애플 출신 보안엔지니어가 설립에 참여한 미국 회사 그레이시프트(Grayshift)가 아이폰의 보안 기능을 무력화하는 장비를 출시했다.
기술의 진위여부는 확인되지 않았지만, 수많은 애플 스마트폰 제품 사용자들의 프라이버시를 위협할 수 있다는 우려가 불거지고 있다.
미국 지디넷은 19일(현지시간) 보도를 통해 미국 조지아주 애틀랜타 소재 업체 그레이시프트와 이곳에서 판매 제품으로 소개하고 있는 아이폰 크래킹 장비 '그레이키(GrayKey)'를 둘러싼 논란을 다뤘다. [☞원문보기]
그레이시프트는 2016년 설립됐다. 경력이 불분명한 저스틴 피셔라는 인물과 2006년부터 6년간 애플 보안엔지니어로 일했다는 브래든 토머스, 2명이 설립자다. 그간 회사와 관련된 정보는 거의 알려지지 않았는데 1만5천달러짜리 제품 '그레이키'도 마찬가지였다.
그레이키는 손바닥만한 박스형 기기로, 외부에 신형 아이폰이나 아이패드를 연결할 수 있는 케이블을 달고 있다. 기기 사용자는 여기에 아이폰5S 또는 그보다 나중에 나온 아이폰 제품을 연결해, 잠금을 해제하는 패스워드를 알아낼 수 있다는 게 그레이시프트 측 설명이다.
그레이시프트의 주장대로라면 그레이키는 현존하는 대다수 아이폰의 보안을 무력화할 수 있다. 이 회사는 자사 제품이 최신 보안 기술을 탑재한 아이폰X 및 아이폰8와 여기서 구동되는 iOS11 버전의 보안시스템까지 깰 수 있다고 홍보하고 있기 때문이다.
이 무명의 기술 스타트업이 이름을 알린 건 이달초 포브스 보도 덕분이었다. 지난 5일 포브스가 이 업체의 그레이키 판매 소식을 처음으로 전했다. 보도 당시 포브스는 그레이키라는 툴이 일반 사용자에게 큰 위협이 되지 않을 것이라 평가했다. [☞관련기사]
일단 그레이키 제품 자체가 고가라는 점부터 일반 사용자의 위협을 높이기 어려운 요소로 꼽혔다. 그레이키 1만5천달러(약 1천600만원)짜리 모델은 인터넷으로 온라인 인증을 한 상태에서만 작동하고 최대 300번까지만 패스워드 입력을 시도할 수 있다. 횟수 제한이 없는 버전 가격은 3만달러(약 3천200만원)다.
또 포브스는 그레이키로 패스워드를 알아내려면 대상 아이폰을 컴퓨터에 물리적으로 연결한 상태에서 시도해야 한다는 제약이 있다고 지적했다. 더불어 iOS 운영체제는 브루트포스 공격을 막는 장치를 내장하고 있다고 덧붙였다. 이는 그레이키가 시도하는 패스워드 크래킹 방법은 비밀정보 조합이 들어맞을 때까지 무작위대입을 시도하는 '브루트포스' 기법으로 이뤄질 것이란 추정을 근거로 한다.
애플은 사용자 암호 및 지문 데이터를 보호하기 위해 '보안구역(Secure Enceval)'이라 불리는 보안 아키텍처를 개발했다. 이는 기기의 칩에 적용된 기술이다. 보안구역은 사용자가 잠금해제를 위해 패스워드를 입력할 수 있는 횟수를 제한함으로써 브루트포스 공격 시도를 어렵게 만들었다.
보안업체 맬웨어바이츠(Malwarebytes)가 그레이키 장치에 관련된 정보를 얻어 게재한 기술 원고를 보면, 이 기기는 연결된 아이폰의 패스워드를 판정해 그 화면에 코드를 표시해 준다. 과거에 쓰였던 4자리 코드를 뚫는 덴 몇 분 내지 몇 시간이 걸리지만, 요즘 아이폰이 기본으로 설정하고 있는 6자리 코드를 깨려면 3일 이상 걸릴 수 있다. 다만 이 소요시간은 다른 스마트폰 크래킹 기법에 비해 훨씬 짧은 수준이다.
그레이키로 찾아낸 패스워드는 해당 기기의 메시지, 사진, 통화내역, 웹서핑 이력, 키체인 및 사용자 패스워드 등을 포함하는 파일시스템 관련 모든 권한을 준다.
미국 지디넷은 이런 그레이키의 기술이 이스라엘 소재 디지털포렌식 업체 '셀레브라이트'와 유사한 것이라고 지적했다. 셀레브라이트는 주로 사법기관의 수사 목적에 따른 요청을 받고 이런 기술을 제공한다.
하지만 셀레브라이트 기술의 가격은 미국 경찰 당국에서 그 기술을 사는 데 걸림돌이었다. 경찰은 셀레브라이트로 기기 잠금을 해제시 대당 1천500달러 정도를 썼다. 미국 연방수사국(FBI)이 지난 2016년 캘리포니아 총격 사건의 용의자 샌 버나디노가 소지한 아이폰5C의 잠금을 해제할 때 치른 비용은 100만달러 이상으로 알려졌다. [☞관련기사]
셀레브라이트보다 확연히 저렴한 그레이키는 사법기관에서 이런 기술의 활용을 부추길 가능성이 있다.
미국 지디넷 보도는 '마더보드'를 인용해 이미 인디애나 현지 경찰들이 그레이키 제품 구매 요청을 넣었거나 이미 구입했다는 동향을 전했다. 또 미국 지디넷이 자체 파악한 경과 몇몇 뉴욕 지방경찰도 그레이키 기술을 사는 데 수만달러를 지불했다.
관련기사
- 한컴지엠디, 모바일포렌식 솔루션 싱가포르 수출2018.03.20
- 선관위, 한컴 모바일포렌식 솔루션 도입2018.03.20
- 모바일포렌식 전문회사 셀레브라이트, 국내 교육센터 개설2018.03.20
- 아이폰도 뚫는다? 모바일 포렌식 관심집중2018.03.20
사법기관은 법원의 수색영장을 발부받았을 때 수사 목적으로 디지털 기기의 내용에 접근할 필요가 있다고 주장해 왔다. 그러나 보안전문가들은 경찰들이 암호화된 데이터에 접근할 수 있는 수단을 쓰게 될 경우, 결국 해커들도 같은 기술을 확보함으로써 동일한 접근 권한을 얻을 수 있다고 우려를 표하고 있다.
그레이시프트가 보유한 기술이 현존 아이폰 및 iOS의 보안시스템 가운데 어떤 취약점을 악용하는 것인지, 혹은 실제로 동작하는지조차도 아직은 확인되지 않았다. 이 기술을 통해 발생할 권한 없는 접근을 막을 수단은 무엇인지도 알려지지 않았다. 그레이키 같은 제품이 미국 사법기관만을 대상으로 판매되는 것인지, 다른 곳에도 공급될 수 있는지도 미지수다.