ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 미국정부 vs 애플
    IT 정보/IT, 보안 소식&팁 2016. 3. 16. 12:28
    반응형




    할리우드 영화라든지 현대 범죄물이나 스파이창작물을 보면 휴대폰과 컴퓨터 해킹은 어려운 일이 아니다. 적당한 기기를 연결하고 입력 몇 번만 거치면 침투에 성공한다. 그러면 기기에 있던 모든 비밀이 드러나고 침입자의 수중에 들어간다. 이 경우 공권력의 입장에서는 "말처럼 쉽게 되는가?"라는 반응이 나올 수 있는 한편 프라이버시와 보안을 중시하는 입장에서는 "그렇게 단순하지 않아서 다행이다"는 반응이 나올 수 있다. 애플과 FBI를 비롯한 여러 입장에서 현재 무엇이 가능하고 무엇이 불가능한지가 중요한 논제가 된다.

     

    201512월 부부관계인 Syed FarookTashfeen Malik은 미국 캘리포니아 샌버나디노에서 총기를 난사하여 14명을 살해하고 22명에게 중상을 입혔다. 두 명 모두 경찰과의 총격에서 사망했지만 이 사건은 미국 내 테러행위로 규정되어 수사가 계속되고 있다.

     

    미 연방수사국은 현재 Farook의 고용주가 보유하면서 Farook에게 줬던 애플 아이폰을 입수했으며 여기에 보관된 데이터에 접근하려 하고 있다. 물론 이 과정 자체가 오류의 연속이었다. 연방수사국은 우선 아이클라우드(iCloud) 백업자료에 접근하기 위해 Farook의 고용주에게 아이클라우드 계정 비밀번호를 바꾸라고 요구했으나 해당 자료는 1개월 이상 지난 내용이어서 연방수사국 측에서 원하는 정보는 없었다.

     

    기기의 자체 저장공간이 암호화된 상태고 연방수사국은 이를 복호화하는 데 필요한 툴을 보유하지 못했기 때문에 기기 저장공간에 접근할 수 있도록 애플에 협조를 요청했다. 애플은 고객 프라이버시에 대한 우려를 이유로 이 요청을 거절했다. 연방수사국은 비용을 들여 가능한 경우의 수를 하나씩 입력하는 대신 해당 기기에 전자적으로 비밀번호를 입력할 수 있는 수단을 마련하여 모든 경우의 수를 빠르게 시도할 수 있도록 애플의 수사협조를 강제하기 위해 1789년 포괄명령법(All Writs Act of 1789)를 근거로 연방법원에 심판을 청구했다.

     

    애플 CEO 팀 쿡은 다음과 같이 밝혔다. "미국정부는 애플에 대해 고객 보안을 위협할 수 있는 사상 초유의 조치를 요구했다. 우리는 이 요청을 거절하며 이는 법적 문제 이상의 의미를 가지고 있다. 이 문제는 공공의 논의가 요구되며 우리 고객 그리고 세계인들이 현재 이 문제에 무엇이 걸려 있는지 이해하기를 바란다." 애플은 2016226일까지 연방법원에 입장을 밝혀야 하며 외부자문을 통해 항소할 준비를 하고 있다.

     

    1789년 포괄명령법은 미국 연방법원이 "관할권 내에서 법의 목적과 원칙에 부합한다고 동의할 수 있는 한 필요하거나 적절한 모든 명령을 내릴 수 있는권한을 부여하고 있으며 이 내용을 보면 성급한 적용은 금물로 보인다. 한편 법원이 정의실현을 추구하고 수사를 돕기 위해 명령을 발령할 수 있음은 일견 합리적인 듯 보이지만 "법의 목적과 원칙에 부합한다고 동의할 수 있는 한"이라는 표현 때문에 문제가 복잡해진다. 도대체 누가 동의를 한단 말인가. 만약 명령을 내리는 법원이 동의의 주체가 된다면 이는 사실상 법관이 내키는 대로 할 수 있는 백지수표 발행이나 다름없다. 만약 법원이 아니라면 어떤 주체가 그러한 명령을 관장하면서 헌법적 보호를 위배하거나 권력을 남용하지 않는다고 보장할 수 있는가.


