본문 바로가기 주메뉴 바로가기 검색 바로가기
법률 집행 기관, 스마트폰 암호화 어떻게 우회할까
상태바
법률 집행 기관, 스마트폰 암호화 어떻게 우회할까
새로운 연구에서 심층 연구를 통해, iOS와 안드로이드 보안 모두 누구나 접근할 수 있는 적절한 툴을 제공한다는 사실을 밝혀냈다.
By LILY HAY NEWMAN, WIRED US

미국을 비롯한 전 세계 국회의원과 법률 집행 기관은 갈수록 개인 데이터를 보호하는 암호화 제도의 백도어를 촉구하면서 국가 안보가 위험하다는 주장을 펼친다. 그러나 존스홉킨스대학교 연구팀의 새로운 연구에서 각국 정부가 이미 좋은 결과이든 나쁜 결과이든 안드로이드와 iOS의 보안 제도의 약점을 이용해 잠금 설정이 된 스마트폰에 접근할 수 있는 각종 수단과 툴을 보유하고 있다는 사실을 시사한다.

존스홉킨스대학교 암호 연구가로 구성된 연구팀이 애플과 구글의 대중적으로 접근할 수 있는 각종 문건과 안드로이드, iOS 암호화의 강력한 정도 평가 분석 자료를 활용했다. 또한, 10년 넘게 누적된 법률 집행 기관과 범죄 집단이 과거에 우회한 모바일 보안 기능, 혹은 현재 사용하는 특수 해킹 툴 관련, 여러 보고서도 함께 연구했다. 연구팀은 현재의 모바일 개인 정보 보호 상황을 자세히 파헤치고, 안드로이드와 iOS가 계속 보호 상태를 개선할 방향과 관련해 기술적 조언을 제공했다.

해당 연구를 감독한 존스홉킨스대학교 암호 연구가 매튜 그린(Matthew Green) 박사는 “연구 과정에서 확인한 사실이 매우 충격적이었다. 안드로이드 기기와 iOS 기기 모두 사용자 데이터 보호 수준이 훌륭하다고 생각했기 때문이다. 이제는 가능한 보호할 수 있는 사용자 데이터 중 보호받을 수 있는 데이터가 거의 없다는 사실을 확인했다. 그렇다면, 잠금 해제가 필요한 휴대폰의 보호 상태가 매우 형편없는 상황에서 백도어가 필요한 이유는 무엇인가?”라고 반문했다.

“안드로이드 기기에서는 운영체제 수준만 공격할 수 있는 것이 아니다. 다양한 방법으로 보안이 취약해질 수 있는 소프트웨어의 다양한 단계의 보안 수준도 공격을 받을 수 있다.”
투샤르 조이스, 존스홉킨스대학교

휴대폰 데이터를 모두 삭제하고 휴대폰을 처분하기 전, 연구팀이 특별히 깊이 관찰한 개인 정보 보호와 보안 위반 사항을 이해하는 것이 중요하다. 패스코드, 지문 인식 혹은 안면 인식을 이용한 잠금 해제 등으로 휴대폰에 접속할 때, 휴대폰은 기기의 콘텐츠를 암호화한다. 누군가가 휴대폰의 정보를 탈취하고 데이터를 외부로 빼낸다면, 말이 안 되는 내용만 볼 수 있다. 그리고, 오늘날 스마트폰은 여러 단계에 걸친 보안 절차와 각각 다른 수준의 민감 데이터의 다양한 암호화 키를 제공한다. 많은 키가 기기 잠금 해제와 연결돼 있지만, 가장 민감한 데이터 접근을 위해 추가 인증 절차가 필요하다. 운영체제와 일부 특수 하드웨어는 모든 키 관리와 데이터 단계별 접근을 관리한다. 대부분 사용자가 신경 쓸 필요도 없는 부분이다.

연구팀은 이 모든 사실을 염두에 두고, 해커가 각종 암호화 키를 세부적으로 발견하고 일부 데이터 잠금 해제를 하는 것이 매우 어려울 것으로 추측했다. 그러나 실제로 연구팀이 확인한 사실은 추측한 바와 달랐다.
 
