본문 바로가기 주메뉴 바로가기 검색 바로가기
애플, 아이메시지 암호화 기술 때문에 보안 관행 미 법무부 레이더망에 포착
상태바
애플, 아이메시지 암호화 기술 때문에 보안 관행 미 법무부 레이더망에 포착
애플의 제품 판매 강점은 프라이버시와 보안이다. 그러나 미국 법무부는 새로이 제기한 반독점 소송을 통해 애플이 경쟁, 사용자에게 피해를 주는 방식으로 프라이버시, 보안 기능을 몰래 적극적으로 채택했다고 주장한다.
By ANDY GREENBERG, ANDREW COUTS, WIRED US

애플은 2011년, 아이메시지 단대단 암호화 적용 결정으로 애플도 메시지 내용을 전혀 읽지 못하도록 사용자의 소통을 모든 아이폰 기기의 기본 설정 텍스트 앱 내 확실히 보관하여 10년이 넘는 시간동안 프라이버시 옹호 기업이라는 칭송을 받았다. 당시 애플의 결정은 2016년, 단대단 암호화 기술로 전환한 왓츠앱보다 앞선 결정이자 개인 정보 보호 수준이 가장 훌륭한 단대단 메시지 플랫폼인 시그널(Signal)이 탄생하기도 전의 일이다. 애플은 보안 기능으로 프라이버시 보호에 앞장서면서 애플 생태계의 핵심 부분을 형성했다.

하지만 미국 법무부가 애플을 상대로 중요한 반독점 소송을 제기하면서 다년간 스마트폰 시장을 독점하고 그 과정에서 사용자에게 심각한 피해를 준 점, 아이메시지의 단대단 암호화 기술이 애플의 프라이버시 보호 주장으로 보인 위선적인 태도의 핵심이라고 주장한 점이 역설적이다. 소송은 애플이 사용자에게 더 나은 가격과 기능, 혁신을 제공하면서도 더 나은 디지털 보안 수준을 제공했다는 점을 부인한다.

2024년 3월 21일(현지 시각), 미국 법무부가 대대적인 영향을 미치면서 제기한 반독점 소송은 애플을 상대로 각종 반독점 의혹을 제기하며, 애플의 독점 관행이 외부에서는 접근하지 못하도록 철저히 폐쇄한 운영체제와 앱스토어를 이용하여 사용자의 앱, 서비스 사용 권한을 억압했다고 주장했다. 바로 애플이 자체적으로 사용자의 애플 생태계 중독이 수월해지도록 한 부분이기도 하다. 미국 법무부는 애플 앱스토어에서 여러 플랫폼의 다기능 앱과 포괄적인 기능을 접하지 못하도록 유지한 점을 문제 삼았다. 또한, 스트리밍 및 클라우드 기반 애플리케이션 사용 제한, 스마트워치 등 경쟁사 기기의 기능 불이익 등도 미국 법무부가 독점 행위라고 지적한 부분이다.

미국 법무부의 소송은 애플의 보안, 프라이버시 접근 방식도 집중적으로 다루면서 보안, 프라이버시 원칙을 반독점 관행의 변명으로 삼고 기본 원칙을 해칠 때마다 보안, 프라이버시를 포기하기도 했다고 지적한다. 소장에는 “결국, 애플은 프라이버시, 보안을 애플의 금전, 사업 이익 확장 혹은 계약을 변경할 빌미로 이용했다”라고 기술되었다.
 
[사진=Freepik]
[사진=Freepik]

미국 국책연구소인 전략국제문제연구소(Center for Strategic & International Studies, CSIS)의 기술 정책 전문 연구 펠로 케이틀린 친 로스만(Caitlin Chin-Rothmann)은 “애플이 전략적으로 프라이버시, 보안을 자사 사업 이익에 이용했다고 생각한다. 애플은 아이메시지에 단대단 암호화 메시지를 개선하려는 몇 가지 단계를 밟았으나 아이메시지에서 안드로이드로 전송한 기기나 안드로이드에서 아이메시지로 전송한 기기에는 적용되지 않았다”라고 말했다.

미국 법무부는 프라이버시, 보안 관련 주장에서 프라이버시 보호 수준이 더 강력한 검색 엔진이 아닌 구글 검색 엔진을 애플 제품의 기본 검색 엔진으로 설정한 애플과 구글 간의 계약이나 앱스토어에 데이터 수집 앱이 배포되도록 한 것 등 애플의 결정에 잘못이 있다고 지적했다. 하지만 미국 법무부는 아이메시지가 애플의 반독점 관행이 사용자 보안을 직접 해친 가장 명확한 사례라고 반복하였다. 안드로이드 등 다른 스마트폰 플랫폼 사용자가 단대단 암호화 아이메시지 프로토콜을 사용하지 못하도록 하면서 아이메시지를 통해 메시지를 주고받은 아이폰 사용자와 안드로이드 사용자 모두에게 전체적으로 메시지 보안 수준을 심각하게 저하시켰다고 주장했다. 

