"애플, 아이폰5S 지문데이터 전용계획 밝혀라"

일반입력 :2013/09/22 16:03    수정: 2013/09/23 06:25

이재구 기자

아이폰5S 칩에 저장된 지문인식데이터가 제 3자(써드파티)에 의해 사용될수 있는 디지털 또는 비주얼포맷으로 전환되는가? 아이폰에서 지문데이터를 추출하는 게 가능한가? 그렇다면 이것이 원격으로, 또는 물리적 단말기 접근을 통해서 가능한가? 지문인식데이터가 (아이폰5S)사용자의 컴퓨터에 저장되는가? 아이폰5S는 특정 터치ID시스템 진단정보를 애플이나 다른 쪽에 전달하는가? 그렇다면 어떤 정보가 전달되는가?아이튠즈,아이북스 그리고 애플스토어는 얼마나 정확힌 터치ID와 상호교신하나? ...

앨 프랑켄 미 상원의원(프라이버시 기술법 법사소위 위원장)이 20일(현지시간) 팀 쿡 애플 최고경영자(CEO)에게 향후 아이폰5S 지문인식센서 사용자들의 지문데이터 확보 및 이를 이용한 전용가능성에 대한 의문을 제기하는 12개 항의 질문서를 보내고 답을 요구했다.

앨 프랑켄 의원의 서한은 애플이 고객의 지문은 A7칩에만 저장된다고 밝혔음에도 불구하고 향후 애플이 지문데이터를 원격방식 등으로 추출하고, 포맷을 바꿀 기술을 가지고 있을 가능성, 이 데이터를 제3자와 공유할 가능성을 강력히 제기하는 것이다. 따라서 향후 애플이 지문인식센서의 실체에 대한 어떤 답변을 내놓을 것인지에 관심이 쏠리고 있다.

앨 프랑켄의원은 지난 2011년 아이폰에서 개별위치를 추적하고 데이터를 저장한 내용이 드러났을 때를 포함해 여러차례 애플의 사생활침해와 관련한 의문을 제기한 인물이다.

그는 서한에서 내겐 애플이 지문인식센서 기술도입에 따른 보안을 하고 그에 따른 대응을 하려고 열심히 노력한 게 분명해 보인다. 아이폰5S는 칩에 암호화된 형식으로 개인지문을 보관하는 것으로 알려지고 있다. 또 써드파티앱이 터치ID에 접속하는 것도 막고 있다. 그럼에도 이 기술이 어떻게 작동하는지,애플의 다음계획은 무엇인지, 애플이 법적 보호장치를 갖고 있는지에 대한 중요한 의문이 남아있다. 애플이 아무리 조심스레 이 기술을 장착했더라도 이 결정은 동급, 또는 후발 경쟁자들에게 다양한 프라이버시 보호장치를 가진 바이오메트릭기술을 도입하는 길을 열어놓게 될 것이다...라고 쓰고 있다. 이는 애플이 당장은 앞서 발표한 대로 아이폰5S 지문데이터를 고객의 휴대폰에만 저장시키겠지만 아이튠즈 등을 통해 컴퓨터에 기록을 남길 가능성, 장차 이에 접근해 데이터를 다른 곳으로 이동시키고 제3자와 데이터를 교환해 모종의 용도로 가능성에 대한 의구심을 드러낸 것이다.

앨 프랑켄의원은 또 “미국프라이버시법에 따르면 법집행당국은 기업에 영장없이 통신콘텐츠을 공개하라고 강요할 수 없고, 기업은 사용자 동의없이 써드파티와 정보를 공유할 수없다. 하지만 애플의 기존 기록, 그리고 가입자나 고객이 관련된 다른 정보들을 보면 고객정보(지문)가 고객동의없이 어떤 써드파티와 법원명령없이 당국에 자유롭게 공개될 수 있다. 게다가 가입자의 번호와 ID는 간단히 소환장만으로 공개될 수 있다....애플은 지문인식데이터가 통신저장법(Stored Communications Act)상의 통신콘텐츠,가입자나 고객기록, 또는 가입자번호나 ID라고 분류할 것을 검토하고 있는가?라고 질문했다. 이 역시 애플이 기술적으로 고객 지문데이터를 추출하고 이를 이동시키고 제3자에게 접속시키거나 제공할 가능성에 대한 의혹의 시각을 보여주는 것이다.

애플은 아직 앨 프랑켄 의원의 질문에 답하지 않았다. 하지만 지난 10일 아이폰5S 발표 후 몇일 만에 애플은 터치ID로 인식한 지문센서는 암호화해 리버스엔지니어링으로 재현하지못하게 했으며, 애플서버에 어떤 사용자 지문이미지도 보관하지 않는다. 써드파티에게 접속되지도 않는다.애플은 A7칩에 시큐어 인클레이브란 아키텍처를 가지고 있어 패스코드와 지문데이터보호에 안전하다. iOS와 앱으로는 접근할 수 없고 애플서버에 저장되지 않으며 아이클라우드에 백업되지 않는다....고 밝혔고 이를 자사 웹사이트에서도 설명하고 있다.

