美법무부, 철벽 보안이라던 아이폰 보안장치 풀고야 말았다

미국 법무부가 애플의 도움 없이 총기 테러범이 사용하던 아이폰 5C 잠금장치를 해제하는데 성공했다고 밝히면서 ‘난공불락’으로 여겨지던 아이폰 보안체계를 어떻게 뚫었는지 관심이 집중되고 있다.
28일(현지시간) 미 법무부는 캘리포니아 리버사이드 소재 연방지방법원에 제기했던 아이폰 잠금해제 협조 강제 요청을 취하했다. 법무부는 서류에서 “정부가 (샌버너디노 테러범) 사예드 파룩의 아이폰에 담긴 정보에 접근했다”며 “더 이상 애플의 협조가 필요없다”고 밝혔다.
법원은 지난달 애플에 수사 협조를 요구하는 명령을 내렸지만 애플은 “아이폰 보안을 흔드는 ‘백도어’(뒷문)를 만들 경우 개인 정보보호가 침해되는 부작용이 발생한다”며 법원 명령에 이의를 제기했다. 법무부의 소송 취하로 국가 안보와 사생활 보호 문제를 놓고 거센 논란을 일으킨 연방수사국(FBI)과 애플 법정 공방은 일단락되게 됐다.
법무부는 이날 어떤 기술로 아이폰 잠금 해제에 성공했는지 구체적으로 밝히지 않았다. 다만 제3자가 아이폰 보안체계에 침투할 수 있다는 사실을 보여줘 아이폰이 자랑하던 철벽보안 명성에 흠집이 나게 됐다. BBC는 “애플이 보안 침투문제를 해소하기 위해 서둘러 보완책을 강구할 것”으로 내다봤다.
외신에 따르면 FBI에 아이폰 보안해제 기술을 제공한 기업은 이스라엘에 본사를 둔 셀레브라이트(Cellebrite)라는 회사인데 일본 전자회사 선(Sun)의 자회사다. 모바일 포렌식(모바일 기기에서 디지털 증거나 데이터를 복구해 범죄수사 법적 증거로 활용하는 수법) 전문업체인 셀레브라이트는 FBI와 2013년 독점 서비스 계약을 맺은 것으로 알려지고 있다. 애플 일부 매장에서도 이 회사 기기를 사용하고 있는 것으로 파악됐다. 셀레브라이트가 애플의 비즈니스 파트너인 셈이다.
아이폰은 개인 보안 설정 기능을 갖추고 있다. 10번 이상 암호 입력이 잘못될 경우 아이폰 내 데이터가 자동 삭제되도록 설정할 수 있다. 제 3자가 임의로 비밀번호 입력을 통해 아이폰내 정보를 볼 수 없도록 하기 위해서다. 예컨대 개인 설정에 따라 5번 이상 비밀번호 입력 오류가 발생하면, 6번째부터 다음 비밀번호를 입력할 수 있는 대기시간이 1분, 5분 등으로 갈수록 늘어나도록 했다. 정보기술(IT) 전문매체 씨넷은 이런 보안체계를 뚫기위해 ‘낸드 미러링’(NAND mirroring) 방식이 사용된 것으로 예상했다. 이 방식은 아이폰 메모리내 데이터를 통째로 복사한 뒤 비밀번호 추출 작업을 벌이는 방식이다. 일각에서는 아이폰에 깔려 있는 앱의 결함을 찾아 해킹 통로를 찾는 방안이나 휴대폰 마이크로프로세서를 제거한 뒤 강제로 작동시키는 방법도 있지만 가능성은 높지 않다는 진단이다.
FBI와 애플간 공방은 일단 수면 아래로 잠복했지만 사법기관이 공공 안전을 지키기 위해 디지털 정보를 요구할 개연성이 높다. 반면 애플 등 IT업체는 고객 정보보호에 방점을 두고 이를 거부할 것으로 보여 결국 의회가 법으로 명확히 교통정리를 해야 한다는 지적이 나오고 있다.
[뉴욕 = 황인혁 특파원]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]