.gif)
제3자의 도움으로 아이폰 5c 뚫어내는 데 성공한 FBI, 그 이후는?
[보안뉴스 문가용] 어제 미국 사법부가 샌버너디노 총격 사건의 범인이 소유하고 있었던 아이폰의 잠금 장치를 해제하라는 명령을 철회시킴으로써 FBI와 애플의 법적싸움은 공식적으로 종료됐다. FBI가 애플의 도움 없이 아이폰 5c를 뚫어내는 데에 성공했기 때문에 더 이상 소란을 일으킬 필요가 없었기 때문이다.
▲ 뭔가 만신창이가 된 기분이지만, 그래도 앞을 봐야겠지
현재 FBI는 아이폰 5c의 암호화 기능을 “제3자”와 함께 성공적으로 해제시킨 것으로 알려져 있다. 상세한 방법에 대해서는 알려진 바가 없지만 확실한 건 애플의 시스템에 구멍이 존재한다는 의미가 된다. 즉, 제3자나 FBI가 입을 다물고 있으니 애플 스스로가 그렇게 자신하던 시스템에서 스스로 구멍을 찾아내 고쳐야 한다는 뜻.
FBI가 앞으로도 계속해서 해킹 기법이나 취약점을 비밀리에 간직하고 있을 것인지, 혹은 공개할 것인지는 확실하지 않다. FBI가 반드시 공유해야 할 의무나 책임을 가지고 있는 것도 아니다. 보안 업체인 카보나이트(Carbonite)의 수석 부회장인 데이비드 라시푸어(David Raissipour)는 “애플로서는 어쩌면 법정 명령을 수행하는 것보다 더 안 좋은 상황을 맞이한 것”이라며 “법정싸움으로서 얻어낸 건 없다시피 하고, 오히려 보안성에 대한 애플 제품의 신뢰만 떨어졌다”고 상황을 짚어냈다. “FBI가 취약점을 공개하는 게 가장 이상적이겠지만, 그럴 이유가 없는 게 사실이죠.”
이라타 시큐리티(Errata Security)의 CTO인 데이비드 메이너(David Maynor) 역시 FBI가 자료를 공개하지 않는다는 것에 한 표를 던진다. “이번 싸움으로 애플은 ‘FBI에게 절대로 백도어를 만들지 않을 것이다’라는 입장을 명확히 했죠. 너네랑 손 안 잡겠다고 표명한 거예요. 거기에다가 FBI가 뭐가 아쉬워서 ‘너희가 모르는 취약점 찾았는데, 다시 친하게 지내자’고 할 리가 없죠. 오히려 FBI로서는 제로데이를 더 찾아내야하는 이유가 생긴 거라고도 볼 수 있습니다.”
애플이 이번 공방에서는 언론과 동종 기업들의 일방적인 지지를 받았고, FBI가 결국 한 발 뒤로 물러선 것 같은 모양새를 가져갔기 때문에 겉으로 보기엔 애플의 위대한 승리처럼 보이지만 그 안을 들여다보면 실속이 하나도 없다는 게 이미 중론이다. “장기적으로 보면 FBI의 제로데이 수집을 부추긴 꼴이 되었습니다.”
그러나 다른 의견도 있다. 전자프런티어재단(EFF)에 의하면 FBI가 이번 해킹에 공개되지 않은 취약점을 활용한 것이 사실이라면 이를 반드시 공개해야만 한다는 것. “전자프런티어재단의 이전 소송 덕분에 취약점 해소 과정(Vulnerabilities Equities Process)이라는 게 도입되었고 이로써 정부가 FBI의 취약점 공개시점을 결정할 수 있습니다. FBI가 취약점을 활용해 해킹한 게 맞다면, 사실상 반드시 공개해야 하게 하는 제도라고 볼 수 있습니다. 그렇다면 애플이 사용자들을 위해 보안을 더 강화할 수 있게 되겠죠.”
