애플과 FBI 그리고 Internet of Things
애플과 FBI 그리고 Internet of Things
  • 윤진근 기자
  • 승인 2016.04.25 16:53
  • 댓글 0
이 기사를 공유합니다

꼬리에 꼬리를 무는 ‘보안’ 문제 속으로
 
에드워드 스노든(미국 국가안전보장국 출신으로, 정부의 무차별 통신 감청을 세상에 고발해 큰 파장을 일으킨 인물) 이후 가장 큰 보안 관련 사건이 터졌다. 애플과 FBI의 대립이 그것이다. 애플과 FBI의 보안 관련 이슈가 IoT의 미래에 어떤 점을 시사하는지 살펴본다.
정리 | MSD(모션시스템디자인) 편집부

캘리포니아 샌 버나디노에서 발생한 총격 사건. 이 사건의 용의자가 가지고 있던 아이폰의 잠금(보안) 문제를 놓고 애플과 FBI의 갑론을박이 이어지고 있다. FBI는 애플에 암호 잠금(보호) 기능을 해지하는 협조를 요청한 상태.

사건의 개요
2014년, 애플은 자사 운영체제(iOS)에 대한 설정을 일괄적으로 변경했다. 이로 인해 모든 아이폰에 기본적으로 암호화가 적용되며, 애플 측은 암호 키에 액세스할 수 없다. 또한 애플의 보안 정책에 따라 로그인 시도가 10회 실패하면 기기에 있는 모든 자료를 삭제한다.

FBI는 애플에 암호화 기능 해지를 요청했다. 데이터 삭제의 위험 없이 암호 입력을 여러 차례 시도하여 암호를 해제해야 하기 때문. 하지만 애플은 FBI의 이른바 ‘백도어’를 만들어달라는 요청에 불응했고, 이는 법정공방으로 이어졌다.

ABC 뉴스와의 인터뷰에서 팀 쿡은 “애플은 이번 사건에서 FBI와 협력하고 있다. 해당 기기에 대한 모든 정보를 제공했다”며, “하지만 이번 요청은 경우가 다르다. 단순히 전화기 한 대에 대한 요청이 아니기 때문”이라고 말했다. 

팀 쿡은 “이번 요청은 (우리의) 미래에 대한 요구”라며, “미 정부의 이러한 요청에 응해 (백도어)소프트웨어를 만든다면 수없이 많은 애플 고객이 보안 측면에서 취약하게 될 것”이라고 말했다.

현재 뜨거운 감자는 ‘미래의 보안 취약성이 어떤 방식으로 우리 목을 옥죄는가’에 대한 것이다. 안전에 대한 위협은 또한 사물인터넷(IoT)에 대한 위협으로 번진다.

사물인터넷이 가진 큰 특징 중 하나는 휴대기기의 사용이다. 사물인터넷을 활용한 시스템과 네트워크 그리고 컴퓨터 보안 등을 구축하는 기업이 늘어날수록 외부 위협으로부터 접속을 방지하는 기술을 유지보수하고 업데이트해야 한다. 개인용이든 기업용이든 상관없이 스마트폰·태블릿·노트북 등은 방대한 정보와 자료를 담고 있는 액세스 포인트(네트워크 접속 중계점)로 작용한다. 사용자는 이들 기기를 통해 센서와 장비 등의 네트워크를 수집할 수 있다. 또한 사물인터넷을 활용해 직접 장비 설정과 제조 프로그램 루틴 그리고 인터페이스 방식 등을 변경할 수 있다.

많은 이들이 알고 있듯, 크래커(악의를 가진 해커)는 계속해서 우리 시스템에 진입하려 한다. 이는 상호 연결된 세계에 존재하는 실질적인 위협이다.

무선 네트워크는 낮은 수준의 보안을 제공한다. 미국 내 일부 도시의 경우 독자적인 네트워크 기반 솔루션을 구축하고 있다(뉴욕 시의 LinkNYC가 대표적이다). 또한 보안 누리집 혹은 방화벽을 통해 데이터 보안을 구축하며, 장치 내에서 암호화를 실현한다.