    무자비한 테러공격이 저질러진 상황에서 테러범들이 단독으로 공격을 실행했는지 혹은 배후 조력자가 있는지 밝혀내기 위해 모든 필요한 조치가 정당화될 수 있어 보이기도 한다. 애플이 조금만 양보하고 제품에 백도어를 생성하여 수사를 돕고 미국 시민들을 보호할 수는 없는가.

     

    한편으로는 이는 정부가 자체적인 해킹 역량이 떨어진다는 이유로 회사에게 자사 제품의 보안을 깨도록 강제하는 월권행위가 되며 이러한 개입은 해당 제품에 대한 고객 신뢰까지 저해할 수 있다는 시각도 있다.

     

    정부 측에서는 애플이 별도의 iOS 버전을 생성하여 Farook의 아이폰에 설치한 다음 데이터를 복호화하여 제공할 수 있다고 판단한다. 정부는 심지어 애플이 이 작업을 자체 시설에서 실행하고 데이터를 받는 즉시 iOS 백도어 버전을 삭제하는 방안까지 허용할 의향이 있다고 한다. 이는 합리적인 듯 보이지만 순진한 발상이기도 하다. 램프의 요정이 한번 나오면 다시 들어갈 수 없듯 이러한 선례는 돌이킬 수 없으며 또한 정부 측의 바람이 기술적으로 가능하면서 합리적인 비용과 시간을 들여 달성될 수 있다는 섣부른 가정이 깔려 있다. 별도의 iOS 버전을 생성하여 기기에 설치할 경우 정부가 원하는 데이터 그 자체가 손실되거나 덮어씌워질 수 있다. 그렇지 않다 해도 만약 암호화에 특정한 키가 사용됐다면 새로운 iOS를 설치한다고 해서 복호화가 바로 될 수도 없다. 이 경우 데이터를 암호화하는 데 쓰였던 키도 있어야 한다. 그렇다면 새로운 iOS가 어떻게 데이터를 정부 측에 넘길 수 있는가.

     

    테러행각 당시 상황이 어떠했든 Farook이 공격실행 전 1개월이 넘게 아이클라우드에 접속하지 않았음은 분명하다. 이렇게 보면 그가 위치서비스 또한 정지시켰다고 봄이 타당하며 따라서 그가 이메일이나 문자로 테러계획을 전파하고 공모자들과 셀카를 찍을 정도로 멍청하지 않았던 이상 문제의 아이폰에 이통사로부터 받은 자료 외에 실제로 수사에 도움이 될 만한 정보가 있을지는 의문스럽다. 10대들도 이른바 "대포폰"이 무엇인지 아는 오늘날 테러범들이 어떤 국가에 잠입하고 1년 넘게 거주하면서 무기와 탄약을 확보하여 무자비한 공격을 실행하기까지 수사의 단서를 남길 수 있는 정보를 휴대폰에다 보관했으리라고는 상상하기 어렵다.

     

    애플은 226일까지 응답기한을 통보받았으며 이는 앞으로 법원에서 수년에 걸쳐 진행될 공방 그리고 스마트폰 및 암호화 업계 전반에 걸쳐 끼칠 영향의 시작일 뿐이다. 정부가 어떤 회사의 제품 보안을 뚫기 위해 백도어를 강요할 수 있는지는 사실은 백도어 설치를 통해 암호화된 데이터를 확보할 수 있다는 점보다는 오히려 사소한 문제다. 이는 암호화된 데이터 그리고 이와 분리된 별도의 키가 존재하는 경우든 아니면 키와 데이터가 동시에 보관되며 9999가지 조합이 가능한 4자리 비밀번호에 보안이 걸려 있든 마찬가지다.

     

    이 문제는 지난 20년 동안 발생했던 각종 자유, 프라이버시, 보안 등 문제와 동등한 수준의 중요성을 가진다는 면에서 주목할 필요가 있다. 누구의 생각이 옳은가. 정부가 애플에게 백도어 생성을 강제할 수 있는가. 그 아이폰에서 밝혀지지 않은 유용한 정보가 있는가. 판단은 각자의 몫이다.

     

     

     

    Casper Manes, #nobackdoor or, How the US Government vs. Apple will have long-lasting ramifications, 2. 22. 2016.

    http://www.gfi.com/blog/nobackdoor-or-how-the-us-government-vs-apple-will-have-long-lasting-ramifications/

     

    번역: madfox

    반응형

    댓글

Designed by Tistory.