애플은 FBI가 이번 사건을 취하한 후 “FBI가 애초에 넘지 말아야 할 선을 넘는 행위를 고집한 것”이라며 “FBI가 이기기라도 했으면 위험한 선례와 판례를 남길 뻔했다”고 발표했다. 그럼에도 정부와 협조체제를 구축하는 애플의 기본방침 자체는 변함이 없다고도 말했다. “사법기관의 수사 과정에 애플이 도울 수 있는 부분이 있다면 여태까지 그래왔듯 앞으로도 계속 협조를 해 나갈 것입니다. 하지만 동시에 소비자들을 보호하는 저희의 기본방침 또한 준수해나갈 것입니다.”
한편 이제 사건의 초점은 FBI와 “제3자”가 발견한 취약점이 무엇인가, 하는 것인데 정확한 정보는 위에서 말한 대로 완전히 미궁 속에 갇혀있다. 이 취약점 때문에 아이폰 5c 사용자들이 얼마나 큰 위험을 마주하게 되었는지도 역시 알 수가 없다. 뷰포스트(Viewpost)의 CSO인 크리스 피어슨(Chris Pierson)은 “그런 점을 정확히 분석하기 취약점이 정확히 무엇인지는 물론 어떻게 익스플로잇 하는지, 다른 공격에도 활용이 가능한 건지, 비슷한 환경에서 응용이 가능한지를 전부 알아야 합니다만, 아직까지는 아무 것도 드러난 게 없죠.”
또한 문제의 “제3자”가 누구인지에 대한 궁금증도 불어나고 있다. 여러 기업이 물망에 오르고 있고 심지어 NSA도 적지 않은 의심을 받고 있는 중이다. “제3자”가 등장했다는 사실 자체는 FBI와 보안 산업의 관계가 벌어진 것으로 드러난 현상 중 하나라고 볼 수 있는데, 피어슨은 “FBI가 보안 산업 전문가 및 오피니언 리더들과의 만남을 조만간 가져야 하지 않겠는가”라고 말한다. “공조하고 상생해야죠. 서로 반목해서야 득될 것이 하나도 없습니다. 하지만 신뢰를 잃은 FBI가 손을 먼저 내밀어야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 어제 미국 사법부가 샌버너디노 총격 사건의 범인이 소유하고 있었던 아이폰의 잠금 장치를 해제하라는 명령을 철회시킴으로써 FBI와 애플의 법적싸움은 공식적으로 종료됐다. FBI가 애플의 도움 없이 아이폰 5c를 뚫어내는 데에 성공했기 때문에 더 이상 소란을 일으킬 필요가 없었기 때문이다.
▲ 뭔가 만신창이가 된 기분이지만, 그래도 앞을 봐야겠지
현재 FBI는 아이폰 5c의 암호화 기능을 “제3자”와 함께 성공적으로 해제시킨 것으로 알려져 있다. 상세한 방법에 대해서는 알려진 바가 없지만 확실한 건 애플의 시스템에 구멍이 존재한다는 의미가 된다. 즉, 제3자나 FBI가 입을 다물고 있으니 애플 스스로가 그렇게 자신하던 시스템에서 스스로 구멍을 찾아내 고쳐야 한다는 뜻.
FBI가 앞으로도 계속해서 해킹 기법이나 취약점을 비밀리에 간직하고 있을 것인지, 혹은 공개할 것인지는 확실하지 않다. FBI가 반드시 공유해야 할 의무나 책임을 가지고 있는 것도 아니다. 보안 업체인 카보나이트(Carbonite)의 수석 부회장인 데이비드 라시푸어(David Raissipour)는 “애플로서는 어쩌면 법정 명령을 수행하는 것보다 더 안 좋은 상황을 맞이한 것”이라며 “법정싸움으로서 얻어낸 건 없다시피 하고, 오히려 보안성에 대한 애플 제품의 신뢰만 떨어졌다”고 상황을 짚어냈다. “FBI가 취약점을 공개하는 게 가장 이상적이겠지만, 그럴 이유가 없는 게 사실이죠.”
