Huffpost Korea kr

애플의 보안 허점으로 전문가도 아이폰의 데이터를 몽땅 날릴 뻔했다

게시됨: 업데이트됨:
APPLE SECURITY
shutterstock
인쇄

카필 하레시는 학부 때부터 디지털 보안과 소프트웨어 공학을 공부하고 현재 캐나다의 워털루대학에서 암호학과 보안에 대한 석사 과정을 밟고 있는 학생이다. 적어도 보통 사람에 비해서는 보안 문제에 대해 빠삭하다고 할 수 있다. 그런데 그는 2주 전 해커의 공격으로 "나의 디지털 라이프 전체가 지구상에서 사라질 뻔했다"고 회고한다.

애플의 보안 허점 때문이었다.

하레시는 자신이 7월 24일 학교에서 겪었던 끔찍한 경험을 미디엄에 쓴 글로 공유했다.

친구들과 학교에서 토론을 하고 있던 도중 갑자기 하레시의 아이폰에서 이상한 소리가 났다. 전화기를 분실했을 때 쓸 수 있는 기능인 '나의 iPhone 찾기'가 작동한 것이었다. 하레시는 곧 무슨 일이 일어나고 있는지를 알아차렸다. 해커가 자신의 애플 ID에 침입하여 해당 기능을 작동시킨 것이었다.

하레시는 해커가 이제 무엇을 할지도 잘 알고 있었다.

애플은 아이폰과 아이패드를 비롯한 자사 제품들이 분실 및 도난당했을 때를 위한 몇 가지 기능을 제공한다. 해당 기기의 현재 위치를 볼 수 있고 소리를 나게 해서 찾을 수도 있다. 그리고 문제의 '분실 모드'가 있다.

분실 모드에서 사용자는 자신의 애플 ID에 등록되어 있는 기기들의 데이터를 원격으로 삭제할 수 있다. 본래 목적은 분실된 기기에 들어있는 자신의 개인 자료를 타인이 볼 수 없게 만들기 위해서지만 역으로 '못된 장난'에도 악용될 수 있다.

lost mode apple

이런 사례는 오래 전부터 종종 보고된 바 있다. 와이어드의 기자인 매트 호넌은 2012년 해커의 공격으로 애플 ID가 넘어간 적이 있다. 해커는 오후 5시 정각에 호넌의 아이폰 데이터를 삭제했고 5시 1분에 그의 아이패드를, 5시 5분에 그의 맥북의 데이터까지 삭제해버렸다.

하레시의 경우는 그나마 다행이었다. 해커는 그의 아이폰과 맥 등의 자료를 모두 삭제하기에 앞서 소리를 울리는 장난을 침으로써 그에게 대응할 수 있는 시간을 줬다. 하레시는 가지고 있던 모든 장비들을 오프라인으로 돌려 화를 면했다.

호넌은 자신이 '2단계 인증'을 사용하지 않은 게 화근이었다고 회고한다. 국내에서도 점차 많은 곳에서 사용하고 있는 2단계 인증은 아이디와 패스워드를 입력한 이후에도 등록되어 있는 기기(주로 스마트폰이다)로 인증코드를 보내어 한 번 더 실제 사용자인지의 여부를 확인한다. 아직까지도 2단계 인증은 가장 안전한 방법으로 여겨지고 있다.

하레시는 이미 애플 ID에 2단계 인증을 사용하고 있었다. 그런데 왜 당할 뻔한 걸까? 여기에 애플의 보안 허점이 있다. '나의 iPhone 찾기' 기능에는 2단계 인증을 사용하지 않기 때문이었다.

따라서 해커가 어떤 수를 써서 나의 애플 ID의 패스워드를 입력하게 되면 제아무리 팀 쿡(애플 CEO)이라도 눈 뜨고 자신의 아이폰에 들어있는 데이터가 '이승 탈출 넘버원'을 찍는 것을 보아야 한다.

tim cook

보안 전문가인 하레시는 이에 대해 "이런 식의 공격이 발생했던 두 가지 주된 이유는 '내 iPhone 찾기'에 2단계 인증 기능이 없었고 애플 ID 사용에 대한 패턴 모니터링이 없었기 때문이었다"고 지적한다.

페이스북의 경우 평소 사용자가 접속하는 지역을 IP를 통해 기억하고 있다가 갑자기 전혀 다른 지역에서 로그인을 시도할 경우 경고 메시지를 보내면서 친구들의 얼굴을 맞추게 하거나 하는 등의 추가적인 보안 조치를 요구한다. 이렇게 평소의 사용 패턴과 상반된 모습을 보일 때 이를 단속하는 것을 넓은 의미에서 '패턴 모니터링'이라고 일컫는다.

하레시의 애플 계정에 침투한 해커의 경우도 마찬가지였다. 캐나다에 거주하는 하레시는 통상적으로 캐나다에서 접속을 해왔는데 이번 해커는 아일랜드에서 접속을 한 것으로 추정됐다. 마이크로소프트는 이런 경우 경고 메시지와 함께 다른 계정을 통해 이 로그인 시도를 확인할 것을 요구한다.

'내 iPhone 찾기'의 2단계 인증도 마찬가지다. 물론 실제로 전화기를 잃어버렸을 경우, 문자메시지나 전화를 받을 수 있는 전화기가 없기 때문에 통상적인 2단계 인증 방식은 쓸 수가 없다. 그러나 이러한 경우에도 진짜 사용자 여부를 추가로 확인할 수 있는 장치는 얼마든지 만들 수 있다. 구글은 2단계 인증을 설정할 경우 전화기 없이도 쓸 수 있는 1회용 인증코드를 10개 지급한다. 이를 인쇄해놓고서 인증이 필요하나 전화기를 쓸 수 없을 경우에 사용할 수 있다.

통상적으로 애플의 기기들은 보안 수준이 높은 것으로 여겨진다. 하지만 위의 경우와 같이 전혀 생각지도 못한 허점으로 인해 보안 전문가 조차도 소중한 데이터를 모두 잃어버릴 수 있었다.

패스워드가 노출된 경우면 어쩔 수 없느냐고 반문할 수도 있다. 그러나 IT 업계에는 이미 패스워드가 노출된 상태에서도 부정한 접근을 감지하여 이를 막을 수 있는 여러 가지 방법이 고안되어 활용되고 있다. 2단계 인증도 그 중 하나다. 애플 뿐만 아니라 국내 업체들도 이런 방법들을 적극적으로 도입해야 한다.

수정 사항 제안