[보안뉴스 최정식 발행인] 지난 2016년 미국 법무부 산하 FBI(연방수사국)는 2015년 12월 캘리포니아주 샌버너디노에서 14명을 숨지게 한 파룩 부부의 총기 테러사건을 조사하기 위해 애플사에 아이폰5c의 잠금 해제를 강제해달라는 소송을 법원에 냈다. 하지만 애플사는 이를 거부했다. ‘한번 지원하면 선례가 될 것이고, 그러면 앞으로 다른 모든 기기에도 적용될 수 있다’는 것이 이유였다. 또한, 애플사는 ‘잠금 해제를 강제하는 것이 공개되면 해커들이 악용해 무력화할 방법을 만들어낼 수 있다’는 논리도 들었다. 이에 FBI는 잠금 해제 협조 강제 요청의 적법성을 놓고 재판을 벌일 예정이었으나, 돌연, ‘애플사의 도움을 받지 않아도 될 방법을 찾았다’며 재판 연기를 요청했다. 이스라엘의 사이버보안 전문기업 셀러브라이트사의 도움을 받아 테러리스트들이 사용했던 아이폰의 패스워드 해독에 성공했기 때문이다.
[이미지=utoimage]
스마트폰 사용자 대부분은 분실이나 사생활 보호를 위해 패스워드를 사용한다. 일반적으로 스마트폰의 잠금장치는 패스워드가 수차례 틀리면 일정 시간이 지나야 재입력이 가능하도록 설정되어 있다. 이론적으로는 우리가 자주 사용하는 6자리 숫자를 패스워드로 사용할 경우, 해당 패스워드를 알아내기 위해서는 최대 백만번을 시도해야 한다. 그러므로 1회 시도할 때마다 10초가 걸린다고 가정하면, 약 반년의 세월이 걸린다는 계산이 나온다. 더욱이 패스워드를 계속 잘못 입력한다면 지연시간이 늘어나고 그래서 해당 패스워드를 찾기까지는 그만큼 더 시간이 늘어날 것이다. 일부 기종은 이런 식으로 패스워드를 찾으려고 할 경우에 모든 데이터가 자동으로 삭제되는 기능도 가지고 있다. 따라서 파룩 부부의 총기 테러사건 사례처럼 압수한 스마트폰의 패스워드를 해독하려면 피의자의 자백을 받아야 한다.
▲최정식 보안뉴스 발행인[사진=보안뉴스]
당시 FBI를 도와 테러리스트들의 아이폰 패스워드를 해독해낸 셀러브라이트사의 해독 원리는 의외로 간단했다. 증거로 채택된 아이폰의 메모리에 저장된 모든 정보를 복사해서 모사장비에 입력한 뒤 테스트 작업을 계속한 것이다. 그러니까 이론적으로 모사장비 만 개가 있다면, 똑같이 복사한 뒤에 무차별 대입공격(Brute force Attack)을 계속할 경우 패스워드를 하루 만에 알아낼 수 있게 되는 것이다. 그 덕분에 FBI는 애플사와 법적 공방을 벌이지 않고서도 소기의 목적을 달성할 수 있었고, 셀러브라이트사의 주가도 상승세를 탔다. 이후 셀러브라이트사의 제품은 세계 각국 수사당국의 필수품이 되었으며, 최근 우리나라 경찰도 이를 도입해 음란물 제작·배포를 주도한 ‘n번방 사건’의 주범인 조주빈이 사용했던 스마트폰의 패스워드를 해독하는데 사용했다고 알려져 있다.
앞으로도 스마트폰 패스워드 관련 논란은 계속될 것으로 보인다. 그리고 이 사안은 제도적인 접근보다는 미국이나 이스라엘 등 선진국들의 사례처럼 디지털 포렌식 같은 첨단 기술력을 확보하는 것이 선행되어야 한다는 생각이다. 피의자 입장에서도 자신의 범죄를 강력히 부인한다고 해도 결국 디지털 포렌식으로 밝혀진다는 사실을 알게 되면 처음부터 수사에 적극 협조할 수밖에 없을 것이다. 그러므로 정부도 디지털 포렌식 기술을 신기술·신산업 미래 성장동력으로 육성하고, 경찰·검찰·관계기관에서는 선진화된 관련 기술을 도입하는데 앞장서야 할 것이다.
[글_ 최정식 보안뉴스 발행인]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>