FBI가 애플에 요구한 것은 정말로 아이폰 백도어인가

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/573935 (2016.2.19)

원문 기사는 여기로

이것 저것 내용이 많은데, 요점만 간략하게 쓰자면 대략 아래와 같다.

지난 12월에 아내와 함께 총기난사로 14명을 살해하고, 경찰과의 총격전에서 사망한 사이드 파룩의 아이폰 5C에 저장된 자료를 볼 수 있게 해 달라는 것이 FBI에서 요구한 내용이다. 여기에 대해 애플은 보안기능이 제거된 세로운 펌웨어를 만드는 것은 자신의 제품에 백도어(backdoor)를 만들라고 요구하는 것이므로 거부하겠다는 취지의 공지문을 CEO 팀 쿡 명의로 올렸다. 여기로

문제의 아이폰에는 6자리 암호가 걸려 있는데, 10번 틀릴 경우 내부의 자료가 모두 지워지게 되어 있다. 또한 자동화된 암호 입력을 통한 전수탐색 공격(brute-forcing)을 막기 위해서 다음 암호 입력 시도까지 일정 시간 동안 기다리도록 하는 기능도 있다. FBI에서 요구한 것은 이 두가지 기능을 제거한 iOS 펌웨어를 만들어 달라는 것이다.

여기까지만 보면 세상 모든 아이폰을 무력화시킬 법한 수정판 iOS 펌웨어 이미지를 내놓으라는 것처럼 보일 수도 있으나, 구체적으로 좀 더 살펴보면 그렇지는 않은 것 같다.

iOS 펌웨어 이미지를 아이폰에 올리려면, 해당 펌웨어에 애플의 디지털 서명이 포함되어 있어야 한다. 펌웨어에 애플의 디지털 서명을 할 수 있는 조직은 - 애플이 미쳐돌아가서 자사의 비밀키(private key)를 여기저기 흘리고 다니지 않는다는 전제하에 - 오로지 애플 뿐이다. 펌웨어 이미지에 변경을 가할 경우 디지털 서명이 무효화되므로 변경된 이미지는 아이폰에 올라가지 못한다.

그러므로, 아이폰의 디바이스ID(시리얼 번호)를 조회하여 총기난사 테러리스트의 아이폰 시리얼 번호일 때만 동작하는 수정판 iOS 이미지를 만든 후에 디지털 서명을 해서 FBI에 제공하면 된다. 이렇게 하면 FBI가 펌웨어를 임의로 수정해서 다른 아이폰에 적용할 수 없다.

FBI는 애플에 이러한 수정판 iOS 펌웨어 이미지를 요구하고, 애플이 이를 제공하면 테러리스트의 아이폰의 USB 인터페이스를 통해 올려서 전수탐색 공격을 통해 암호를 풀고 내부의 내용을 가져다가 수사를 진행할 생각이다.

어쨌든 법원 명령이 떨어졌으니, 애플은 이 명령을 따르거나 이의신청을 하거나 해야 한다.

애플이 법원 명령에 저항하는 이유를 정확히 알기는 어려우나, 아래와 같은 몇가지 사항을 생각해 볼 수 있겠다.

애플은 기기가 잠겨 있을 때에도 펌웨어 업데이트가 가능하다는 점을 인정하고 싶지 않아 한다. 애플의 공식 펌웨어이긴 하지만 어쨌든 보안 기능이 완화된 버전을 잠긴 기기에 올릴 수 있다는 셈이 되니까.

사생활 보호와 보안 관련 사안에 대해 애플은 지금까지 공개적으로 정치권과 수사기관에 대립하는 모양새를 취해 왔다. 이제 와서 물러나긴 어렵다.

법원 명령에 따를 경우 향후 iOS 업데이트에 대한 신뢰도가 추락할 것을 두려워하고 있다. 애플이 보안 기능이 무력화된 S/W를 쉽게 만들어 배포할 수 있는 능력이 있다는 점을 공표하는 셈이 되기 때문이다.

애플은 고객 데이터에 대한 강력한 보호가 시장에서 자사 제품을 차별화하는 중요한 요소로 간주한다.

애플은 대법원까지 가서 이 분쟁에서 이길 수 있다고 여기고 있다.

애플은 스노든이 공개한 내용으로 인해 미국 정부에 대해 아직도 화가 나 있으며 대국민 감시에 대해 더 투명한 정보가 공개되도록 압박하고자 한다.

아무튼 대충 이렇고, 여기서부터 잡담.

애플의 공지문을 보면 마치 FBI가 아무런 제한 없이 마구잡이로 아이폰을 해킹할 수 있는 도구를 요구한 것처럼 느껴지는데, 실제 법원 명령을 통해 요구한 사항과는 다르게 확대해석한 것처럼 보인다. 게다가 수정된 iOS 펌웨어가 범죄수사가 아닌 다른 용도로 악용되지 않도록 제한할 수 있는 방법은 이미 기기 시리얼 번호 확인과 펌웨어 이미지에 대한 디지털 서명으로 확보되어 있는 상황이다.

만약 FBI의 손에 수정판 펌웨어 이미지를 넘기는 것이 영 껄끄럽다면, 수정판 iOS를 만든 후에 애플 본사에서 FBI를 비롯한 관련자들의 입회하에 애플이 직접 주관해서 해당 아이폰의 암호를 해제하고 내부의 데이터를 추출해서 FBI와 법원에 제공하면 될 것이다.

상황을 보면 아주 오래전부터 이미 범죄수사에 적용해 오던 체포영장이나 압수수색영장의 IT 버전 정도 되는 것 같은데, 굳이 홈페이지에 장문의 편지를 올리면서 법원 명령에 반대할 필요가 있나 싶다.

애플이 이전에 수사기관과 대립하는 입장을 취해 왔다고 하더라도, 이번 사안은 법 절차에 의거한 요구사항이고 악용을 방지할 수 있는 방법이 다 있기 때문에 법을 따르는 것이 그렇게 큰 문제는 아닐 듯한데... 오히려 사생활 보호라는 명목으로 총기난사 테러리스트의 배후를 보호하고 있다는 비난을 받을 여지가 있는 것 아닌지 모르겠다;;

완벽한 비교는 아니겠지만, 압수수색 대상인 집의 자물쇠를 열기 위해 경찰이 자물쇠 제조사에 가서 영장을 보여주면서 자물쇠를 열어 달라고 하자, "왜 나에게 마스터키를 내놓으라고 하는 겁니까? 마스터키를 내놓으면 전국 모든 집의 자물쇠가 무력화된단 말이오!"라면서 반대하는 느낌이랄까?;;