2024년 1월 23일(현지 시각), 애플이 아이폰 도난 사고 발생 시 절도범이 할 수 있는 행동과 패스코드 접근 권한을 줄일 새로운 방안을 배포했다. ‘도난 기기 보호’ 기능이라는 이름으로 배포된 해당 기능은 누군가가 아이폰의 민감 설정 조건에 접근하거나 변경하려 할 때 추가 보호 기능을 적용한다. 타인이 애플 키체인에 저장된 패스워드에 접근하려 한다면, 지문 인식 기능이나 아이폰 안면 인식 기능을 이용해 아이폰 주인임을 입증하기 전까지 정보에 접근할 수 없다.
스마트폰 도난 피해 사례는 멀지 않은 곳에서도 찾아볼 수 있다. 런던에서는 매일 6분꼴로 스마트폰 도난 사고가 발생한다. 온라인 커뮤니티에는 스마트폰 소매치기 피해를 겪었다는 글이 넘쳐난다. 최악의 사례로 도난범이 강제로 패스코드 정보를 요구하거나 어깨너머로 엿보는 방식으로 스마트폰 패스코드에 접근하고는 타인의 스마트폰을 훔친 뒤 기기 잠금 설정을 해제하는 사례도 있다. SNS 계정과 패스워드, 금융 데이터 모두 탈취 위험성에 취약한 상태가 된다.
도난 기기 보호 기능은 2024년 1월 23일 자로 배포된 애플의 최신 모바일 운영체제인 iOS 17.3에 포함된 기능이다. 아이폰 사용자라면, 도난 보호 기능을 설정 조건에서 활성화할 기능 목록 우선순위에 추가할 필요가 있다. 도난 기기 보호 기능을 활성화한다면, 별다른 설정 조건을 적용하지 않더라도 데이터 보호 수준을 높일 수 있다. 더 나아가 스마트폰 절도 범죄를 막는 데 도움이 될 수도 있다. 복수 사이버 보안 전문가는 애플의 도난 기기 보호 기능 추가를 두고 긍정적인 일이라고 평가하며, 기존 패스코드와 함께 기기 보호 수준을 높일 수 있다고 평가했다.
경찰 컴퓨터 범죄 수사관 출신인 보안 기업 이셋(Eset) 소속 글로벌 사이버 보안 자문 위원인 제이크 무어(Jake Moore)는 “도난 피해가 발생한 아이폰 보호는 또 다른 보안 보호 장벽 역할을 하면서 스마트폰 도난 범죄 피해자를 겨냥할 때마다 절도범에게 더 큰 압박을 가할 것이다”라며, “조직화된 범죄 조직 사이에서는 탈취한 스마트폰 판매 사업이 항상 거액의 규모를 형성한 사업이 된다. 그러나 아이폰 도난 기기 보호 기능이 등장하여 범죄 조직이 도난 기기를 판매하려면, 별도의 작업이 필요할 것이다”라고 설명했다.
[사진=Unsplash]
도난 기기 보호 기능 실행 시 애플은 아이폰이 사용자 집이나 직장 등 익숙한 곳이 아닌 곳으로 위치를 파악할 때마다 일부 설정 조건에 제한 사항을 추가한다. 타인이 스마트폰 잠금을 해제하고, 설정 조건을 변경하려 할 때는 페이스 ID나 터치 ID로 인증해야 한다. 따라서 절도범이 스마트폰 패스코드를 손에 넣더라도 생체 인증 정보 인증을 완료하지 못한 상태에서는 기기 설정 조건을 변경할 수 없다. 스마트폰 절도범이 기기 접근 권한을 얻고자 간단하게 직접 시스템 복제와 속임수를 적용할 수 없다는 의미이다.
타인이 아이클라우드 키체인에 저장한 패스워드나 패스키 접근 시도나 사파리에 저장한 결제 수단 사용, 분실 모드 해제, 스마트폰 정보 삭제, 새로운 애플 기기 설정을 통한 분식 기기 사용, 애플 카드 신규 발급 신청, 애플카드 가상 번호 보기, 애플캐시를 이용한 현금 이체 등을 시도할 때 추가 정보 확인 요청이 등장한다.
