미국 법무부와 연방수사국(FBI)이 작년 12월 캘리포니아주 샌버너디노에서 발생한 총기 테러의 범인인 사이드 파룩의 저가형 스마트폰 '아이폰5c' 암호를 풀고 주소록 등 데이터에 접근했다고 28일(현지 시각) 밝혔다.
아이폰의 잠금 해제에 성공한 법무부는 이날 애플을 상대로 제기한 '협조 강제 요청'도 취하했다.
FBI와 애플은 아이폰의 잠금장치를 해제하는 문제를 두고 2개월 넘게 격렬하게 대립했다. FBI가 "테러범 수사를 위해 아이폰 내부 정보를 볼 수 있게 도와달라"고 요청했지만, 애플은 "개인정보 보호"를 명분으로 거부했다. 아이폰은 숫자·대문자·소문자 등으로 암호 6자리를 입력하는데 경우의 수가 무려 568억 개다. 모두 시도하려면 144년이 소요된다. 지루한 법정 소송이 진행될 것 같았지만, FBI가 지난 21일 "애플의 도움이 없이 해결할 수 있는 방법을 시험해보겠다"며 재판을 연기했다가 일주일 만에 아이폰의 보안 시스템을 뚫어 버렸다.
◇FBI, 저장장치 복사, 해킹 등 활용한 듯
FBI는 어떻게 아이폰의 잠금장치를 무력화시켰는지는 발표하지 않았다.
하지만 세계 보안업계 전문가들은 세계 1위 디지털 포렌식(digital forensic·훼손된 데이터를 복원해 분석하는 것) 업체인 이스라엘의 '셀레브라이트'를 주인공으로 지목했다. 이 회사는 이스라엘에 본사를 두고 있지만, 모(母)기업은 일본의 '선 전자'다. 선 전자는 2007년 셀레브라이트를 자회사로 편입했다.
물론 이 회사는 이번 아이폰 잠금 해제 여부에 대해 긍정도 부인도 하지 않았다. 국내
보안 업계 관계자는 "셀레브라이트는 데이터 복원 분야에서는 세계 최고의 기술력을 갖춘 곳"이라며 "500명 이상의 보안 전문가가 미국 FBI 등 세계 100여 개국의 수사기관과 협력하고 있다"고 말했다.
게다가 테러 위협에 항상 노출돼 있는 이스라엘은 세계적으로 정보 보안 분야에서 경쟁력을 인정받는 국가다. 세계적인 보안 업체인 '체크포인트' 등 200여개 업체가 있고, 군·대학에서도 정보 보안 분야를 강화하고 있다.
보안 전문가들은 아이폰 암호 해제에 크게 두 가지 방식이 동원됐을 것으로 꼽는다. 우선 아이폰을 분해해 데이터 저장장치를 분리한 뒤, 이를 수백~수천 개씩 복사해 암호를 입력하는 방식이다. 아이폰은 입력한 암호가 10번 틀리면 데이터가 자동 삭제되지만 복사본을 이용하는 방식으로 우회했다는 것이다.
고려대 김승주 교수(정보보호대학원)는 "스마트폰에서 저장장치를 분리만 하면 복사와 암호 입력은 자동 프로그래밍으로 처리하면 된다"고 말했다. 수퍼 컴퓨터를 활용해 단기간에 수억 개의 암호를 자동 입력할 수 있다는 말이다.
아이폰의 암호 기능을 통제하는 소프트웨어를 공격하는 것도 유력한 방법이다. FBI가 아이폰을 관리하는 소프트웨어의 취약점을 찾아내 비밀번호 자체를 무력화시키거나, '10번 틀리면 데이터 완전 삭제'라는 공식을 삭제할 수 있다는 것. 한국과학기술원(KAIST) 김용대 교수(정보보호대학원)는 "해킹으로 소프트웨어의 취약점을 공략하면 비밀번호를 계속 입력하거나 다른 방식으로 암호를 풀 수도 있다"고 말했다.
◇체면 구긴 애플… 국가 안보와 프라이버시 간 갈등은 지속
이번 사태로 가장 큰 타격을 입은 곳은 애플이다. 완벽하다고 자부해왔던 아이폰의 보안 시스템이 뚫렸기 때문이다. IT(정보기술) 업계 관계자는 "구글 안드로이드 운영체제(OS)용 스마트폰은 제조업체가 다양해 완벽한 보안 수준을 유지하기 힘들다"며 "반면 애플은 하드웨어부터 소프트웨어까지 모두 관리하기 때문에 최고 수준의 보안을 자랑했지만 이번에 뚫린 셈"이라고 말했다.
하지만 국가 안보와 프라이버시 간 분쟁은 앞으로 계속될 전망이다. 당장 애플은 암호 해제 소식이 전해지자 "아이폰의 보안을 계속 강화할 것"이라고 밝혔다. 실제로 최근 업데이트한 새 운영체제에서도 보안 수준을 크게 올려 애플 본사도 사용자의 데이터에 접근할 수 없도록 막았다.
고려대 임종인 교수(정보보호대학원)는 "앞으로 스마트폰 등에 저장된 데이터 접근 여부를 두고 정부와 기업 간 갈등이 계속될 가능성이 크다"며 "국가 안보와 프라이버시 사이에서 접점을 찾기가 쉽지 않다"고 말했다.