간의 통화 내역 동기화에 대해 불만을 이야기하기 시작한 것을 볼 수 있다.

사실 해법은 간단하다. 애플은 아이클라우드의 동기화 기능과 관련해 좀 더 세밀한 제어 기능을 제공해야 한다. 물론 사용자들이 너무나 많은 선택 사항 때문에 피로감을 느낄 수도 있겠지만, 이는 애플이 사용자 프라이버시를 중요하게 생각한다면, 감수해야 할 위험이다.

현재로서는 사용자가 취할 수 있는 방법이 많지 않다. 우선 프라이버시를 중요하게 생각하는 사용자라면 아이클라우드 드라이브를 차단하면 된다. 이 때 디바이스의 통화 내역을 먼저 삭제하는 것이 좋다. 하지만 그럼에도 애플 시스템에는 한동안 백업 정보가 남아 있을 가능성이 크다.

이중 인증을 이용하는 것도 방법이다. 이 방법은 해커가 아이클라우드에 저장된 데이터에 액세스하기 어렵게 만든다. 하지만 이중 인증은 사법기관이 합법적인 방법으로 애플로부터 아이클라우드에 저장된 데이터를 가져가는 것을 막지는 못한다.

한편 엘콤소프트에 따르면, 구글 역시 안드로이드 폰 사용자가 구글 플레이 서비스에 로그인하면 안드로이드 6.0 이상 디바이스의 통화 내역 데이터를 저장한다.  editor@itworld.co.kr


X