“애플의 탐욕 vs. 보안 강화” MFi 인증 USB-C 케이블 논란

애플이 올해 출시되는 신형 아이폰부터 기존 라이트닝 대신 USB-C 포트를 사용할 것으로 알려진 가운데, 저가 USB-C 케이블에 제약을 둘 가능성이 제기됐다. 애플 인증이 필수가 되면 케이블 가격이 오르게 되는데, 애플이 왜 이런 결정을 했는지 몇 가지 더 살펴볼 점도 있다.


 

돈 독이 오른 애플?

보도에 따르면, 애플은 올해 나오는 아이폰 15부터 라이트닝 포트 대신 USB-C 케이블을 사용하는데, 대신 이들 제품에 MFi(Made For iPhone) 인증을 적용할 예정이다. 이렇게 하면 사용자는 아이폰과 완벽하게 호환되는 케이블을 구매해 쓸 수 있다. 반면 MFi 인증을 받지 않은 USB-C 케이블에는 성능 저하가 있을 수 있다. 충전 속도가 느리거나 아예 안될 수 있고, 데이터 전송도 제한될 수 있다.

애플에 비판적인 사람들을 이를 '애플의 탐욕'이라고 지적한다. MFi 인증을 받으려면 별도의 라이선스 비를 내야 하기 때문이다. 이는 곧 아이폰 사용자가 아무 데서나 값싼 USB-C 케이블을 구매할 수 없고, MFi 인증 케이블 가격은 그만큼 높아진다는 의미다.

하지만 필자는 이를 오직 수익을 위한 결정이라고 생각하지 않는다. 인증을 통해 아이폰과 그 속에 저장된 모든 것을 더 안전하게 보호할 수 있기 때문이다. 실제로 공격자가 USB-C를 이용해 목표했던 시스템을 해킹하는 사례가 종종 발생했다. 공급망 보안에 대한 애플의 집착을 고려하면, 케이블 문제는 해결해야 할 중요한 숙제다. 애플은 중소중견기업을 위한 무료 보안 툴을 만드는 CRI(Cyber Readiness Institute)의 공동 의장사이기도 하다.

USB-C 케이블에 MFi 인증을 도입하는 것은 EU의 사이버 복원법(Cyber Resilience Act)을 준수하기 위한 업계 공동의 노력이기도 하다. 이 법안은 모든 제조사가 판매하기에 앞서 모든 전자제품 생산 공정의 보안을 강화하도록 강제하는 내용이 포함돼 있다.

실제로 USB-C의 가장 큰 단점은 케이블 자체가 보안에 취약하고 기기에서 데이터를 빼돌리는 데 악용될 수 있다는 것이다. 기기를 훔쳐내기만 하면 물리적으로 케이블로 연결해 해킹할 수 있다. 몇몇 악의적인 케이블에는 GPS 추적기가 포함돼 있다. 전화를 걸게 하고 사용자 이름과 암호는 물론 연결된 기기의 데이터까지 빼낸다. 이런 케이블에 연결된 기기는 방대한 기업 네트워크에 침입하는 출발점이 된다. USB를 이용해 기기를 해킹하는 방법은 '문자 그대로' 수십 가지다.
 

보안이 취약해질 때

흥미로운 것은 케이블을 이용한 공격을 처음 활용한 것이 국가 정보기관이었다는 사실이다. 미국의 경우 NSA(National Security Agency)가 2008년 첫 '의심스러운' USB 케이블을 만들었다. 코드명 '늪살모사(Cottonmouth)'로 알려진 이 케이블은 50개 묶음 1000달러에 판매됐다. 오늘날 온라인에서 흔히 볼 수 있는 저가 케이블 가격과 비슷하다.

물론 USB 표준 자체는 시간이 지남에 따라 더 안전하게 발전하고 있고 오늘날에는 더 많은 사람이 이런 보안 위협에 경계심을 가지고 있다. 그럼에도 디지털 기술의 역사를 보면 기존에 국가만 사용하던 백도어가 점점 확산해 흔한 10대 해커가 침대에 누워 쓰는 기술로 변질되고 했다.

일례로 2022년 초에는 핵심 인프라 관리 업체를 겨냥한 배드USB(BadUSB) 공격이 다시 확산했다. 악성코드가 담긴 USB 드라이브를 업체 엔드 포인트에 꽂도록 만드는 것이 목표였다. 또 다른 취약점은 USB-C AP다. 만약 사용자가 공항에 탑승 전 머무는 동안 AP에 연결해서 인터넷을 쓰는데 해커가 아이폰이 연결된 AP의 USB-C 슬롯을 제어할 수 있다면 어떻게 될까? 사용자가 비행기에서 내리기 전에 해킹 피해가 발생할 수도 있다.
 

USB-C와 인증

컴퓨터가 이런 공격에 취약한 이유는 기본적으로 USB-C에 강제적인 인증 시스템이 없기 때문이다. 애플 외에도 마이크로소프트, 인텔, HP 등이 참여한 USB-IF(USB Implementer’s Forum)가 바로 이 역할을 하고 있다. USB-C 충전기와 케이블, 기기, 전력원에 대한 자체적인 인증 프로토콜을 제공하는데, 이 프로토콜이 낯선 케이블을 감지해 인증된 기기인지를 검증한다. 보안에 많은 신경을 써 온 애플은 이미 USB-C의 위험성을 경고한 바 있다. 이는 곧 USB-C 인증 표준에 대한 필요성을 강조하는 것이기도 했다. 

흥미로운 것은 USB-IF가 자체 인증을 내놓았다는 것이다. USB-IF는 자체 인증을 공개하면서 보도자료를 통해 "USB-IF의 USB 타입 C 인증을 활용하면 호스트 시스템을 안전하지 않은 USB 충전기로부터 보호할 수 있다. USB 연결을 악용하려는 USB 기기의 의심스러운 펌웨어와 하드웨어의 위험도 줄일 수 있다"라고 설명했다. 당시 일부 보안 전문가는 USB-IF 인증이 제조사가 '인증한' USB-C 기기만 구매하도록 사용자를 강제하는 데 악용될 것이라고 지적했다. 하지만 결과적으로 MFi와 USB-IF는 같다. 인증된 USB-C 기기만 사용하도록 유도하는 것이고, 바로 이것이 애플이 MFi를 통해 실현하려 하는 것이다. 

정리하면, USB 케이블이 국가 핵심 인프라에 대한 공격에 악용될 수 있음을 고려하면 개인 혹은 직원의 아이폰에 연결하는 USB-C 기기를 통해 사용자의 디지털 정보가 빠져 나가지 못하도록 하는 것은 매우 중요하다. 설사 몇 달러를 더 써야 한다고 해도 말이다.
editor@itworld.co.kr