더 민감한 정보를 확인할 때는 별도의 확인 사항도 적용한다. 기기 위치가 낯선 곳으로 감지되었을 때 애플은 사용자 생체 인증 기능을 사용한 뒤 한 시간 동안 변경 사항 적용을 지연한다. 지연 시간 완료 후에는 설정 변경 사항을 적용하기 위해 생체 정보를 한 번 더 요구한다. (추가 보안 적용이 지연되더라도 아이폰을 정상적으로 사용할 수 있다.)
시간 지연 기능은 애플 아이디 패스워드 변경, 애플 아이디 로그아웃, 신뢰할 수 있는 기기 정보 삭제 등 애플 아이디 계정 보안 설정 업데이트 시 적용된다. 지연 기능은 페이스 ID나 터치 ID 계정 제거, 아이폰 패스코드 변경, 설정 초기화, ‘나의 찾기’ 툴 비활성화, 도난 기기 보호 기능 비활성화 등을 적용하려 할 때도 실행된다. 절도범이 아이폰을 손에 넣었을 때는 기기에 연결된 계정 정보나 보안 설정 등을 재빨리 변경하여 기기 자체나 온라인 계정 정보를 통제하고자 한다. 만약, 설정 변경 사항 적용 시간을 지연한다면, 절도범이 원하는 대로 설정 조건을 변경하는 사례를 줄일 수 있을 것이다. 무어는 설정 변경 사항 적용 시간 지연 기능이 훌륭한 수준으로 보안 기능을 추가한다고 언급했다.
아이폰의 도난 기기 보호 기능 활성화 방식은 간단하다. 설정 앱에 들어가서 몇 가지 버튼만 누르면 된다. 먼저, iOS 17.3 업데이트를 완료해야 한다. 이후 ‘설정(Settings)’ 앱에 접속하고, ‘페이스 ID 및 패스코드(Face ID & Passcode)’를 선택하고, ‘도난 기기 보호(Stolen Device Protection)’에 접속하고 스위치를 활성화하면 된다.
애플은 도난 기기 보호 기능을 추가하면서 아이폰 주인 인증 방식으로 터치 ID, 페이스 ID 등을 통해 생체 정보 의존 수준을 높인다. 보안 기업 멀웨어바이츠(Malwarebytes) 소속 사이버 보안 전문가 마크 스토클리(Mark Stockley)는 “애플은 기기 수억 대를 통해 생체 정보를 약 10년간 사용했으며, 생체 정보 사용 사례 증가를 확신한다”라고 설명했다. 스토클리는 그동안 생체 정보 인증 오류 시 패스워드나 패스코드를 사용할 수 있었다는 점을 언급했다. 하지만 도난 기기 보호 기능이 배포되면서 패스워드나 패스코드의 역할이 달라질 것이다. 생체 인증 기술 신뢰도 상승을 시사하는 부분이기도 하다. 스토클리는 “도난 기기 보호 기능으로 생체 인증 기술 사용 범위를 넓힌 것이 패스코드 사용 감소를 위한 단계가 될 수 있다”라고 말했다.
도난 기기 보호 기능은 보안 수준을 더할 방법이지만, 절도범이 기기와 패스코드 모두 손에 넣은 뒤 할 수 있는 모든 행동에 맞서 기기 소유자 정보를 모두 보호하지는 않는다. 데이터 백업을 확인하고, 왓츠앱 등 일부 앱에는 아이폰 자체 패스코드와는 다른 패스코드나 PIN 번호 잠금을 별도로 적용해야 한다.
전반적으로 아이폰 도난 피해 발생 시 경찰에 신고하는 것 이외에도 애플 아이클라우드에 접속하여 기기 제어 권한을 되찾고자 할 것이다. 스토클리는 “애플 ID 패스워드를 변경하고, 현재 접속된 기기와 웹사이트에서 모두 로그아웃해야 한다”라고 말했다. 이후 아이클라우드의 ‘나의 기기 찾기’ 설정에서 분실 기기로 등록하고는 원격으로 민감 정보를 삭제할 수 있다. 도난 기기 보호 기능이 도난 피해 발생 시 피해자의 복구 기능을 별도로 필요로 하지 않기를 바란다. 하지만 도난 기기 보호 기능을 활성화했다면, 절도범이 원하는 대로 기기를 조작하기 어려워질 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202401/5302_6885_1755.jpg)
뉴스레터 신청