아이폰 보안 비밀번호가 6자리인 이유 - 포렌식 방어

2015년 미국의 연방수사국(FBI)이 총기 난사 사건의 용의자 스마트폰 잠금 해제를 못했던 사건이 있다. 이 용의자의 스마트폰은 아이폰이었다. 당시 FBI는 이스라엘의 보안 업체에 의뢰해 겨우 아이폰 잠금을 해제했던 것으로 알려졌다. 당시 영국의 BBC 방송은 FBI가 약 100만 달러를 이 업체에 지불했을 것이라고 추정했다. 물론 FBI는 이 사실을 공식적으로 인정하지 않았다.

 

용의자의 전자기기를 분석해 범죄단서나 증거를 찾는 수사기법을 디지털 포렌식(forensic) 이라고 한다. 우리나라도 대검찰청 옆에 영상이나 문서분석, 증거물 감식을 전문으로 하는 디지털포렌식센터가 있다. 

검사 출신 구태언 변호사 (법무법인 린)는 “이스라엘 업체가 쓴 방법은 특정 기계를 통해 당사자 아이폰 1000개를 복제한 것”이라며 “10번 비밀번호를 잘못 입력하면 데이터가 아예 삭제되기 때문에 똑같은 스마트폰을 여러개 만들어 계속 비밀번호 해제를 시도했던 것”이라고 설명했다.

애플의 보안 설정은 비밀번호 해제를 10번 시도했는데 풀리지 않는다면 아예 데이터를 초기화할 수 있는 기능이 있다. 사용자가 이 항목을 설정해뒀다면 수사기관 등 외부에서 비밀번호를 해제하다가 아예 데이터가 사라질 수도 있는 셈이다. 증거를 아예 사라지게 할순 없으니 결국 비밀번호 해제시도를 할 수가 없다. 애플은 테러범의 아이폰에 담긴 내용을 미국 연방수사국(FBI)이 볼 수 있도록 도우라는 법원 명령을 거부하기도 했다.  

 

바로 이 사건 이후로 애플은 그간 4자리였던 비밀번호를 6자리로 바꿨다.

 

숫자로만 한정하더라도 4자리 수라면 경우의 수가 1만개이지만, 6자리로 늘어나면 경우의 수는 100만개로 늘어난다. 여기에 특수문자나 영어 대소문자까지 더해진다면 경우의 수는 brute-force로는 풀 수 없을만큼 많아진다. 구 변호사는 “6자리 비밀번호로 바뀐 뒤로는 이스라엘 업체를 거친다 하더라도 비밀번호를 풀기 쉽지 않을 것”이라고 말했다.

 

 

2017년 출시된 아이폰X 이후 기종일 경우, 휴대전화를 실행할 때마다 일일이 비밀번호를 입력하지 않아도 잠금이 해제되는 ‘페이스 ID’(Faceㆍ얼굴 인식 기능)가 설정될 수도 있다. 페이스 ID는 적외선으로 사람 얼굴에 3만 개 이상 도트를 찍고 정밀하게 인식하는 기술이다. 기계가 사용자의 화면 주시 여부까지 확인하기 때문에 사진으로는 잠금 해제가 불가능하다. 다만 최근 아버지를 닮은 아들을 사용자로 잘못 인식하는 사건이 알려지며 보안 문제가 불거지기도 했다.    

 

아이폰X가 2년 전 모델이지만, 아이폰의 운영체제 iOS를 최신 버전으로 업데이트했다면 암호 풀기는 더욱 어려워진다. 애플은 올 9월 아이폰11 시리즈를 발매하면서 최신 OS인 iOS 13을 공개했다.  

 

이에 유일한 방법으로 이스라엘 정보기술업체인 ‘셀레브라이트’사의 포렌식 장비가 거론된다. 익명을 요구한 포렌식 전문가는 “아이폰은 보안이 일반 해커들이 접근하기 어려울 정도로 견고해 최신 iOS로 업데이트한 상태라면 셀레브라이트 장비를 사용해야만 풀 수 있을 것”이라며 “다만 수사기관에서 필요한 셀러브라이트 장비는 워낙 고가라 국내에 보유한 곳이 있는지 확인이 안 된다”고 설명했다. 셀러브라이트사는 일반용과 다르게 더 많은 정보를 추출할 수 있는 수사기관용을 따로 만들어 판매한다고 한다.
 
이상진 고려대 정보보호대학원장은 “셀러브라이트사 장비의 작동 원리는 현재 학계에도 정확히 보고된 바 없다”며 “비밀번호 영구 잠금이 안 되게끔 하면서 계속 시도해 볼 수 있게 만든 게 아닐까 하고 추측만 할 뿐”이라고 밝혔다.  

 

신형 iOS는 사실상 뚫을 수가 없고, 어둠의 경로로 iOS구형 아이폰을 잠금해제하는건 건당 3천만원 정도가 든다고 한다.

 

가장 강력한 보안정책이란 특별한 게 아니다. 뚫리기 전에 신제품을 또 내놓아서 뚫으려고 한 그동안의 노력을 헛수고로 만드는 것이다. 크래킹에 걸리는 시간보다 신형이 나오는 속도가 더 빠르다면 자연히 보안은 계속 유지된다. 해봤자 헛수고란 인식이 퍼지면 해킹 시도조차 점점 줄어드는 효과도 있다.