24자리 아이폰 비밀번호, 정말로 난공불락의 성일까?

​

​

기술 발전과 수사 절차의 변화 속에서의 개인정보 보호의 현황

얼마 전, 검찰이 압수수색 과정에서 판사가 발부한 영장 범위 밖의 전자정보를 대검찰청 서버 'D-net'에 저장한 사실이 확인되었습니다. 영장 밖 정보 저장의 위법성 여부를 떠나서 <스트레이트>와 <뉴스타파>에서는 흥미로운 보도를 했습니다. 바로 26자리 암호와 지문 잠금을 사용한 기자의 안드로이드 스마트폰이 사용자의 동의 없이 암호가 해제되었다는 것입니다.

과거 한동훈 법무부 장관이 제출했던 휴대전화의 암호가 24자리로 너무 길어 '현재 기술론 풀 수 없다'라며 돌려줬다는 검찰의 발표나 주 호주대사로 임명된 이종섭 전 국방부 장관이 "수사에 협조하겠다"라며 공수처에 제출한 휴대전화가 '채 상병 사건' 이후 처음 쓰기 시작한 새 휴대전화였던 것으로 확인되었다는 보도와 엮어 생각해 보면 더욱 흥미로워집니다. 이는 현재의 포렌식 도구와 모바일 보안, 나아가 전자 증거의 수집과 관리라는 부분에서 많은 화두를 던져주는 일이라 할 수 있는데요.

개인정보 보호 vs. 수사 필요성: 기술적 접근의 딜레마

휴대전화에 보관되는 정보를 통해 얻을 수 있는 정보가 매우 많다는 점을 생각해 본다면 이런 문제는 더욱 심각하게 와 닿을 수 있습니다. 대법원은 지난 4월 26일, 부정청탁금지법·공무상 비밀 누설 혐의로 기소된 강 모(63) 씨에게 유죄를 선고한 원심 판결을 파기 환송하며 “무관 정보를 삭제·폐기·반환하지 않고 계속 보관하면서 이를 탐색·복제·출력하는 일련의 수사상 조치는 모두 위법하다”라고 판시한 바 있지만, 관행적으로 이런 일이 일어나고 있다는 점에서 더욱 문제가 됩니다.

​

특히 아이폰의 암호는 무적으로 알려져 있는데, 사실 방법이 없는 것은 아닙니다. 특히 숫자만으로 구성된 암호는 거의 의미가 없다고 해도 과언이 아닙니다. 수집한 스마트폰에서 이미지가 추출된 순간부터 위험은 시작됩니다. IOS의 시스템 칸막이 파티션에 있는 /private/etc./pass wd를 추출, "John the Ripper"와 같은 비밀번호 크래킹 도구를 사용할 수도 있습니다. 사용자 데이터가 SQLite라는 데이터베이스 인스턴스에 저장된다는 점을 활용, 논리적 추출을 할 수도 있습니다. 또한 IP-Box나 UFED, 혹은 오픈소스 파이썬 스크립트 중에서도 IOS의 비밀번호를 해독할 방법이 있습니다.

여러 차례 비밀번호가 틀리면 휴대전화 접근 자체가 막히지만, 한번 덤프 된 이미지를 수백, 수천 개를 동시에 만들고 막힌 이미지를 파기하는 방식으로 강제 대입법 공격을 실행할 수 있는 거죠. 평범한 노트북에서도 30개 이미지를 병렬 작업으로 시도할 수 있는데요. 4자리 암호를 강제 대입법을 통해 깨는 데는 단 3분밖에 걸리지 않았습니다. 이스라엘 보안장비 업체 셀레브라이트(Cellebrite)의 UFED, 혹은 미국 보안업 체인 마그넷 포렌식(舊 그레이시 프트)의 그레이비는그레이키는 더욱 강력합니다. UFED는 2022년 기준, 최신 모델인 "아이폰 X를 비롯하여 만들어진 모든 아이폰에 침입할 수 있다"라고 밝혔는데요. GPS 기록, 메시지, 통화 기록, 연락처, 인스타그램, X(舊 트위터), 링크트인과 같은 특정 앱의 데이터까지 보안 조치를 무력화한 채 모두 해독할 수 있습니다.

​

A11(아이폰 X, 8) 또는 이전 기기는 checkm8(체크메이트) 취약점이 있는데요, 이 취약점은 Boot ROM 취약점으로, 소프트웨어 업데이트로는 무력화할 수 없습니다. 이 취약점을 이용한다면 물리적으로 접근이 가능한 기기에 악성코드를 낮은 수준에서 실행할 수 있습니다. 이 취약점으로 checkra1n이라는 n이라는 탈옥(JailBrake)이 가능하고, 잠금을 우회할 수 있는 도구도 배포되었습니다. 데이터 포렌식을 위한 공격을 할 때도 이 취약점이 사용됩니다. 최신 안드로이드 폰은 파일 단위로 암호화(File Based Encryption) 하지만, 이전의 안드로이드 폰(갤럭시 S9, 노트 9 또는 이전)은 디스크 전체를 암호화(Full Disk Encryption) 합니다. 여기서 나타나는 취약점도 있습니다. 최신 기기(FBE)는 크게 2단계 인증 후 개인 데이터가 잠글 해제됩니다. 1단계로 시스템이 변조되지 않아야 하고, 2단계로 잠금 화면 암호가 필요합니다. 잠금 화면 암호가 없다면, 복호화 키를 알아낼 수 없기에, 개인 데이터는 복호화 될 수 없습니다. 하지만 구형 기기(FDE)는 기본값으로 1단계 인증 후 개인 데이터가 잠금 해제됩니다. 시스템이 변조되지 않은 지 확인만 되었다면 바로 개인 데이터가 잠글 해제되지요. 잠금 화면은 단순히 화면만 잠글 뿐입니다.

