FBI가 아이폰 식별정보/고객정보 수집했나?

미국에서 최근 모바일 보안 사고가 터졌습니다. 연방수사국(FBI)이 아이폰 아이패드 등 애플 제품의 식별코드와 사용자 개인정보를 수집했다고 해커집단 안티섹(AntiSec)이 폭로했습니다. FBI가 해커들을 잡아들였다는 소식이 심심찮게 올라오기에 ‘저러다 한판 붙겠다' 생각했는데 이런 일이 생겼습니다. FBI가 정말로 그랬는지 안티섹이 FBI한테 덮어씌운 건지 모르겠지만 큰 문제입니다. 신문용 기사 원본을 그대로 싣습니다.

사진출처: modmyi.com

미국 연방수사국(FBI) 요원이 1200만개가 넘는 애플 제품의 식별번호와 해당 제품 사용자들의 개인정보를 수집해 사용했을까? 해커집단 안티섹(AntiSec)이 FBI 요원 노트북을 해킹해 입수했다며 100만개의 제품식별코드(UDID)를 인터넷에서 공개해 파문이 일고 있다. 내막이 어떻든 모바일 보안의 헛점이 통째로 드러난 셈이다.

안티섹은 지난 3월 둘째주 FBI 뉴욕지부 요원 크리스토퍼 스탱글이 사용하는 노트북을 해킹해 애플 iOS 기기(아이폰 아이패드 아이팟터치) 1236만대의 UDID 목록이 담긴 파일을 입수했다며 이 파일을 내려받을 수 있는 사이트와 암호를 푸는 방식을 공개했다. 파일에는 사용자명 제품명 전화번호도 일부 포함됐다고 밝혔다.

UDID는 각각의 제품에 부여하는 40자 식별코드를 말한다. 숫자와 문자가 섞여 있고 암호화된 상태로 저장된다. 문제는 이 UDID와 해당 제품 사용자의 개인정보가 결합될 경우 특정인 추적 용도로 악용할 수 있다는 점이다. 안티섹 폭로 내용이 사실이라면 FBI가 애플 제품 UDID 등을 활용해 민간인을 사찰했다는 얘기가 된다.

FBI 측은 즉각 부인했다. 안티섹이 공개한 파일이 FBI 요원 노트북에서 유출됐다는 증거가 없고 FBI는 그런 파일을 보유하지 않는다고 해명했다. 현재로서는 어느쪽 주장이 맞다고 단언할 수 없다. 안티섹이 다른 곳에서 파일을 훔쳐온 뒤 FBI에 뒤집어 씌웠을 수도 있고 FBI가 일단 잡아떼는 식으로 발뺌하고 있을 수도 있다.

안티섹은 위키릭스 창시자 줄리앙 어산지를 옹호하고 미국 온라인해적금지법(SOPA)을 반대했던 해커 집단 어나니머스의 별동대로 보복을 서슴지 않는 해커들이 주도한다. ‘안티섹’에는 ‘보안(Security)’을 반대한다(Anti)’는 뜻도 담겨 있다. 이번에 FBI를 공격한 것은 FBI가 최근 다수의 해커를 잡아들였기 때문으로 보인다.

UDID와 개인정보 수집 경위는 밝혀진 게 없다. 모바일 앱(응용 프로그램) 중에는 원활한 서비스를 위해 UDID를 사용자 동의를 받거나 사용자 몰래 빼가는 앱이 적지 않다. 문제는 UDID가 개인정보와 묶여 있을 경우다. 이번에는 아이폰 등 애플 제품이 문제가 됐지만 앱 심사를 거의 받지 않는 안드로이드 제품은 더 위험하다.

그렇다고 애플에 책임이 없다는 얘기는 아니다. 이번 사태에 정통한 해커 A씨는 “애플이 FBI에 UDID와 개인정보를 넘겼을 가능성은 거의 제로라고 보지만 중요한 데이터의 암호가 오픈소스 프로그램으로도 풀릴 만큼 암호화가 허술하다면 비난 받아 마땅하다”며 “애플은 지난해 아이튠즈가 뚫린 적도 있지 않느냐”고 지적했다. (애플 반응)

이번 사태로 모바일 보안의 헛점이 통째로 드러났다. 우선 누군가가 UDID와 개인정보가 결합된 데이터를 가지고 있다면 맘만 먹으면 악용할 수 있다는 게 문제다. 해커 A씨는 “UDID와 몇 가지 정보만 있으면 쉽게 ‘쌍둥이폰’을 만들어 통화를 엿듣거나 메시지를 엿볼 수 있고 모바일 뱅킹 계정을 훔칠 수도 있다”고 설명했다.

두번째는 편리한 모바일 서비스를 위해서는 UDID 등 정보 수집이 불가피하고 이미 많은 정보가 수집됐다는 점이다. 월스트리트저널은 UDID를 1년 이상 연구한 보안 전문가의 말을 인용해 UDID를 1000만건 이상 보유하고 있는 기업도 대여섯개는 된다고 보도했다. 해커 A씨는 “한 번 유출된 정보는 주워담을 수 없다”고 말했다.

국가나 기업이 모바일 정보를 악용한다면 조지 오웰이 염려했던 ‘빅 브라더’가 될 수도 있다. 해커 A씨는 “정보기관이 모바일 정보를 가지고 있다는 것은 매우 위험하다. FBI가 하는 일을 다른 나라 정보기관이 못하겠느냐”고 반문했다. 안티섹의 폭로 글에는 ‘국민이 정부를 두려워하면 독재가 된다’는 토마스 제퍼슨의 말도 들어 있다.

