수사기관이 홍보(?)해주는 '아이폰 보안'…삼성 갤럭시는?
상태바
수사기관이 홍보(?)해주는 '아이폰 보안'…삼성 갤럭시는?
  • abc경제
  • 승인 2020.07.25 23:23
  • 댓글 0
이 기사를 공유합니다

뉴스1 © News1 성동훈 기자

박원순 전 서울시장의 아이폰XS가 피해자의 제보로 잠금해제가 풀리면서 경찰의 수사에 탄력이 받게 됐다. 당초 박 전 시장의 휴대전화가 아이폰이라는 점이 알려진 이후 이를 여는데 수개월이 걸리거나 혹은 아예 풀지 못할 수도 있다는 얘기가 나왔었다.

실제로 텔레그램에서 '박사방'을 운영해 성을 착취한 혐의로 구속 기소된 조주빈의 경우 경찰이 휴대전화에 대한 잠금해제를 5개월째 시도하고 있지만 아직 성과를 보지 못했다.

주요 사건마다 당사자들의 휴대전화 잠금을 해제할 수 있는지가 쟁점으로 떠오르는 가운데 그 중심에는 항상 아이폰이 있다. 그렇다면 아이폰의 보안은 무엇이 다른 것일까.

기본적으로 아이폰의 잠금해제 방식은 매우 까다로운데에 더해 다층의 보안 방식을 적용하고 있다. 아이폰의 여섯 자리 비밀번호를 풀기 위해서는 경우의 수가 수백만 가지인데 비밀번호를 10번 틀릴 경우 휴대전화가 초기화되도록 돼 있다.

섣불리 잠금 해제를 시도했다가 수사에 필요한 데이터가 모두 사라질 수 있다는 얘기다.

얼굴인식 페이스ID와 지문인식 터치ID도 애플의 핵심 보안 시스템으로 이 생체정보는 은밀한 곳에 따로 암호화 돼 보관된다. 페이스ID는 사용자가 설정에서 비활성화 시킬 수도 있지만, 인식에 실패하면 어떤식으로든 6자리 암호를 맞춰야 한다.

만약 사용자가 숫자와 영어 대소문자 조합으로 암호를 어렵게 조합했다면 이론적으로는 경우의 수가 560억개에 이른다는 설명도 있다.

경찰에서 수년간 사이버 수사를 담당했던 한 간부는 아이폰의 잠금 해제를 두고 이렇게 설명했다. 이 총경은 "아이폰의 비밀번호를 사람의 손으로 맞추는 것은 불가능하다"며 "이중으로 보안이 설정돼 있다면, 강제로 잠금을 해제하더라도 암호화된 데이터가 뒤죽박죽 섞일 수가 있어 매우 조심스럽다"고 말했다.

애플사(社)가 수사기관의 요청에 비협조적인 것도 암호를 쉽게 풀지 못하는 대표적인 이유다. 국가의 중요 사안이나 사회적 중대 사건의 경우 다른 제조사들은 휴대전화 암호해제 코드를 제공하지만 애플은 다르다.

지난 2015년 발생한 총기 난사 사건 테러범의 아이폰 잠금 해제를 위해 미국연방수사국(FBI)이 애플에 수사 협조 요청을 했으나 애플은 사용자의 개인정보 보호를 이유로 거절한 것이 대표적인 사례다.

물론, FBI의 경우 애플의 도움없이 '낸드 미러링(NAND mirroring)'이라는 기술을 이용해 휴대전화를 풀었다. 10번의 비밀번호 오류를 피하기 위해 전화기에서 CPU나 메모리를 분리한 뒤 이를 복사해 가상 드라이브 파일로 복제하는 방식을 말한다.

뉴스1 © News1 이승배 기자

이같은 기술을 도입한 FBI는 암호를 입력할 칩을 잠금이 풀릴때까지 무한대 복사했다. 이는 '브루트 포스'(brute force method) 방식이라고 불리는데 잠금해제 비밀번호를 알아낼 때까지 비밀번호를 무차별 입력하는 방식이다.

FBI가 이같은 방법으로 잠금을 해제하긴 했지만 결과적으로는 아이폰의 보안성이 얼마나 강한지를 대표하는 사례가 됐다.

경찰의 사이버수사를 오래했던 한 총경도 이같은 방식을 FBI니까 가능한 방식이라고 했다. 이 총경은 "브루트 포스 방식을 사용하려면 엄청난 비용이 소모된다"며 "상당한 시간도 소요된다"고 설명했다.

이 총경은 "결국에는 제조사가 수사기관에 얼마나 협조적인가에 따라 보안이 크게 나뉜다고 볼 수 있다"며 "애플이 개인정보에 매우 민감하다보니 보안이 강하다고 느낄 수 있는 것"이라고 설명했다.

아이폰의 또다른 차이점은 바로 '폐쇄성'과 '개방성'의 차이다. 김현걸 한국사이버보안협회 회장은 "사람들은 주로 아이폰이 보안이 강하다고 하지만 정확히 말하면 개방성의 차이"라고 설명했다.

김 회장은 "사용자가 휴대전환 안에서 이용가능한 일종의 놀이터를 샌드박스라고 봤을 때 IOS가 샌드박스에서 사용자에게 주는 권한은 최소한에 그친다"며 "반면, 안드로이드는 그 권한을 매우 많이 부여한다"고 말했다.

경찰 관계자도 같은 맥락의 설명을 곁들였다. 이 총경은 "애플은 OS의 코어 영역을 사용자가 건드리지 못하게 해놨다"며 "아이폰 주요 영역의 문지기가 애플 하나라면 안드로이드는 문지기가 여러개임과 동시에 문지기가 사용자가 될 수도 있다"고 설명했다.

물론, 아이폰의 보안이 완벽한 것은 아니다. 청와대 하명 수사 의혹으로 검찰 수사를 받다가 숨진 전 청와대 민정비서관실 소속 검찰 수사관 A씨의 휴대전화는 약 4개월 만에 잠긴 상태에서 풀렸다.

대검찰청은 셀레브라이트사의 소프트웨어를 작동한 상태에서 자체 장비를 통해 24시간 6자리 암호를 일일이 입력해 4개월 만에 해독에 성공했다. 다만, 이는 아이폰10까지만 적용되는 기술로 아이폰11의 경우 암호 해독 과정이 또 달라진다.

반대로 삼성전자의 갤럭시가 사용하는 안드로이드는 폐쇄성이 점점 강해지고 있다. 삼성전자도 보안앱 '녹스'를 개발하는 등 데이터 보안에 각별한 주의를 기울이고 있다.

결과적으로 두 OS를 쓰는 단말기 모두 보안성이 강해지고 잇다는 것이다. 경찰 관계자는 "안드로이드의 폐쇄성이 점차 강해지고 갤럭시도 암호화 솔루션을 추가로 사용할 수 있다"며 "수사에 어려움이 가중되고 있는 것은 사실"이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사