BFU와 AFU: 진화하는 방패, 뛰어넘는 창

이후 이런 취약점을 막기 위해 BFU(Before First Unlock) 단계와 AFU(After First Unlock) 단계로 구분, 전원을 켜고 첫 성공적인 잠금 해제를 하지 않았다면 기기는 데이터를 복호화 할 키를 모르는 상태라서 공격자가 비밀번호 없이는 내부 데이터를 알아낼 수 없게 하였지만, 이 공격도 성공한 사례가 있습니다. 사용자 자격 증명을 입력하지 않고 장치의 전원을 켜면 최초 잠금 해제 전 상태, 즉 BFU 상태가 됩니다. 이 단계에서는 장치 암호화 파일을 읽을 수는 있지만 대부분의 사용자 데이터가 저장되는 자격 증명 암호화 파일은 특정 보안 칩으로 보호됩니다. 장치를 AFU 상태로 전환, 자격 증명 암호화 CE 파일에 액세스하려면 해당 칩에서 키 자료를 가져와야 하는데요.

​

S3K250AF라는 보안 칩은 2020년 갤럭시S20 모델에 도입된 후, 대부분의 엑시노스 기기에 탑재되어 있습니다. 258KB의 온보드 플래시, 16KB의 랜덤 액세스 메모리를 가지고 있는데요. 255byte의 단일 바이트를 보내면 버퍼 오버 플로가 발생, 스택을 조작하여 숨겨진 시스템 영역을 탈취하고 SALT 키를 확보할 수 있게 됩니다. SALT란 해시 함수를 돌리기 전에 원문에 임의의 문자열을 덧붙이는 것으로, 암호를 유추하기 힘들게 만들게 합니다. 음식에 간하듯, 평 문에 임의의 문자열을 붙인다는 의미 죠. 스택을 제어하게 되는 순간 전체 주소에서 임의의 데이터를 가져올 수 있게 됩니다. 1분 30초 만에 모든 로그인 자체가 암호의 길이에 무관하게 깨지는 거죠.

적법한 수사와 개인정보 보호의 경계 : 법적 균형 찾기의 중요성

2016년 프랑스 헌법재판소는 “내무부 장관 명령만으로 주거 수색과 데이터 복제를 가능하게 한 비상사태법은 공공질서 보호와 사생활 존중 사이의 균형을 요구하는 1789년 인권선언에 위반되므로 위헌을 선언한다."라며 국가비상사태에도 무차별 데이터 복제를 막는 등 적법 수사 원칙을 확인하는 판결을 내리기도 했습니다. 기기를 확보할 수 있는 상황에서 포렌식 기술은 무조건 암호화 기술을 이길 수밖에 없는데요. 인권 보호와 더불어 전자 증거 조사 적법하게 하는 데에는 단순히 암호화나 보안 기법 외에 이런 법적, 절차적 증거 정당성도 확보할 필요가 있습니다. 개인정보가 갖는 가치가 점점 커지고 있는 가운데, 이런 정보를 취급하는 수사기관과 전문가 역시 강력한 컴플라이언스의 규제를 받을 필요가 있음을 시사합니다.

​

현대 사회에서 데이터는 신뢰할 수 있는 자산이자, 때로는 개인의 사생활을 침해할 수 있는 위험 요소입니다. 기술의 발전이 우리에게 놀라운 이점을 제공함과 동시에, 이러한 기술을 적절하고 윤리적으로 사용하는 것의 중요성을 다시 한번 일깨워 줍니다. 포렌식 기술과 모바일 보안 문제는 단순한 기술적 과제를 넘어서 법적, 윤리적 문제와 긴밀하게 연결되어 있습니다. 사법 시스템이 기술적 발전에 발맞추어 개인의 권리를 보호하고 범죄를 수사하는 균형을 찾는 것은 우리 모두의 책임입니다. 각국의 법원이 사생활 보호와 공공의 안전 사이의 경계를 정의하고, 이를 위반하는 수사 방식에 제동을 건 사례는 법과 기술이 어떻게 상호 작용해야 하는지에 대한 중요한 교훈을 제공합니다.

​

이러한 판례들은 우리에게 법적인 틀 내에서 기술을 사용할 필요성을 상기시켜 줍니다. 앞으로도 우리는 이 두 영역 사이의 긴장 관계를 지속적으로 탐구하고, 더 나은 미래를 위한 기술적 솔루션과 법적 가이드라인을 발전시켜 나가야 할 것입니다. 인텔렉추얼데이터는 고객의 소중한 법적 정보를 보호하기 위해 각종 보안 취약점에 대한 방어 체계를 수립하는 데 최선을 다하고 있습니다. 이를 통해 더욱 안전한 리걸 테크 환경을 구축, 선도하고자 합니다.

#인텔렉추얼데이터 #이디스커버리 #ediscovery #e디스커버리 #해킹 #보안 #기업보안 #데이터유출 #정보보호 #개인정보 #핸드폰해킹 #갤럭시#아이폰 #보안취약점 #개인정보보호 #아이폰해킹 #갤럭시해킹