가장 강력한 암호화 기술 보유 업체에서 한 기본적인 실수
FBI, 정말로 필요한 것은 백도어가 아니라 판례였나
[보안뉴스 문가용] iOS와 OS X에서 아이메시지(iMessages) 메시지를 전송할 때 사용되는 암호화 방식에서 취약점이 발견되었다. 이 취약점으로 인해 공격자들은 메시지를 중간에 가로챌 수 있을 뿐 아니라 사진과 동영상까지도 스누핑하는 게 가능해진다. 이 취약점은 존스홉킨스 대학의 연구원들이 발견한 것으로 오늘 배포되기 시작한 iOS 9.3 버전에서는 해결이 된 문제다.
연구원들은 해당 사실을 워싱턴포스트지에 제보했다. 또한 에뮬레이트 된 애플 아이클라우드 서버를 활용한 가상 공격을 수대의 아이폰 기기에 가했으며, 그 공격을 통해 해당 서버에 저장된 사진과 64자리 암호화 키를 탈취하는 데에 성공했다.
워싱턴포스트지는 해당 내용을 기사화 하면서 다음과 같이 보도했다. “존스홉킨스 대학의 학생들은 암호화 키의 자릿수와 글자를 수차례 반복해 바꿔 대입한 후, 이를 표적이 된 아이폰에 전송했다. 아이폰은 수천 번 반복된 이 과정을 전부 처리했다.” 해당 연구를 이끈 존스홉킨스 대학의 매튜 그린 박사(Matthew Green)는 “암호화 키를 순수하게 ‘대입 공격’만으로 알아내는 데에 큰 무리가 없었다”고 밝히기도 했다.
해외 보안 매체인 쓰레트포스트(ThreatPost)가 입수한 문건에 의하면 이 공격이 성공하기까지 약 13만여 번의 대입 공격이 있었고 총 72시간이 소요되었다고 한다. 이런 공격으로 암호화 키를 해커가 얻게 되면 중간자 공격을 할 수 있으며 아이메시지에 보관된, 미전송 메시지들도 열람이 가능하게 된다. 애플은 미전송 메시지를 아이클라우드에 30일까지 보관한다.
중요한 건 이 공격이 완벽하게 성립하려면 아이클라우드의 인프라스트럭처에 대한 접근권한이 있어야만 한다는 것. 이 접근권한은 또 다른 해킹 공격 및 익스플로잇을 통해 탈취할 수 있으며, FBI가 최근 추진하는 것처럼 법적 권한을 가지고 밀어붙여 얻어낼 수도 있다.
그러므로 이번에 발견된 취약점 하나 때문에 FBI가 애플과의 싸움 없이도 아이폰에 접근하는 일은 있을 수 없다. 하지만 그린 박사는 워싱턴포스트와의 인터뷰에서 “그 훌륭한 암호화 전문가들을 보유하고 있는 애플조차도 이런 실수를 했다는 점이 시사하는 바가 크다”며 “현재 암호화에 대한 백도어를 설치하냐 마냐로 법정 싸움이 벌어지고 있는데, 사실 우리는 암호화의 기본조차 제대로 실행하고 있지 못한 상태”라고 지적했다.
보안 전문업체인 트립와이어(Tripwire)의 수석 연구개발 책임자인 라마 베일리(Lamar Bailey)는 “이번에 밝혀진 취약점은 취약점 자체보다 FBI와 애플의 법적공방이라는 맥락에서 봐야 한다”고 사건의 의의를 짚어냈다. “사실 FBI가 마음만 먹으면 얼마든지 아이폰을 해킹할 수 있다는 의견이 대다수였어요. 자동으로 데이터가 삭제되는 기능도 우회 및 대처가 가능하고, 혹은 완전히 오프라인 상태로 만들어놓은 상태로 기기를 해킹해볼 수도 있으니 말이죠. 다만 이렇게 했을 때 FBI로서는 예산과 시간이 엄청나게 많이 들 수밖에 없으니 애플에게 ‘쉬운 방법’을 요구한 것이라고 봤습니다.”
즉 FBI와 애플의 싸움이 ‘정부가 정말로 해킹할 줄 몰라서’ 일어난 사건이라고 보는 순진한 시각은 거의 없었다는 건데, 이번 존스홉킨스대학 연구원들의 발견으로 인해 이 점이 확인되었다는 것에 더 큰 의의가 있다는 것이다. “정부가 암호화를 약화시켜야 한다고 하고 백도어를 설치해달라고 요구하는데, 사실 정부는 그럴 필요가 없어요. 소프트웨어에는 항상 버그가 있고, 업계 최강이라고 하는 암호화 메신저인 아이메시지에도 어처구니없는 실수가 나오니까요.”
즉 이번 법정싸움을 통해 FBI와 미국 정부는 감시와 검열에 유리한 판례 하나를 만들고 싶어한 것이라는 추측이 가능하다. 보안 업체인 트위스트락(Twistlock)의 최고전략담당관인 첸시 왕(Chenxi Wang)은 “결국 그들에게 필요한 건 백도어가 아니라 판례였다”며 “총기사건 해결보다 더 큰 목적을 가지고 있는 치밀한 준비의 일환”이었다고 설명한다.
