세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
아이폰 해제시킬 수 있는 기업들, 보안 문제 일으킬 수 있다
  |  입력 : 2018-03-16 13:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이스라엘의 셀레브라이트와 미국의 그레이키…아이폰 잠금 장치 무력화
미스터리한 작동 원리…하지만 사용성과 도난 가능성 높아


[보안뉴스 문가용 기자] 이스라엘의 모바일 보안 업체인 셀레브라이트(Cellebrite)와 그 경쟁사 그레이키(GrayKey)가 판매하고 있는 아이폰 잠금 해제 장치가 불러일으킬 수 있는 보안 문제에 대해 심각한 우려가 제기됐다. 물론 셀레브라이트의 상품 역시 도마 위에 올랐다.

[이미지 = iclickart]


셀레브라이트는 인터넷 연결이 필요한 잠금 해제 장비를 1만 5천 달러에, 지역이나 인터넷 연결 여부와 상관 없이 사용할 수 있는 장비를 3만 달러에 판매하고 있다. 물론 아무에게나 이런 장비를 판매하는 건 아니다. 사법 기관이 공식적으로 기기 잠금 해제를 요청했을 때만이다. 즉 사법 기관들만이 고객이라는 것이다.

그레이키는 50명 이하의 직원들로 구성된 사기업으로 2016년 창립했으며 애틀랜타에 위치해 있다. 그레이키가 판매하는 보안 제품 역시 사법 기관들이나 실험실로만 판매되는 것으로 알려져 있다. 이 제품은 4x2 인치의 회색 상자에 담겨져 판매되는데, 두 개의 케이블이 앞면에 달려 있다. 이 케이블에 모바일 기기를 2분 정도 꼽으면 기기가 작동을 시작한다고 한다.

보안 업체 멀웨어바이츠(Malwarebytes)에 의하면 “이 케이블에 전화를 꼽으면 잠시 후 검은 화면이 뜨고, 기기의 비밀번호가 나타난다”고 한다. 이 단계까지 오는 데 최소 2시간에서 3일까지 소요된다.

이 기기가 정확히 어떤 원리로 작동하는지 알려진 바가 없지만 보안 업체 포인트3 시큐리티(Point3 Security)의 사이버 보안 책임자인 라이언 더프(Ryan Duff)는 포브스와의 인터뷰를 통해 “애플의 보안 메커니즘에 있는 제로데이 취약점을 익스플로잇 하는 것으로 의심된다”고 말했다. 라이언 더프는 아이폰 칩 내에서 암호화 키를 처리하는 부분을 지목했다.

“암호화 기술을 깨트리지 않는다면, 남는 건 거의 브루트포스 공격밖에 없습니다. 이 역시 하나의 가능성이겠지요. 셀레브라이트 역시 제로데이 취약점을 익스플로잇 하는 것으로 알려졌는데, 이 두 회사가 같은 취약점 정보를 보유하고 있는지는 확실하지 않습니다. 서로 다를 가능성이 더 높겠죠. 하지만 포스트 익스플로잇테이션(post-exploitation) 과정은 흡사합니다.”

멀웨어바이츠는 “두 회사가 어떤 방식으로 아이폰을 해제시키는 건지 모르겠지만, 그게 중요한 문제는 아니다”라고 말하며 “두 회사가 파는 상품은 크기나 무게의 측면에서 훔치기 부담스럽지 않고 사용 또한 간편해 큰 문제를 일으킬 수 있다”고 주장했다.

“누군가 장비를 훔쳐서 크래킹을 하면, 아이폰 해체 기술이 확산될 수도 있습니다. 사법 기관만을 상대로 한다고 하는데, 사법 기관들 역시 해킹에 취약한 건 마찬가지입니다. 공무원들 중 누군가가 공격의 경로가 되는 것이 그리 어렵거나 드문 상황이 아니라면, 이런 기기들이 공무 기관에 돌아다니고 있다는 것 자체도 문제가 될 수 있습니다.”

애플은 이러한 문제에 대해 아직 공식적으로 입장을 취하거나 발표문을 내지는 않았다. 하지만 “애플 기기들을 안전하게 사용하려면 항상 최신 OS를 사용하고 패치고 빠르게 적용해야 한다”고 권고하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)