iOS / 보안

"수사 위해 아이폰 잠금 해제하라" 다시금 불거진 미 법무부와 애플 간 알력 다툼

Lucas Mearian  | Computerworld 2020.01.16
애플이 지난 달 미국 플로리다 펜사콜라 해군 항공기지에서 발생한 총기난사 사건에서 테러 용의자가 사용했던 아이폰 2대의 잠금 해제를 돕지 않겠다며, 윌리엄 바 미국법무장관의 요청을 거절했다.

바 장관은 21세의 모하메드 새에드 알샴라니가 군인 3명을 사살하고 공격에 대응하는 군보안관 대리 2명을 포함해 여러 명에게 부상을 입혔다고 말했다. 알샴라니는 사우디아라비아 공군 소속이자 기지의 항공학교 위탁 교육생으로 현장에서 경찰의 총에 맞아 숨졌다.

이번 사건은 개인정보보호를 보호하려는 애플과 상황에 따라 애플을 움직이려는 미국 정부의 움직임을 보여주는 대립이다. 현재 조사에 대한 논쟁 외에도, 기본적인 애플과 미 정부의 입장 차이는 개인 기기 내 기업 데이터의 안전에도 영향을 미친다. 

전자개인정보센터(Electronic Privacy Information Center, EPIC)의 고문 변호사인 앨런 버틀러는 정부가 애플에게 아이폰 보안 해제를 강요한다면 기업 IT 관리자는 곤경에 처하게 될 것이라고 말했다. 대부분의 직원은 “BYOD(Bring Your Own Device)” 정책에 따라 스마트폰이나 회사 기기를 사용해 업무를 수행하고 통신이든 데이터든 민감한 정보를 전송하기 때문이다. 

버틀러는 “기업의 스마트폰 내 데이터는 대부분 기밀 혹은 영업 비밀이거나, 국제무기거래규정(ITAR, International Traffic in Arms Regulations)에 의해 보호돼야 하는 민감한 정보일 수 있다. 따라서 보호해야할 법적 의무가 있다. 배포하는 하드웨어가 안전하다는 보장도 필요하다. 정부가 기업에게 하드웨어나 소프트웨어의 보안에 결함을 도입하라고 명령하면, 기업 데이터를 손상시킬 수 있다”고 지적했다.

애플은 트위터에 올린 성명에서 당국에 알샴라니의 핸드폰 데이터를 백업하는 클라우드 서비스에 접근을 지원했다고 말하며, 수사에 “실질적인 협조”를 하지 않았다는 바 장관의 주장에 이의를 제기했다. 

애플은 “공격 이후 정부의 많은 요청에 대해 시의적절하고 철저한 대응을 해왔으며, 현재도 하고 있는 중이다. 애플은 FBI가 12월 6일에 처음으로 요청한 지 몇 시간 내에, 수사와 관련된 매우 다양한 정보를 전달했다. 12월 7일부터 14일까지 6건의 추가 법적 요청을 받았으며 여러 계정에 대한 아이클라우드 백업, 계정 정보, 거래 정보를 제공했다”고 반박했다. 

그러나 바 장관은 향후 암호화된 기기에 법 집행의 접근을 가능하게 하기 위해 더 영구적인 접근 방법인 백도어를 iOS 소프트웨어에 설치하기를 원하는 것으로 보인다. 바는 월요일 기자회견에서 “이 사건은 정부가 공공의 안전을 위해 디지털적 증거에 접근할 수 있는 것이 왜 중요한지를 완벽하게 보여준다”고 강조했다. 또, 애플과 다른 IT 업체가 이 사건과 향후 수사에 도움이 될 영구적인 해결책을 찾아 달라고 요청했다. 

애플은 기존의 입장과 변함없이 “선의의 목적만을 위한 백도어는 없다고 항상 주장해왔다. 국가 보안과 고객 데이터 보안을 위협하는 사람도 백도어를 악용할 수 있다. 현재 법 집행기관은 그 어느 때보다도 많은 데이터에 접근할 수 있기 때문에, 미 국민은 암호화를 약화시키는 것과 수사를 해결하는 것 중에서 선택할 필요가 없다. 애플은 국가와 고객 데이터를 보호하기 위해서는 암호화가 필수적이라고 생각한다”고 강조했다. 

