보안

“아이폰에 저장된 비밀번호, 6분만에 털린다”

Martyn Williams | IDG News Service 2011.02.11

독일의 연구원들이 잠긴 아이폰에 저장된 비밀번호를 6분 만에 밝혀낼 수 있다고 주장했다.

 

아이폰을 가지고 있으면 가능한 이 공격은 애플의 비밀번호 관리 시스템인 키체인(keychain)을 노린 것이다. 프라운호퍼 SIT(Secure Information Technology) 연구원들은 아이폰이나 아이패드를 잃어버리거나 도난 당하면, 아이폰이 잠겨있어도 내장된 네트워크와 회사 정보 시스템에 액세스 하기 위한 비밀번호가 드러날 수 있다고 설명했다.

 

이것은 기기가 잠겨있어도 대부분의 iOS 파일 시스템에 엑세스할 수 있도록 하는 익스플로잇(exploits)을 이용한 것이다.

 

동영상 시연에서 연구원들은 먼저 현존하는 소프트웨어 툴을 이용해서 아이폰을 제일브레이크(jailbreak)했다. 그 후에 소프트웨어가 아이폰에서 구동되도록 하는 SSH 서버를 설치했다.

 

세 번째 단계는 키체인 액세스 스크립트를 아이폰에 복사하는 것이다. 이 스크립트는 이미 아이폰에 있는 시스템 기능을 이용한다. 마지막 단계는 계정 정보를 꺼내는 것이다.

 

연구원들은 이 공격은 현재 iOS 기기들의 암호 키가 기기 내에서 이용할 수 있는 도구에 기반하고 패스코드에 독립적이기 때문에 유효하다고 설명했다. 이것은 아이폰에 접근할 수 있는 공격자들이 암호나 비밀 패스코드를 해킹하지 않고도 갖고 있는 아이폰에서 키를 생성할 수 있다는 것을 의미한다.

 

이 공격을 이용해서 연구원들은 키체인에 액세스해서 비밀번호를 풀 수 있었다. 전체 비밀번호를 풀 수 있는 건 아닌데, 여기서 드러나는 비밀번호는 MS 익스체인지 계정으로 등록된 구글 메일과 다른 MS 익스체인지 계정, LDAP 계정, 음성 사서함, VPN 비밀번호, 와이파이 비밀번호, 그리고 일부 애플리케이션의 비밀번호였다.

 

연구원들은 “공격자들이 아이폰이나 아이패드를 소유하게 되고, SIM 카드를 제거하고 나면 이메일 비밀번호와 기업 VPN과 WLAN 엑세스 코드를 가질 수 있다”라면서, “이메일 계정을 제어할 수 있다는 것은 공격자들이 더 많은 비밀번호를 취득할 수 있다는 의미이다. 소셜 네트워크 같은 많은 웹 서비스들에 대해서 비밀번호 리셋만 해주면 된다”라고 말했다.

 

따라서 iOS 기기를 도난 당하거나 잃어버린 사용자들은 즉시, 그 안에 저장되어 있는 비밀번호들을 변경해야 한다. 추가로 저장되어 있지는 않지만 비슷한 비밀번호들은 변경해야 한다.

 

프라운호퍼 SIT의 연구원들은 이전에도 다른 운영체제에 대한 보안 문제를 밝혀낸 바 있다. 2009년 말 마이크로소프트의 비트로커(BitLocker) 디스크 암호화 기술로 보호된 파일에 액세스하는 여러 공격 시나리오를 공개한 바 있다. martyn_williams@idg.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.