[사진=Freepik]
[사진=Freepik]

iOS 기기 보안 연구를 이끈 존스홉킨스대학교 박사학 과정 재학생인 막시밀리안 진쿠스(Maximilian Zinkus)는 “특히 iOS 기기에서 인프라가 설명만 들었을 때, 정말 훌륭한 것처럼 들리는 수직적 암호화 과정에 배치돼 있다. 그러나 실제로 훌륭한 암호화 과정이 사용되지 않는다는 사실에 놀랐다”라고 말했다. 그는 암호화 과정이 제대로 적용되지 않는다는 사실에 문제가 있을 수 있다고 주장했다. 그러나 iOS 자체가 가능한 범위만큼 암호화 보안 수준을 확장하지 않는다.

아이폰을 꺼둔 후 부팅할 때, 애플이 말한 바와 같이 모든 기기는 ‘완벽한 보호’ 상태에 놓여있다. 사용자는 어떠한 일이든 발생하기 전, 기기 잠금 해제를 완료해야 한다. 그리고, 그리고 기기의 개인 정보 보호 상태가 매우 높은 수준이 된다. 강제로 잠금 해제를 해야 할 수 있지만, 기존의 포렌식 툴은 읽을 수 있는 데이터를 외부로 유출하는 데 어려움을 겪었다. 이미 재부팅이 완료된 스마트폰의 잠금 해제를 완료했을 때, 다량의 데이터가 각각 다른 모드로 이동한다. 애플은 이를 ‘첫 번째 사용자 인증이 완료될 때까지 데이터 보호’라고 일컫는다. 그러나 연구팀은 이를 종종 ‘첫 번째 잠금 해제 이후 데이터 보호’라고 말한다.

이를 생각한다면, 이미 우리의 휴대폰도 항상 ‘첫 번째 잠금 해제 이후 데이터 보호’ 상태일 수도 있다. 아마도 며칠 혹은 몇 주간 특별히 휴대폰을 재부팅하지 않을 수 있다. 그리고, 대부분이 스마트폰을 한 번 사용할 때마다 휴대폰을 꺼두지 않는다. (대부분의 경우, 하루에 수백 번 재부팅해야 한다는 의미일 수도 있다) 그렇다면, ‘첫 번째 잠금 해제 이후 데이터 보호’ 상태의 보안 수준은 어떨까? 연구팀은 바로 이 시점부터 모바일 기기 보안 상태 관련 우려를 제기했다.

완벽한 보호’와 ‘첫 번째 잠금 해제 이후 데이터 보호’의 주된 차이점은 애플리케이션이 얼마나 빠르고 쉽게 데이터 암호 해제 키에 접근하는가와 관련이 있다. 데이터가 ‘완벽한 보호’ 상태에 놓여 있다면, 이를 해제할 암호 해제 키는 운영체제 속 깊숙한 곳에 저장돼 있다. 그리고, 데이터 스스로 암호화한다. 그러나 재부팅 후 처음 암호화 해제를 한다면, 수많은 암호화 키가 잠금 설정이 된 상황에서도 빠른 접근 메모리에 저장되기 시작한다. 이때, 해커는 iOS 기기에서 특정 유형의 보안 취약점을 발견하고 악용한다. 그리고, 메모리에 접근할 수 있는 암호화 키를 손에 넣고, 스마트폰에서 다량의 데이터 암호화 해제를 완료한다.

이스라엘 법률 집행 기관의 계약 업체인 셀레브라이트(Cellebrite)와 미국의 포렌식 접근 기업 그레이시프트(Grayshift) 보고서 등 스마트폰 접근 툴 관련, 확인할 수 있는 보고서를 기반으로 했을 때, 연구팀은 얼마나 많은 스마트폰 접근 툴이 작동하는가와 관련, 상당한 사실을 확인하게 되었다. 암호화 키를 얻기 위해 특정한 운영체제의 보안 취약점이 필요한 것이 사실이다. 그리고, 애플과 구글 모두 가능한 많은 결함 패치 작업을 하지만, 많은 암호화 키에 접근할 수 있다는 사실을 발견할 수 있다.