이번 연구에 참여한 존스홉킨스대학의 마이어스(Miers) 학생은 쓰레트포스트와의 인터뷰를 통해 “애초에 실수가 있을 수밖에 없는 암호화 기술에 암호 키 위탁이나 백도어라는 요소가 개입되면 얼마나 더 복잡해질까”라며 “그 자체로 이미 암호화 기술을 약화시키는 것”이라고 평가했다. “결국 완벽한 기술은 없고, 정치적이지 않은 움직임은 없는 듯 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
FBI, 정말로 필요한 것은 백도어가 아니라 판례였나
[보안뉴스 문가용] iOS와 OS X에서 아이메시지(iMessages) 메시지를 전송할 때 사용되는 암호화 방식에서 취약점이 발견되었다. 이 취약점으로 인해 공격자들은 메시지를 중간에 가로챌 수 있을 뿐 아니라 사진과 동영상까지도 스누핑하는 게 가능해진다. 이 취약점은 존스홉킨스 대학의 연구원들이 발견한 것으로 오늘 배포되기 시작한 iOS 9.3 버전에서는 해결이 된 문제다.
연구원들은 해당 사실을 워싱턴포스트지에 제보했다. 또한 에뮬레이트 된 애플 아이클라우드 서버를 활용한 가상 공격을 수대의 아이폰 기기에 가했으며, 그 공격을 통해 해당 서버에 저장된 사진과 64자리 암호화 키를 탈취하는 데에 성공했다.
워싱턴포스트지는 해당 내용을 기사화 하면서 다음과 같이 보도했다. “존스홉킨스 대학의 학생들은 암호화 키의 자릿수와 글자를 수차례 반복해 바꿔 대입한 후, 이를 표적이 된 아이폰에 전송했다. 아이폰은 수천 번 반복된 이 과정을 전부 처리했다.” 해당 연구를 이끈 존스홉킨스 대학의 매튜 그린 박사(Matthew Green)는 “암호화 키를 순수하게 ‘대입 공격’만으로 알아내는 데에 큰 무리가 없었다”고 밝히기도 했다.
해외 보안 매체인 쓰레트포스트(ThreatPost)가 입수한 문건에 의하면 이 공격이 성공하기까지 약 13만여 번의 대입 공격이 있었고 총 72시간이 소요되었다고 한다. 이런 공격으로 암호화 키를 해커가 얻게 되면 중간자 공격을 할 수 있으며 아이메시지에 보관된, 미전송 메시지들도 열람이 가능하게 된다. 애플은 미전송 메시지를 아이클라우드에 30일까지 보관한다.
중요한 건 이 공격이 완벽하게 성립하려면 아이클라우드의 인프라스트럭처에 대한 접근권한이 있어야만 한다는 것. 이 접근권한은 또 다른 해킹 공격 및 익스플로잇을 통해 탈취할 수 있으며, FBI가 최근 추진하는 것처럼 법적 권한을 가지고 밀어붙여 얻어낼 수도 있다.
그러므로 이번에 발견된 취약점 하나 때문에 FBI가 애플과의 싸움 없이도 아이폰에 접근하는 일은 있을 수 없다. 하지만 그린 박사는 워싱턴포스트와의 인터뷰에서 “그 훌륭한 암호화 전문가들을 보유하고 있는 애플조차도 이런 실수를 했다는 점이 시사하는 바가 크다”며 “현재 암호화에 대한 백도어를 설치하냐 마냐로 법정 싸움이 벌어지고 있는데, 사실 우리는 암호화의 기본조차 제대로 실행하고 있지 못한 상태”라고 지적했다.
보안 전문업체인 트립와이어(Tripwire)의 수석 연구개발 책임자인 라마 베일리(Lamar Bailey)는 “이번에 밝혀진 취약점은 취약점 자체보다 FBI와 애플의 법적공방이라는 맥락에서 봐야 한다”고 사건의 의의를 짚어냈다. “사실 FBI가 마음만 먹으면 얼마든지 아이폰을 해킹할 수 있다는 의견이 대다수였어요. 자동으로 데이터가 삭제되는 기능도 우회 및 대처가 가능하고, 혹은 완전히 오프라인 상태로 만들어놓은 상태로 기기를 해킹해볼 수도 있으니 말이죠. 다만 이렇게 했을 때 FBI로서는 예산과 시간이 엄청나게 많이 들 수밖에 없으니 애플에게 ‘쉬운 방법’을 요구한 것이라고 봤습니다.”
즉 FBI와 애플의 싸움이 ‘정부가 정말로 해킹할 줄 몰라서’ 일어난 사건이라고 보는 순진한 시각은 거의 없었다는 건데, 이번 존스홉킨스대학 연구원들의 발견으로 인해 이 점이 확인되었다는 것에 더 큰 의의가 있다는 것이다. “정부가 암호화를 약화시켜야 한다고 하고 백도어를 설치해달라고 요구하는데, 사실 정부는 그럴 필요가 없어요. 소프트웨어에는 항상 버그가 있고, 업계 최강이라고 하는 암호화 메신저인 아이메시지에도 어처구니없는 실수가 나오니까요.”
즉 이번 법정싸움을 통해 FBI와 미국 정부는 감시와 검열에 유리한 판례 하나를 만들고 싶어한 것이라는 추측이 가능하다. 보안 업체인 트위스트락(Twistlock)의 최고전략담당관인 첸시 왕(Chenxi Wang)은 “결국 그들에게 필요한 건 백도어가 아니라 판례였다”며 “총기사건 해결보다 더 큰 목적을 가지고 있는 치밀한 준비의 일환”이었다고 설명한다.
이번 연구에 참여한 존스홉킨스대학의 마이어스(Miers) 학생은 쓰레트포스트와의 인터뷰를 통해 “애초에 실수가 있을 수밖에 없는 암호화 기술에 암호 키 위탁이나 백도어라는 요소가 개입되면 얼마나 더 복잡해질까”라며 “그 자체로 이미 암호화 기술을 약화시키는 것”이라고 평가했다. “결국 완벽한 기술은 없고, 정치적이지 않은 움직임은 없는 듯 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