소장에는 “아이폰에서 안드로이드로 전송한 메시지는 애플이 결과적으로 시행한 암호화 기술이 적용되지 않았다. 애플이 진짜 보안을 원했다면, 아이폰 사용자가 안드로이드 사용자에게 암호화 메시지를 전송하면서 아이폰에서 아이메시지를 사용하도록 할 수 있었을 것이다. 결국, 아이폰과 다른 스마트폰 사용자의 프라이버시, 보안 수준을 즉시 개선할 수 있었을 것이다”라고 작성되었다.

미국 법무부의 주장은 애플 비판 세력이 다년간 제기한 주장이다. 그 예시로 공상과학 소설 적가 겸 기술 비판론자이자 『관문 자본주의(Chokepoint Capitalism)』 공동 저자인 코리 닥터로우(Cory Doctorow)가 2024년 1월 자로 게재한 에세이를 언급할 수 있다. 닥터로우 작가는 에세이를 통해 “안드로이드 사용자를 1대1 대화나 단체 대화 등에 추가하면, 대화 전체는 보안 상태가 훌륭하지 않으면서 38년 전 등장한 프라이버시 악몽을 평범하게 조작할 수 있는 SMS로 전환된다”라며, “애플의 답은 암울할 정도로 흥미롭다. 애플은 메시지를 주고받으면서 진정한 보안을 원한다면, 친구도 아이폰을 구매하도록 해야 한다는 것이다”라고 비판했다.

애플은 와이어드에 보낸 공식 성명을 통해 자사 제품이 다른 제품과 함께 간편하게 작동하면서 사용자 프라이버시와 보안 수준을 보호하고, 사용자에게 훌륭한 사용 경험을 생성한다”라며, “법무부 소송은 애플의 정체와 애플이 시장에서 제품을 차별화한 원칙을 위협한다”라고 전했다. 또한, 아이메시지 안드로이드 버전을 배포한 적이 없는 이유로 외부 기업이 애플의 표준을 충족하는 서비스를 구축하도록 보장할 수 없기 때문이라고 덧붙였다.

공식 성명에는 “미국 법무부가 승소한다면, 소송은 하드웨어, 소프트웨어, 서비스 등이 교차하는 부분에서 소비자가 애플에 기대한 기술을 생성할 능력에 어려움을 줄 것이다”라는 내용과 “소송은 위험한 선례를 남기면서 정부가 대중적으로 사용하는 기술 제품 설계를 두고 고압적인 태도를 보일 권력을 부여할 것이다. 애플은 미국 법무부의 소송 주장이 사실과 법률에서부터 잘못되었으며, 애플은 소송에 적극적으로 맞설 것이다”라는 내용도 작성되었다.

사실, 애플은 안드로이드나 기타 타사 기기의 아이메시지 클라이언트 제작을 거부하면서 아이메시지 클라이언트를 보유한 외부 기관에 적극적으로 맞서 싸웠다. 2023년, 비퍼(Beeper)라는 기업이 아이메시지와 안드로이드 사용자 간 보안을 유지한 메시지 전송을 약속한 서비스를 출시했다. 이에, 애플은 아이메시지 서비스를 변경하여 비퍼의 기능이 제대로 실행되지 못하도록 했다. 결국, 비퍼는 2023년 12월 자로 서비스를 중단했다.

애플은 비퍼가 사용자 보안을 침해했다고 주장했다. 사실, 비퍼는 비퍼 서버에서 아이메시지의 단대단 암호화 기술 암호화 해제 후 메시지에 암호화 기술을 다시 적용했다. 그러나 비퍼는 암호화 해제 후 재설정 과정과 관련, 추후 업데이트로 변경할 것이라고 약속했다. 비퍼 공동 창립자 에릭 미기코브스키(Eric Migicovsky)는 애플의 고압적인 태도가 애플과 안드로이드 기기 간 텍스트를 기존 텍스트 메시지로 변경하여 더 강력한 보안 수준을 갖춘 대안을 활용하지 못하도록 했다고 주장했다.