연구팀은 안드로이드 기기의 설정이 iOS 기기와 비슷하지만, 한 가지 결정적인 부분에서 차이가 있다는 사실을 발견했다. 안드로이드 기기는 첫 번째 잠금 해제가 적용되기 전, ‘완벽한 보호’ 상태가 적용된다. 그 후, 스마트폰 데이터는 기본적으로 ‘첫 번째 잠금 해제 이후 데이터 보호’ 상태가 된다. 그러나 애플은 개발자에게 여러 기능 중, 뱅킹 앱 등 일부 데이터를 항상 더 엄격한 ‘완벽한 보호’ 수준의 잠금 상태를 유지할 수 있도록 옵션을 제공한다. 반면, 안드로이드 기기는 애플과 같은 수준으로 ‘첫 번째 잠금 해제 이후 데이터 보호’ 상태와 같은 일부 데이터를 제공하지 않는다. 포렌식 툴은 바로 더 많은 암호 해제 키를 얻을 수 있는 취약점을 이용한다. 궁극적으로는 안드로이드 스마트폰에서 더 많은 데이터에 접근한다.

안드로이드 모바일 기기 보안 부분 연구를 이끈 존스홉킨스 박사학 과정 학생인 투샤르 조이스(Tushar Jois)는 안드로이드 기기의 상태가 iOS 기기보다 더 복잡하다는 사실에 주목한다. 안드로이드 생태계에 여러 스마트폰 제조사와 안드로이드 구축 상태가 존재하기 때문이다. 안드로이드에는 더 많은 방어 버전과 구성이 있으며, iOS 기기 사용자보다 광범위한 범위에 걸쳐 많은 사용자가 최신 보안 패치 작업을 할 가능성이 작다.

조이스는 “구글은 보안 상태 향상을 위해 수많은 노력을 했다. 그러나 사실, 안드로이드 기기 상당수가 어떠한 업데이트도 하지 않는다. 게다가 여러 공급 업체가 최종 제품에 두는 각각 다른 구성 요소를 지니고 있어, 안드로이드 기기에서는 운영체제 수준만 공격할 수 있는 것이 아니다. 다양한 방법으로 보안이 취약해질 수 있는 소프트웨어의 다양한 단계의 보안 수준도 공격을 받을 수 있으며, 갈수록 많은 해커가 더 많은 데이터에 접근하게 된다. 이러한 이유로 추가적인 공격이 표면적으로 드러나게 된다. 이 때문에 안드로이드 기기에서 공격을 받게 되는 데이터가 더 많다”라고 설명했다.

"클라우드 백업도 개인 데이터 보호와 똑같이 상당한 수준의 암호화를 사용할 수 있는 영역이다. 그러나 클라우드 백업에서는 항상 암호화를 사용할 필요가 없다.”
막시밀리안 진쿠스, 존스홉킨스대학교

연구팀은 연구 논문 공개에 앞서 안드로이드 보안 연구팀과 iOS 보안 연구팀의 연구 결과를 공유했다. 애플의 어느 한 대변인은 와이어드에 애플의 보안 작업은 개인 정보를 탈취하려는 해커와 보안 침입자, 범죄자 등에게서 사용자를 보호하는 것에 중점을 두고 있다고 주장했다. 해당 대변인은 연구팀이 면밀히 관찰하고 있는 공격 유형은 막대한 비용을 들여 발전했다고 말한다. 애플이 개인 정보 도난 과정에서 악용한 취약점에 대한 패치 작업을 할 때까지 해커는 공격 표적이 된 기기에 대한 물리적 접근과 한가지 공격 행위만 필요하다는 점도 덧붙여 설명했다. 그리고, 애플 측은 iOS의 목표는 보안과 편리함 간의 균형을 맞춘다는 목표를 지니고 있다는 사실을 밝혔다.

