보안

"CIA, 애플 기기의 보안을 무력화하기 위해 수년간 시도해왔다"...스노우든 문서

Lucian Constantin | IDG News Service 2015.03.11
비밀리에 CIA의 후원을 받은 단체들이 애플 기기의 암호화 키를 훔치고 악성코드를 감염시키는 방법에 대해 논의해왔다.

미국 정부에게 후원을 받는 연구원들은 지난 수년동안 애플 디바이스의 암호화와 보안을 깨기 위해 노력해왔다.

2010~2012년 사이에 미국 CIA(Central Intelligence Agency)에 후원을 받은 한 컨퍼런스에서 여러 발표자들은 애플 모바일 기기 내 펌웨어를 해독하고 개발자 툴을 감염시켜 맥 OS X와 iOS 앱에 백도어를 설치하기 위한 방법들을 설명했다.

이 비밀 프레젠테이션의 요약본은 미국 NSA 종사자였인 에드워드 스노든이 폭로한 문서 가운데 있었으며, 지난 10일 인터셉트(The Intercept)에 의해 공개됐다.

미국 정보 기관이 애플 제품을 해킹하는 것에 관심을 둔 것은 2010년으로 거슬러 올라간다. 인터셉트에 따르면, CIA IOC(Information Operations Center)에 의해 후원하는 트러스티드 컴퓨팅 베이스 잼보리(Trusted Computing Base Jamboree)라는 연례 컨퍼런스에서 한 연구원은 아이폰 3GS에 악성코드를 이식할 수 있는 수단을 발표했다. 이 프레젠테이션은 애플 기기를 탈옥하기 위한 방법으로 숨겨져 있었다.

2년 후, 같은 컨퍼런스에서는 애플 기기의 보안을 우회하는 방법을 좀더 논의했다.

예를 들어, 2011년 연구원들은 비침입적인(noninvasively) 기술을 써서 애플 기기에서 암호화 키를 추출해내는 방법을 발표했다. 이는 애플의 A4 프로세서를 기반으로 하는 아이폰 4와 아이포드 터치, 1세대 아이패드와 같은 기기의 펌웨어 암호화를 무력화할 수 있다.

GID(Group ID)라 불리는 이 키는 물리적인 칩 내부에 저장되어 있는데, 이 연구원들은 AES(Advanced Encryption Standard) 작동하는 동안 발생하는 전자파를 연구함으로써 이 키를 복구하려고 시도했다. 이 방법은 차분전력분석법(differential power analysis, DPA)로 알려진 기술이다.

이 프레젠테이션에서도 만약 성공한다면 A4 기반의 전제품군의 암호화를 해독할 수 있으며 펌웨어 부팅의 취약점 분석으로 익스플로잇을 개발할 수 있다고 설명했다. 하지만 성공 여부는 명확하지 않다.

다음 해 출시된 아이폰 4S, 아이패드 2, 아이포드 터치 5세대, 그리고 아이패드 미니에 탑재된 A5 프로세서 또한 표적이 됐다.

연방기금연구개발센터(Federally Funded Research and Development Center, FFRDC)이자 록히드 마틴 자회사인 샌디아 사에 의해 운영되는 샌디아 국립연구소(Sandia National Laboratories)의 연구원들은 '애플 A4/A5 애플리케이션 프로세서 분석'이라는 주제로 논의한 바 있다.

이 프레젠테이션의 요약본은 없으며 참석자들이 더 많은 정보를 얻으려고 한다면 CIA에서 걸려온 전화 또는 이메일을 통해 교육을 받아야만 했다.

미국 정보부는 애플의 마스터 암호키뿐만 아니라 사적인 개발자들이 그들의 iOS 또는 맥 OS X 앱들을 서명하기 위해 사용된 각각의 키들에도 관심이 있었다.

과거 FBI와 미국 정보 당국들은 모바일 기기와 인터넷 커뮤니케이션에서 암호화가 기본적으로 탑재되는 것에 대해 우려의 목소리를 냈다. 이는 합법적인 전자 감시도 불가능하게 한다며, 이를 '고잉 다크(Going Dark)' 문제라고 지칭했다.

이번 폭로는 정보 당국들이 암호화를 제공하는 기업들에게 접근하는 방법을 보여줄 뿐만 아니라 정부가 데이터를 요청할 수도 있다는 걸 보여준다. 많은 보안 전문가들과 프라이버시 옹호자들은 암호화 이행에 백도어를 구축하는 것은 해커들에 의해 악용될 수 있다고 믿는다.

애플 CEO 팀 쿡은 지난해 9월 공개 서한에서 "우리는 결코 어떤 정부 당국과도 함께 일하지 않았으며 어떤 국가에서도 우리의 제품 또는 서비스에 백도어를 설치하지 않았다. 또한 우리는 결코 우리 서버에 접속하는 걸 허용하지 않았다"고 전했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.