거세지는 반대 의견
현재 다양한 기업 및 단체에서 애플을 지지하고 있다. 페이스북과 마이크로소프트 그리고 델 등의 기술 전문 기업들이 대표적이다. 또한 미국 시민자유연맹(ACLU)에서는 FBI가 정보 삭제를 우회할 수 있는 방법을 게재하기도 했다.

미국 시민자유연맹 측은 “암호 추측이 한계에 다다랐을 때 iOS가 사용자 데이터를 없애더라도 실제로 모든 데이터가 삭제되는 것은 아니다”라고 주장하며, “데이터를 보호하는 키 중 하나를 파괴할 뿐이며, 이로 인해 데이터를 영구적으로 읽을 수 없게 되는 것에 불과하다”고 애플을 옹호했다. 미국 시민자유연맹 측에 따르면, 기기의 파일 시스템 키가 ‘Effaceable Storage(직역하면 삭제 가능한 저장 공간)’에 저장되어 있다. Effaceable Storage를 쉽게 설명하면, 쉽게 삭제가 가능한 플래시 메모리다. 따라서 FBI는 10번의 암호 입력을 시도하기 전에 Effaceable Storage를 포함한 플래시 메모리를 복사하는 것만으로 강제적인 자동 삭제를 막을 수 있다. 이후 이 과정을 무한정 반복하면 된다. 백업 카피본으로부터 낸드 플래시 메모리를 복원할 수 있으므로, 데이터 삭제에 대한 걱정이 없는 것.

FBI가 이러한 방식을 시도했는지, 앞으로 채택할지는 알 수는 없다. 하지만 기기 내의 자료가 지워지기 전에 암호를 찾아낼 수 있는 방법은 분명히 있다.

 
백도어, 무기인가 디딤돌인가
휴대전화가 내 정보를 빼낼 수 있는 도구가 될 수 있다면, 그 누가 휴대전화 제조업체에게 열쇠 제작을 맡기겠는가? 애플은 이 문제에서 한발 앞서갔고, 숙고 끝에 크래커가 기기에 침범하는 것을 막기 위해 암호화를 기본적으로 적용했다.

애플은 이번 일을 통해 전례를 만들지 않기 위해(다른 국가에서 같은 프로그램을 요청한다면?), 그리고 대중이 백도어를 악용하지 못하게 하기 위해 백도어 개발을 거부하고 있다. 신용카드 기업 및 미국 정부는 정기적인 해킹 공격을 받아왔고 심각한 보안 관련 결함을 야기한 적이 있다.

사이버 테러는 대한민국에도 수 차례 가해졌다. 2003년 KT와 2008년 옥션에 해킹 공격이 가해졌으며, 2009년에는 청와대와 국방부 등 30여 곳이 공격당했다. 이후 2010년 신세계몰, 2011년 현대캐피탈과 농협, 넥슨 그리고 SK컴즈가, 2012년 SK텔레콤과 KT 그리고 EBS가, 2013년 MBC·KBS·신한은행·농협·KB 국민카드·NK 농협카드·롯데카드 등이 대대적인 공격을 받았다. 2014년에는 한국수력원자력이 크래킹 공격을 당하기도 했다.

물론 백도어가 잘못된 용도로만 쓰인다고 단정할 수는 없다. 예를 들어 과거 유행했던 아이폰의 ‘탈옥’은 확인되지 않은 제삼자 소프트웨어를 설치한 것이다. 애플은 탈옥과 지속적으로 싸워왔고, 새로운 기기가 등장함에 따라 공격과 보완을 통해 결함을 수정해왔다. 또한 지금 이 순간에도 누군가는 기기를 탈옥할 수 있는 방법을 찾고 있다.

크래커와의 전쟁은 단판승부가 아니다. 일정한 주기마다 벌어지는 전투의 연속이다. 크래커가 더 나은 결과물을 발표하면, 회사는 다시 크래커를 뛰어넘어야 한다. 백도어를 개발하게 된다면 우리가 해커의 역할을 대신하는 셈이 된다. 만약 미래의 제조업, 스마트 시티, 자율주행차 그리고 엔지니어링이 IoT에 의존하게 된다면, 장비 보안성 역시 반드시 강해져야 한다. 여기에는 타협의 여지가 없다.

주요기사
이슈포토