지난 12월 19일 러시아 주재 터키 대사를 터기 경찰관이 암살하는 사건이 발생했다. 당시 암살범은 몇 분 뒤 터키 특수부대에 의해 사살됐다. 그런데 외신에 따르면 터키 당국이 이 남서이 소지하고 있던 아이폰4s 잠금 해제를 러시아에 요청했다고 한다.
이 남성이 갖고 있던 제품은 4자리 암호를 이용한 아이폰4s로 잠금 해제는 비교적 쉬울 것으로 보인다. 아이폰4s 잠금을 해제하는 방법은 이미 일부가 발견된 상태다. 이번 일로 애플의 도움을 빌릴 필요도 없다.
아이폰4s는 최신 아이폰에 비하면 보안성이 낮다. 먼저 아이폰4s에선 iOS5∼iOS9까지 운영체제를 이용할 수 있지만 실제로는 운영체제가 업그레이드되지 않은 기기가 대부분이다. 만일 이 남성이 iOS7 이전 운영체제를 설치한 상태라면 아이폰 안에 있는 데이터를 꺼내는 건 상당히 간단하다. 아이폰 내용이 암호화되어 있는 건 iOS8 이상을 탑재한 아이폰 뿐이기 때문. 따라서 터키 당국이 데이터 내용을 꺼내기도 간단하다는 것이다.
만일 이 남성의 아이폰이 iOS8 이상 운영체제를 탑재했더라도 아이폰4s는 시큐어 인클레이브(Secure Enclave)나 터치ID 센서를 갖추고 있지 않다. 시큐어 인클레이브는 데이터 유출을 방지하기 위해 보안 부팅을 가능하게 해주는 보조 프로세서의 일종이다. 시큐어 인클레이브는 장치마다 고유 ID를 갖췄고 다른 시스템에서 해당 ID에 접근하는 건 불가능하다. 애플이라도 이 ID를 꺼낼 수는 없다. 해당 ID에 액세스할 때에는 일회용 키가 발행된다. 이들 키 2개를 갖춰야 보조 프로세서의 데이터 암호화와 복호화가 가능하다.
아이폰5s 이후 기기에선 암호 같은 민감한 정보는 시큐어 인클레이브가 지키고 있다. 더 중요한 건 시큐어 인클레이브를 탑재한 기기에 잘못된 암호를 입력할 때마다 다음 암호를 입력할 수 있는 시간이 점점 늘어나는 구조라는 것이다. 이렇게 하면 기기에 해당 가능한 암호 조합을 계속 시도하는 무차별 공격을 방지할 수 있다.
기기에 시큐어 인클레이브가 탑재되어 있지 않다면 수백 달러짜리 하드웨어 정도면 아이폰을 잠금 해제할 수 있다. 아이폰은 암호 입력을 10회 입력하면 데이터를 삭제하는 기능도 있지만 잠금 해제용 하드웨어는 이런 보호 기능을 우회할 수 있고 몇 시간 정도면 아이폰 잠금 상태를 해제할 수 있다.
물론 iOS 8.1.2 이후가 되면서 하드에어 장치를 이용한 암호 해독도 불가능하게 됐다. 하지만 다른 취약점을 이용할 수도 있다. 샌 버나디노 총기 난사 사건에서 FBI는 iOS9를 탑재한 아이폰5c를 해제한 바 있다. 물론 iOS9를 탑재한 아이폰4s 잠금도 해제할 수 있다는 곳도 있다. 시큐어 인클레이브를 탑재한 아이폰 잠금 해제는 상대적으로 어려워진다는 얘기다. 관련 내용은 이곳에서 확인할 수 있다.
- 터키 대사 암살범 아이폰4s 잠금 해제를…
- 테슬라車에 숨겨진 성탄절 이스터에그
- 혁신의 시작? 佛 세계 첫 태양광 자동차 도로
- 2017년 모바일앱 시장은…
- 크라우드소싱과 인공지능의 공생