애플의 클라우드 서비스 '아이클라우드(iCloud)'에서 해커가 아이폰, 아이패드, 맥 기기 사용자의 민감한 데이터를 빼낼 수 있는 보안 결함이 발견됐다.
미국 지디넷은 지난 21일 라스베이거스 블랙햇 컨퍼런스에서 아이클라우드 키체인(Keychain) 동기화 방식으로 기기에 저장된 비밀을 도난당할 수 있는 버그가 소개됐다고 보도했다. [☞원문 바로가기]
아이클라우드는 iOS 및 맥OS 기기 사용자를 위한 애플의 클라우드 데이터 저장 및 동기화 서비스다. 계정, 암호, 신용카드, 무선랜 정보를 기기간 동기화할 때 키체인을 거친다. iOS 7.0.3 이후, OX X 매버릭스 10.9 이후 운영체제(OS)를 쓰는 기기로 키체인을 쓸 수 있다.
애플 기기 사용자가 키체인에 기기를 등록하면 이후 아이클라우드를 통해 해당 기기의 사용자 정보가 동일하게 최신으로 유지된다. 키체인 동기화에 의존하는 사용자 정보는 iOS 및 맥OS 기기의 암호 및 신용카드 정보만이 아니다.
맥 컴퓨터의 메일, 연락처, 캘린더, 메시지 계정 정보 최신화도 키체인을 필요로한다. 또 키체인을 사용하면 아이클라우드 서비스에서 사용자의 모든 기기에 페이스북, 트위터, 링크드인을 비롯한 주요 인터넷 서비스의 로그인 정보를 추가해 준다.
따라서 키체인에서 보안 결함이 발견됐다는 건 그만큼 수많은 최신 iOS 및 맥OS 기기 사용자들의 민감한 데이터가 유출되거나 프라이버시가 침해당할 가능성이 있었다는 얘기다.
이날 컴퓨터보안업체 롱텀시큐리티의 공동창립자 알렉스 Radocea는 컨퍼런스 세션 발표를 통해 "우리가 발견한 버그는 사법기관이나 정보기관이 종단간 암호화 시스템 안을 들여다보기 위해 쓰는 유형"이라고 말했다.
그의 설명에 따르면 발견된 취약점은 애플이 인터넷을 통해 오가는 아이클라우드 사용자의 데이터를 아무도 읽을 수 없게 만드는 종단간 암호화 기술에 공격자가 구멍을 뚫을 수 있게 하는 것이었다.
쉽게 말해 공격자는 롱텀시큐리티가 발견한 취약점을 통해 아이클라우드 사용자의 데이터를 가로채고 엿볼 수 있다. 사용자가 방문한 웹사이트 계정 암호, 인터넷을 쓰기 위해 연결한 무선랜 네트워크 이름과 그 접속 암호도 마찬가지였다.
보도에 따르면 다행히 이 취약점은 현재 수정된 상태다. 애플은 지난 3월 iOS 10.3 버전과 맥OS 시에라 10.12.4 버전을 통해 해결했다. 이 버전으로 업데이트하면 된다. 어떤 취약점이었을까.
일단 키체인은 승인된(verified) 기기에만 데이터를 동기화할 수 있다. 그런데 기기의 키(device keys)를 승인하는 방식에 보안 결함이 있었다. 승인을 우회하는 길이 있었단 얘기다.
키체인은 '오프더레코드'라는 오픈소스 암호화 프로토콜 수정 버전을 사용한다. 오프더레코드는 인터넷에서 비밀정보를 주고받기 위한 메신저 앱에 널리 쓰였다. 키 승인을 통해 2대 이상의 기기가 서로 상대와 적절히 통신하며 '사칭'을 막도록 동작한다.
그런데 롱텀시큐리티 측은 아이클라우드 키체인의 키 승인 과정에서 서명 검증 절차를 우회할 수 있음을 발견했다. 공격자가 이를 이용해 승인 없이도 키를 얻고 키체인에 기기를 추가하더라도, 계정 사용자는 그걸 알아차릴 수 없게 된다.
롱텀시큐리티 발표자는 iOS 기기상의 전송계층보안(TLS) 암호화 인증서를 불러내는 공격을 시연했다. 중간자공격 방식으로 기기의 인터넷 트래픽을 엿보고 오프더레코드 패킷을 변조해 서명을 무효화했다.
그는 이어 기기 승인 과정을 보여주며 "우리는 (키체인의) 모든 것을 평문으로 볼 수 있다"고 덧붙였다.
관련기사
- FBI "아이폰 잠금해제 취약점 상세내역 모른다"2017.07.23
- FBI "아이폰 암호 푸는데 15억원 썼다"2017.07.23
- FBI, 애플 도움없이 아이폰 잠금 풀었다2017.07.23
- 美 여배우 누드사진 유출 해커 '유죄'2017.07.23
사실 이 취약점의 악용 가능성이 모든 범죄자에게 열려 있었다고 단정할 수는 없다. 키체인 공격에 앞서 아이클라우드 계정 탈취가 이뤄져야 하기 때문이다.
다만 지난 수년간 국내외 인터넷에서는 여러 온라인서비스 업체의 사용자 이메일 및 암호 등 계정정보가 유출되는 사고는 꾸준히 있었다. 애플 아이클라우드 계정 이메일 및 암호를 다른 서비스와 동일하게 설정했다면 키체인 공격의 위험에 노출될 수 있다.