지디넷코리아

(지디넷코리아=손경호 기자)천하의 미국 연방수사국(FBI)은 왜 아이폰 잠금화면 하나 풀지 못해 쩔쩔맨 것일까.

최근 미국 법원이 애플에 테러범이 사용했던 아이폰5C를 잠금해할 수 있도록 FBI를 도와주라고 명령했지만 애플이 거부했다. iOS가 사용자들에게 제공해 왔던 보안의 근간을 흔들 수도 있다고 주장하면서 반발했기 때문이다.

이런 사실이 알려지면서 세계 최고 첩보력을 자랑하는 FBI가 잠금 해제 하나 풀지 못한 것에 대해 의문을 제기하는 사람들이 적지 않다. 언뜻 보기엔 그다지 복잡해 보이지 않기 때문이다.

그 비밀은 애플이 아이폰에 적용한 암호 체계에서 찾을 수 있다. 해커들이 단골로 동원하는 해킹 수법을 무력화하는 보안 체계를 구축해 왔기 때문이다.

■ 지연시간 때문에 비밀번호 해독 힘들어

사건은 지난 해 12월로 거슬러 올라간다. FBI는 그 무렵 미국 캘리포니아 주 샌버너디노에서 발생한 총기 난사 사건을 수사하고 있었다. 이 과정에서 FBI는 14명을 살해한 테러범 사이드 파룩이 갖고 있던 아이폰5C를 압수하는 데 성공했다.

금방이라도 풀릴 듯한 수사는 곧바로 벽에 부닥쳤다. 아이폰 첫 화면에 입력해야하는 비밀번호를 풀지 못한 때문이다. 테러범이 무슨 활동을 계획했는지에 대한 정보를 전혀 얻을 수 없었다.

아이폰 시작 화면처럼 숫자로 돼 있는 암호를 풀 때 일반적으로 쓰는 방법은 '무차별대입공격(Brute force attack)'이다. 모든 숫자, 영어 대소문자, 특수문자 조합을 일일이 대입해보는 방법으로 비밀번호를 찾아내는 방법이다.

하지만 비밀번호를 구성한 조합의 자릿수가 늘어날수록 경우의 수는 걷잡을 수 없이 늘어난다. 숫자 뿐 아니라 영어 대소문자, 특수문자 등이 포함될 경우엔 불가능에 가까운 상황이 된다.

애플이 지난해 9월 배포한 iOS시큐리티라는 이름의 보안백서에 따르면 iOS9.0과 이후 버전에서는 기존 4자리에서 6자리 비밀번호 입력을 지원한다. 두 자릿수 차이로도 수많은 비밀번호 조합이 생겨날 수 있다.

더 큰 장벽은 따로 있었다. 애플의 새로운 보안 방법 때문에 '무차별 대입' 방법을 제대로 쓸 수도 없다는 점이었다.

애플은 한번 비밀번호를 입력할 때 마다 12분의 1초 지연시간을 두도록 했다. 비밀번호 조합 입력을 자동화한 프로그램을 활용해 암호를 풀려는 시도를 막기 위한 조치였다. 애플 백서에 따르면 이런 보안 체계 덕분에 6자리 숫자, 영문자 등으로 구성된 비밀번호를 알아내려면 5년6개월 이상 시간이 걸린다.

■ 4회 이상 틀릴 땐 또 다른 지연시간 발생

아이폰 보안 장벽은 여기에 하나가 더 추가돼 있다. 애플은 아이폰 비밀번호를 4회 이상 틀릴 경우 또 다른 지연시간이 발생하도록 했다. 5회째는 1분, 6회째 5분, 7~8회째 15분, 9회째는 1시간이며 마지막 10회 마저도 틀리게 되면 내부 데이터를 자동으로 삭제하는 옵션을 설정할 수도 있다.

애플 A7칩 이상을 탑재한 iOS기기들은 '시큐어인클레이브(Secure Enceval)'라는 보안영역을 통해 기기를 껏다키더라도 지연시간이 그대로 유지되도록 했다. 테러범 파룩이 사용한 아이폰5C에는 A6칩이 탑재됐다.

테러범 파룩이 아이폰5C 운영체제를 iOS9 이상으로 업데이트 한 뒤 숫자, 영문자 등을 조합한 6자리 비밀번호를 사용했을 경우엔 FBI가 수수께끼를 풀기까지 5년6개월이 걸리게 되는 셈이다.

FBI는 결국 애플에 해당 아이폰 내에 백도어를 설치할 수 있도록 허용해줄 것을 요구했다. 구체적으로는 백도어를 심은 iOS를 테러범의 아이폰에 업데이트 해 테러범이 사용한 아이폰5C에 대한 무차별대입공격이 지연되지 않도록 해달라는 뜻이다.

실제로 FBI는 자체 개발한 백도어를 갖고 있었지만 또 다른 난관에 부딪친다. 애플 기기는 이 회사가 제공하는 전자서명 없이는 마음대로 운영체제(OS)를 업데이트할 수 없게 만들었기 때문이다. 애플이 FBI가 제작한 백도어를 적용한 iOS를 설치할 수 있도록 전자서명을 거쳐야지만 업데이트가 가능해지는 탓이다.

■ '소스코드 공개 땐 암호체계 무력화' 우려한 듯

팀 쿡 애플 최고경영자(CEO)는 이 사건에 대해서만 이러한 방법을 적용하라는 법원명령과 관련 자사 고객들에게 보내는 공개서한을 통해 "정부는 이러한 방법이 (테러범이 보유했던 아이폰에 대해) 한번만 사용될 것이라고 말했으나 한번이라도 쓰이기 시작하면 다른 모든 기기에 대해서도 적용될 수 있다"고 지적했다.

애플 입장에서는 미국 정부가 도를 넘어선 과도한 요구를 하고 있다는 주장이다.

그는 "일각에서는 아이폰에 한번만 백도어를 설치하고 나서 지워버리면 상관없는 것 아니냐고 말하지만 이는 디지털 보안의 기초를 무시한 발언"이라고 지적했다. 디지털 세상에서 (전자서명을 위해 필요한) 키는 암호화된 시스템을 열 수 있는 정보의 조각이다. 일단 이러한 정보가 알려지거나 이를 우회할 수 있는 기술적 방법이 드러나게 되면 이후에는 얼마든지 이를 무력화할 수 있는 방법을 만들어 낼 수 있다는 설명이다.

→ 한 뼘 더 깊은 IT 보고서 ‘리소스 라이브러리’ 에서 만나보세요!

손경호 기자(sontech@zdnet.co.kr)

▶ IT 세상을 바꾸는 힘 <지디넷코리아>
▶ IT뉴스는 <지디넷코리아>, 글로벌 IT뉴스는 <씨넷코리아>, 게임트렌드는 <뉴스앤게임>
▶ 스마트폰으로 읽는 실시간 IT뉴스 <모바일지디넷>
[저작권자ⓒ메가뉴스 & ZDNet & CNET. 무단전재 및 재배포 금지]