비영리 디지털 권리 옹호 단체인 전자프런티어재단(EEF)의 부이사장 커트 옵살은 “애플이 사용자에게 강력한 보안을 제공하는 것이 옳다. 스마트폰의 잠금을 해제하려면 암호나 생체인증이 필요하다”고 주장했다. 

옵살은 “법무부 장관은 애플에 보안을 깨도록 폰을 재설계하라는 요청을 하며 미국인을 포함해 전 세계 수백만 명의 무고한 사용자를 위험에 빠뜨리고 있다. 이는 수사와 맞바꾸기 위해 보안 정책을 거의 폐기하라는 요청”이라고 비난했다. 

러시아 포렌식 기술 업체인 엘콤소프트(ElcomSoft)의 CEO 블라디미르 카탈로프는 바 장관의 요청이 비현실적이라고 말했다. 파일 기반 암호화 및 보안 구역(secure enclave) 기술 때문에라도 애플은 아이폰 잠금을 기술적으로 해제할 수 없기 때문이다. 아이폰은 iOS와 별도로 부팅되며 아이폰 운영체제에서 직접 액세스 할 수 없는 자체 마이크로커널을 실행한다. 

카탈로프는 “물론 백도어를 추가하고, 에스크로 키 등을 구현하는 것은 기술적으로 가능하다. 그러나 우선, 기술을 합법적으로 규제할 수 없다. 보안 통신 채널과 보안 데이터 저장 문제로 여전히 법 집행 기관의 접근 문제는 해결되지 않을 것이다. 어떤 정부도 누구에게든 암호화를 사용하지 말라고 하거나, 인증된 것만을 사용하도록 강요할 수 없다. 둘째, 그런 백도어는 언제든 범죄자가 악용할 수 있다. 그 결과는 재앙이 될 수 있다”고 경고했다. 

그리고 “애플이 스마트폰을 마음대로 잠금해제하는 방법을 추가한다면, 모든 아이폰에 대해 누구든 공격할 수 있는 가능성을 열어놓게 될 것”이라고 덧붙였다. 

미 법무부의 이번 요청은 법 집행과 애플 간 계속되는 다툼의 연장선상에 있다.

2016년 법무부는 연방 법원의 명령에 따라 샌버나디노 테러 용의자인 시드 리즈완 파룩의 아이폰 잠금 해제를 애플에 요구했다. 당시 애플 CEO 팀 쿡은 더 이상 FBI를 지원할 수 없고, 법원의 명령을 정당화하는 법을 활용하는 것은 “전례 없는 일”이라며 다시금 아이폰의 잠금 해제를 거부했다. 

2018 사법 당국자가 획득한 블랙박스 기술을 사용해 어떤 아이폰도 잠금해제할 수 있다고 주장한 2개의 업체가 있다. 이들은 출입국 관리 및 관세 집행기관(ICE)과 미국 첩보기관과의 계약을 통해 실제로 아이폰의 잠금을 풀었다.

각각 애틀랜타와 이스라엘에 본사를 둔 그레이시프트(Grayshift)와 셀레브라이트(Cellebrite)는 iOS 기기에서 무차별 암호대입 공격과 전체 파일 시스템 추출을 통해 아이폰 암호 보안을 무력화할 수 있으며, 많은 고사양 안드로이드 기기에서도 물리적인 추출 또는 전체 파일 시스템(파일 기반 암호화) 추출이 가능하다고 주장했다. 

EPIC가 제출한 정보공개법(FOIA) 요청에 의해 입수된 문서에 의하면, 셀레브라이트의 UFED(Universal Forensic Extraction Device) 클라우드 분석툴은 전화기의 데이터를 잠금해제, 암호해독, 추출할 수 있다고 한다. 여기에는 실시간 모바일 데이터, 통화기록, 연락처, 캘린더, SMS, MMS, 미디어 파일, 앱 데이터, 채팅, 비밀번호가 포함된다. 그레이시프트의 그레이키(GrayKey) 블랙박스는 사용자가 4자리 비밀번호를 사용한 경우 약 2시간 내에, 6자리 비밀번호인 경우 약 3일 남짓이면 아이폰을 잠금해제 할 수 있다. 애플은 이후 그레이시프트의 그레이키 아이폰 해킹 툴을 차단할 방법을 찾았다고 발표한 바 있다. editor@itworld.co.kr 
 Tags 백도어

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.