앨 프랑켄의원이 팀 쿡 애플 CEO에게 보낸 편지내용은 다음과 같다. ...나는 아이폰을 사용하는 사람입니다....너무 많은 사람들이 그들의 스마트폰상에서 패스워드와 패스워드ID넘버(PIN)를 사용하고 있습니다...나는 애플의 지문인식센서가 아이폰5S소유자들을 더 안전하게 해 줄 것으로 기대합니다. 하지만 애플 광고 영상에서와는 달리 이 개별 지문 인식방식이 전세계 최고의 패스워드중 하나가 아니라고 생각할 만한 이유가 있습니다...기존 방식은 해킹 위협이 있을 때 바꿀 수 있습니다. 하지만 아이폰5S 사용자들의 지문은 바꿀 수가 없습니다. 오직 10개만이 있습니다. 그리고 어디든 만지는 곳에 이 지문을 남겨놓습니다. 이들은 더 이상 비밀이 아닙니다....해커가 당신의 지문을 가지고 있다면 평생동안 당신으로 가장할 수 있을 겁니다...애플이 기술적 보안을 하고 이를 실현하려고 열심히 노력한 것은 분명합니다....아이폰5S는 암호화된 포맷으로 칩에 데이터를 저장하는 것으로 알려져 있습니다...아이폰5S용 써드파티앱이 터치ID에 접속하는 것도 막아줍니다. 그럼에도 중요한 의문이 남습니다. 이 기술이 어떻게 작용하는지,애플의 미래 계획은 무엇인지,법적 보호는 어떻게 할 것인지에 대한 의문이 남습니다...애플이 지문기술로 보안을 얼마나 잘하는지는 모르지만 이 기술은 다른 동종업계 경쟁자들에게도 프라이버시를 위한 다양한 보호방식을 갖춘 바이오메트릭기술 도입의 길을 열어놓게 될 것입니다...나는 따라서 다음과 같은 12가지 질문에 대한 답을 요구합니다...

이어지는 질문서 내용은 다음과 같다.

(1)아이폰5S의 칩에 저장된 지문인식데이터를 써드파티에 의해 사용될 디지털 또는 비주얼포맷으로 바꾸는 것이 가능한가?

(2)아이폰에서 지문데이터를 뽑아내는 것이 가능한가? 그렇다면 이것이 원격으로, 또는 단말기에 물리적 접근으로 이뤄지는가?...

(3)지난 2011년 한 보안회사 연구원은 아이폰 백업용 단말기로 사용된 컴퓨터에 암호화되지 않은 위치이력 정보 파일을 저장하고 있다는 사실을 밝힌 바 있다. 지문인식데이터도 사용자의 컴퓨터에 저장되는가?

(4)아이폰5S는 특정 터치ID시스템 진단정보를 애플이나 다른 쪽에 전달하는가? 그렇다면 어떤정보가 전달되는가?

(5)아이튠즈,아이북스 그리고 애플스토어는 얼마나 정확힌 터치ID와 상호교신(인터랙션)하나? 이들 앱을 통해 어떤 정보가 터치ID시스템과 인터랙션하나? 이들 앱은 터치ID시스템에서 어떤 정보를 수집하는가? 애플은 이들 인터랙션을 통해 어떤 정보(지문인식데이터와 관련된 해쉬나 인식기를 포함)를 수집하는가?

(6)애플은 써드파티앱이 터치ID시스템이나 지문인식데이터에 접속되도록 할 계획을 가지고 있나?

(7))애플은 그들의 지문인식데이터, 그리고 아이폰지문인식데이터를 조작하거나 확장하는 데 필요한 정보나 수단을 다른 상업용 써드파티와 공유하지 않을 것이라고 사용자들에게 보장할 수 있나?

(8)애플은 사용자들에게 그들의 지문인식데이터 파일, 그리고 아이폰지문인식데이터를 조작하거나 확장하는데 필요한 정보나 수단을 합법적 절차를 통해서만 정부와 공유할 것이라고 보장할 수 있나?

(9)미국프라이버시법에 따르면 법집행당국은 회사에 영장없는 통신콘텐츠 제출을 강요할 수 없고 회사측은 이 정보를 소비자 동의없이 써드파티에게 제공할 수 없다. 하지만 고객 및 가입자들에 관련된 정보와 기록은 ...그럴 법하지 않은 이유로 발행된 법원명령서, 또는 고객의 동의없이 자유롭게 써드파티에게 공개될 수 있다. 게다가 가입자의 번호와 ID는 단순한 소환장만으로 공개될 수 있다...애플은 지문인식데이터를 통신저장법(Stored Communications Act)에 정의된 '저장된 통신콘텐츠'나 '가입자기록'으로 분류할 것을 검토하고 있나?

(10)미국정보법에 따르면 미연방수사국(FBI)의 조사는 만일 이들이 특정 외국정보기관과 관련돼 있다면 '손에 잡히는 물건(책,레코드,신문,기록, 및 다른 아이템)'을 요구하는 명령서를 요청할 수 있다...애플은 지문인식데이터를 미국애국법 규정에 따른 '손에 잡히는 물건'으로 볼 것을 검토하고 있는가?

관련기사

(11)미국정보법에 따르면 미연방수사국(FBI)는 독단적으로 국가보안서한을 내고 통신사업자들의 가입자정보나 전자통신거래기록을 확보하거나 소유할 수 있다. 국가보안서한은 통상적으로 수신자가 서한을 받았다는 사실을 밝힐 수 없도록 돼 있다. 애플은 지문인식데이터를 통신저장법(Stored Communications Act)에 따른 가입자정보, 또는 전자통신거래기록으로 분류할 것을 검토하고 있는가?

(12)애플은 사용자들이 터치ID에 제공하는 지문데이터 프라이버시를 합리적으로 처리할 것으로 기대하고 있으리라 믿는가?