이라타 시큐리티(Errata Security)의 CTO인 데이비드 메이너(David Maynor) 역시 FBI가 자료를 공개하지 않는다는 것에 한 표를 던진다. “이번 싸움으로 애플은 ‘FBI에게 절대로 백도어를 만들지 않을 것이다’라는 입장을 명확히 했죠. 너네랑 손 안 잡겠다고 표명한 거예요. 거기에다가 FBI가 뭐가 아쉬워서 ‘너희가 모르는 취약점 찾았는데, 다시 친하게 지내자’고 할 리가 없죠. 오히려 FBI로서는 제로데이를 더 찾아내야하는 이유가 생긴 거라고도 볼 수 있습니다.”
애플이 이번 공방에서는 언론과 동종 기업들의 일방적인 지지를 받았고, FBI가 결국 한 발 뒤로 물러선 것 같은 모양새를 가져갔기 때문에 겉으로 보기엔 애플의 위대한 승리처럼 보이지만 그 안을 들여다보면 실속이 하나도 없다는 게 이미 중론이다. “장기적으로 보면 FBI의 제로데이 수집을 부추긴 꼴이 되었습니다.”
그러나 다른 의견도 있다. 전자프런티어재단(EFF)에 의하면 FBI가 이번 해킹에 공개되지 않은 취약점을 활용한 것이 사실이라면 이를 반드시 공개해야만 한다는 것. “전자프런티어재단의 이전 소송 덕분에 취약점 해소 과정(Vulnerabilities Equities Process)이라는 게 도입되었고 이로써 정부가 FBI의 취약점 공개시점을 결정할 수 있습니다. FBI가 취약점을 활용해 해킹한 게 맞다면, 사실상 반드시 공개해야 하게 하는 제도라고 볼 수 있습니다. 그렇다면 애플이 사용자들을 위해 보안을 더 강화할 수 있게 되겠죠.”
애플은 FBI가 이번 사건을 취하한 후 “FBI가 애초에 넘지 말아야 할 선을 넘는 행위를 고집한 것”이라며 “FBI가 이기기라도 했으면 위험한 선례와 판례를 남길 뻔했다”고 발표했다. 그럼에도 정부와 협조체제를 구축하는 애플의 기본방침 자체는 변함이 없다고도 말했다. “사법기관의 수사 과정에 애플이 도울 수 있는 부분이 있다면 여태까지 그래왔듯 앞으로도 계속 협조를 해 나갈 것입니다. 하지만 동시에 소비자들을 보호하는 저희의 기본방침 또한 준수해나갈 것입니다.”
한편 이제 사건의 초점은 FBI와 “제3자”가 발견한 취약점이 무엇인가, 하는 것인데 정확한 정보는 위에서 말한 대로 완전히 미궁 속에 갇혀있다. 이 취약점 때문에 아이폰 5c 사용자들이 얼마나 큰 위험을 마주하게 되었는지도 역시 알 수가 없다. 뷰포스트(Viewpost)의 CSO인 크리스 피어슨(Chris Pierson)은 “그런 점을 정확히 분석하기 취약점이 정확히 무엇인지는 물론 어떻게 익스플로잇 하는지, 다른 공격에도 활용이 가능한 건지, 비슷한 환경에서 응용이 가능한지를 전부 알아야 합니다만, 아직까지는 아무 것도 드러난 게 없죠.”
또한 문제의 “제3자”가 누구인지에 대한 궁금증도 불어나고 있다. 여러 기업이 물망에 오르고 있고 심지어 NSA도 적지 않은 의심을 받고 있는 중이다. “제3자”가 등장했다는 사실 자체는 FBI와 보안 산업의 관계가 벌어진 것으로 드러난 현상 중 하나라고 볼 수 있는데, 피어슨은 “FBI가 보안 산업 전문가 및 오피니언 리더들과의 만남을 조만간 가져야 하지 않겠는가”라고 말한다. “공조하고 상생해야죠. 서로 반목해서야 득될 것이 하나도 없습니다. 하지만 신뢰를 잃은 FBI가 손을 먼저 내밀어야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