모바일 보안의 헛점이 드러났지만 마땅한 대안은 없다. 위치기반 서비스나 맞춤형 모바일 광고 서비스를 제공하려면 제품을 식별할 수 있어야 하는데 제품 정보를 수집하다 보면 이번과 같은 문제가 생긴다. 해커 A씨는 “대안이 거의 없다”며 “애플이 얼마나 놀랐으면 UDID를 수집하는 앱을 등록해주지 않기로 했겠느냐”고 말했다. [광파리 김광현]

사이버 수사도 잠복 하고 스파이 심는다

미국 연방수사국(FBI)에서 서너 달 전까지 사이버 수사를 지휘했던 숀 헨리(Shawn Henry)란 사람이 한국에 왔습니다. 오늘 ‘제1회 글로벌 정보보호 컨퍼런스’에서 기조연설을 하기 위해서입니다. 헨리는 FBI를 떠나면서 “사이버 전쟁이 터지면 미국이 질 수 있다"고 말했던 사람입니다. 어제 헨리를 만나 사이버 위협에 관한 얘기를 들었습니다. (현재는 크라우드 스트라이크 사장)

먼저 FBI를 떠나면서 했던 말로 물꼬를 텄습니다. “사이버 전쟁이 터지면 미국이 질 수 있다고 했는데 무슨 뜻이냐"고 물었습니다. 답변:  “전반적으로 질 수 있다는 뜻이다. 미국 정부가 이긴 적도 있지만 ‘적'들이 빠르게 따라붙고 있다. 전 세계가 직면한 문제이다.” 말이 끝나자 “적이 누구냐”고 물었습니다. 답변: “적에는 범죄집단도 있고 정부 지원을 받는 집단도 있다.”

헨리는 “중국 해커들이 미국을 공격한다는 게 사실이냐"는 질문에 “특정 국가를 거론할 순 없다. 많은 국가가 해커들을 지원해 사이버 간첩활동을 한다. 기업 정보를 빼가고 미국 정부 사이트를 공격한다"고 말했습니다. “미국도 플레임 바이러스로 중동을 공격하지 않았느냐"고 되물었더니 “나도 그런 기사를 읽었는데 미국 정부 입장은 모르겠다"고 발을 빼더군요.

헨리는 이런 얘기도 했습니다. “인터넷 초창기에는 정보 공유만 생각했지 사이버 보안은 생각하지 않았다", “한참 지난 후에야 사이버 보안이 중요하고 경제에 큰 영향을 미친다는 사실을 알게 됐다. 심각한 문제라고 생각하기 시작한 건 얼마 되지 않았다.한국도 상황이 비슷할 것이다."

“가장 중요한 최신 사이버 위협이 무엇이냐”는 질문에는 “모바일 기기를 통한 공격”이라고 했습니다. 해커들이 모바일 기기의 취약점을 간파해 커뮤니케이션을 방해하거나 금융계좌를 털기도 한다는 겁니다. 모바일 기기 해킹에 관해서는 “수사가 진행 중이어서 자세히 말하긴 어렵지만 모바일 기기를 사용해 금융계정을 턴 사건이 있었다”고 밝혔습니다.

사이버 수사를 어떻게 하느냐고도 물었습니다. 현실세계와 비슷하다고 하더군요. 잠복도 하고 스파이도 활용하고. 사이버 범죄자들은 사이버 포럼을 열어 훔친 정보를 교환하고 공격기법을 공유한다고 합니다. 헨리는 이런 집단에 스파이를 접근시켜 우두머리 자리를 차지한 뒤 조직의 전모를 파악해 전원 체포하고 조직을 와해시킨 적도 있다고 들려줬습니다.

사이버 범죄집단은 오프라인과 비슷하다고 했습니다. “두목이 있고 그 밑에 부문별 책임자가 있고 그 밑에 해킹 하는 실무자들이 있다. 정보는 위에서 아래로 내려가고 돈은 밑에서 위로 올라간다"고 설명했습니다. 범죄집단의 크기는 대여섯명에서 수백명까지 다양하다고 했습니다. 이처럼 닮은 점이 많아서 실제 세계의 검거 수법이 사이버 공간에서도 통한다고 했습니다.

오바마 대통령 취임 후 미국이 사이버 보안을 강화하고 있다는 얘기도 했습니다. 사이버 위협이 무엇인지, 다음 세대를 위해 어떻게 해야 하는지 국민들에게 알려주고, 네트워크 접속자들을 자세히 살핀다고 했습니다. 믿을 수 있는 사람만 접속하게 허용하고 누구랑 커뮤니케이션 했는지 확인함으로써 해커가 비집고 들어갈 틈을 주지 않는다고 말했습니다.

한국 정부/기업에 하고 싶은 얘기가 뭐냐고 물었습니다. 헨리의 답변은 이렇습니다. “사이버 보안은 특정 부처에 국한된 문제가 아니다. 정부의 모든 부처가 나서야 한다. 정부와 민간의 협력도 중요하다. 민간이 인프라를 많이 가지고 있기 때문에 사이버 위협 양상이 어떤지, 해결방안은 뭔지 협의해야 한다. 정부간 협력, 정부 부처간 협력, 정부와 민간의 협력이 모두 중요하다.” [김광현]