2024년 1월, 미기코브스키는 와이어드의 인터뷰에 응했을 당시 “2024년인 현재 아이폰과 안드로이드 기기 간 메시지 전송처럼 간단한 부분에 손쉽게 암호화 기술을 적용하여 고급 보안을 지원하지 못하는 것은 말도 안 되는 일이다. 애플이 매우 어렵고 이상한 방식으로 메시지 서비스를 제공한다고 생각한다. 비퍼 미니가 아이메시지 사용자의 보안, 프라이버시를 해친다고 주장하지만, 실제 상황은 정반대이다”라고 말했다.

애플은 아이메시지 보안 전용 소유권을 대거 수집하여 전 세계 스마트폰 사용자에게 피해를 준다는 비난을 받았을 때도 단대단 암호화 메시지 기능을 개선했다. 2024년 2월, 아이메시지는 퀀텀 코드 공격 면역력을 갖추도록 설계된 신규 암호학 알고리즘을 사용하는 방향으로 업그레이드되었다. 또, 2023년 10월에는 의도한 연락처를 속여 메시지를 가로채는 중간 개입자 공격을 막도록 설계된 기능인 ‘콘택트 키 인증(Contact Key Verification)’ 기능을 추가했다. 더 중요한 점은 애플이 RCS 표준을 채택하여 안드로이드 기기 사용자와의 메시지 보안을 개선할 계획이라고 밝힌 점이다. 하지만 애플은 단대단 암호화도 개선 사항에 포함되는지는 밝히지 않았다.

보안 메시지 연구 전문가인 암호학 기술 컨설팅 기업 심볼릭 소프트웨어(Symbolic Software) 소장 나딤 코베이시(Nadim Kobeissi)는 실제로 애플이 아이메시지 보안과 프라이버시를 강화했더라도 애플이 공개적으로 홍보한 사례가 드물다는 점과 애플이 공개 및 비전매 특허 보안 제품에 적극적으로 기여한 사실에 주목했다. 코베이시 소장은 애플이 의도적으로 보안 기능을 수집하여 전용 기술로 보유한 행위가 경쟁 우위를 위한 행동이라는 미국 법무부의 주장의 신빙성이 약해지는 부분이라고 주장했다.

대신, 코베이시 소장은 보안 격차가 애플이 시각적 통합 수준이 더 높으면서도 흥미로운 사회적 기능을 기반으로 한 서비스인 반응, 페이스타임, 블루 메시지 버블 등의 단독성을 보존하면서 의도적으로 제품 보안을 유지하려는 시도의 산물이라고 보았다. 코베이시 소장은 “보안에 의문을 제기할 부분이 아니다. 커뮤니케이션 플랫폼의 개방성과 관련된 사회적 의문점이다”라고 말했다. 이어, 아이메시지의 보안 이점을 인식한 이들이 왓츠앱, 시그널 등 다른 단대단 암호화 메시지 옵션도 인지하고 있다는 사실을 언급했다.

닥터로우 작가와 미기코브스키를 비롯한 애플 비판 세력은 아이메시지가 기본 메시지 앱 형태로 애플 기기에 깊이 통합돼 항상 시그널이나 왓츠앱 등 다른 서비스보다 더 많이 사용하게 될 것이라는 점을 지적했다. 닥터로우 작가는 “기본 설정이 중요하다”라며, 구글이 애플에 일정 금액을 지급하고 자사 검색 엔진을 애플 기기의 기본 검색 엔진으로 설정한 사실을 언급했다. 닥터로우 작가는 “애플은 매년 구글 검색 엔진 기능을 제공하여 200억 달러 상당의 매출을 기록한다”라고 말했다.

애플의 보안 기능이 소비자에게는 좋은 부분이지만, 애플이라는 기업 규모가 중요하다. 친 로스만이 지적한 바와 같이 애플이 보안, 프라이버시 기능 홍보로 실제로 경쟁에서 이길 가능성을 떠나 기업 규모 자체가 광범위한 시장에서 영세기업에는 없는 권력을 부여하기 때문이다. 궁극적으로 의문을 제기해야 할 부분은 프라이버시, 보안 표준 전체를 설정하는 데 애플과 같은 대기업에 의존해야 하는가이다. 친 로스만은 소프트웨어의 최소 보안 요구사항을 보장하는 포괄적인 데이터 프라이버시 법안이 프라이버시 지원 대상이 될 사용자와 프라이버시 지원 대상이 아닌 사용자를 결정하는 데 민간 기업에 전적으로 의존하는 것보다는 더 나을 것이라고 진단했다.

이어, “미 의회나 정부가 실제로 프라이버시, 보안 수준을 강화하고자 한다면, 애플과 같은 대기업이 자체 결정으로 통제할 수 없도록 해야 한다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Apple’s iMessage Encryption Puts Its Security Practices in the DOJ’s Crosshairs
이 기사를 공유합니다
RECOMMENDED