애플 대변인은 공식 성명을 통해 “애플 기기는 여러 단계의 보안 단계로 설계됐다. 이는 다양한 범위의 잠재적인 위협으로부터 보호하기 위한 목적이며, 애플은 지속해서 사용자 데이터에 새로운 보호 조치를 추가한다. 사용자가 계속 기기에 더 많은 민감 정보를 저장하기 때문에 애플은 꾸준히 하드웨어와 소프트웨어에 사용자 데이터를 보호하기 위한 추가 보호 조치를 발전해 나갈 것이다”라고 발표했다.

구글도 이와 비슷하게 안드로이드 기기를 대상으로 한 공격 행위는 물리적 접근과 기존의 보안 결함 유형에 의존한다고 강조했다. 구글 대변인은 공식 성명을 통해 “구글은 매달 각종 보안 취약점에 대한 패치 작업을 하며, 지속해서 플랫폼 보안을 강화한다. 버그와 취약점이 가장 먼저 악용되는 일이 없도록 하기 위함이다. 따라서 사용자는 향후 배포되는 안드로이드 버전에서 보안이 추가로 강화될 것을 기대할 수 있다”라고 발표했다.

안드로이드와 iOS의 암호화 상태 차이점을 이해하기 위해 개인적으로 두 운영체제에서 약간의 실험을 할 수 있다. 친구가 전화를 걸 때, 보통 친구의 연락처 정보가 기기에 저장됐기 때문에 발신자 이름이 통화 화면에 표시된다. 그러나 스마트폰을 재부팅하고 잠금 해제를 하지 않은 상태에서 친구에게서 전화가 올 때는 통화 화면에 발신자 번호만 표시된다. 주소록 데이터 암호화 해제 키가 메모리에 존재하지 않는 상태이기 때문이다.

또, 연구팀은 안드로이드와 iOS의 클라우드 백업 관리 방식도 깊이 연구했다. 바로 암호화 기능의 데이터 보호 보장이 파괴될 수 있는 또 다른 영역이다.

진쿠스는 “클라우드 백업도 개인 데이터 보호와 똑같이 상당한 수준의 암호화를 사용할 수 있는 영역이다. 그러나 클라우드 백업에서는 항상 암호화를 사용할 필요가 없다. 또, 백업 도중 다른 기기에서 접근할 수 있는 데이터의 범위를 확장할 수 있다. 따라서 맥에서 탐색 작업을 관리할 때, 법률 집행 기관이 클라우드 데이터에 접근할 가능성이 커질 수 있다”라고 설명했다.

현재 사용할 수 있는 스마트폰 보호 조치가 여러 ‘위협 모델’이나 향후 발생할 수 있는 공격에 적합하지만, 연구팀은 스마트폰의 여러 보호 조치가 각국 정부에서 법률 집행 기관 및 정보 조사를 위해 쉽게 구매할 수 있는 특수 포렌식 툴의 기준을 충족하기에는 매우 부족하다는 결론을 내렸다. 최근, 비영리단체 업턴(Upturn)이 공개한 보고서는 2015년부터 2019년까지 스마트폰 데이터에 접근할 목적으로 모바일 기기 포렌식 툴을 사용하는 미국 내 50개 주의 경찰 기관이 5만여 개의 데이터 샘플을 취득했다. 일부 국가에서 시만이 자신의 기기가 이와 같은 수사 유형에 특별히 사용될 일이 없다고 생각할 수 있지만, 만연한 모바일 감시 행위가 전 세계 여러 지역 어디서나 흔하게 이루어진다. 그리고, 갈수록 많은 데이터가 국경을 넘어 공유되기도 한다. 또, 각종 포렌식 툴이 미국 공교육 현장과 같은 다른 환경에도 확산되는 상황이다.

주요 모바일 운영체제가 이 기사에서 설명한 개인 정보 보호 취약점을 지니고 있는 한, 미국과 영국, 호주, 인도를 포함한 세계 여러 국가의 정부가 테크 기업에 판매 중인 제품의 암호화 수준을 낮추도록 촉구하는 목소리가 커지는 이유를 설명하기 더 어려워진다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How Law Enforcement Gets Around Your Smartphone's Encryption
이 기사를 공유합니다
RECOMMENDED