뉴스
2016년 03월 29일 13시 47분 KST | 업데이트됨 2016년 03월 29일 14시 00분 KST

[해설] 승자 없는 휴전 : 애플-FBI '백도어' 논쟁 1라운드가 남긴 것들

Regis Duvignau / Reuters
An Apple iPhone is pictured next to the logo of Apple in Bordeaux, southwestern France, February 26, 2016. REUTERS/Regis Duvignau

애플과 미국 정부 사이에서 벌어진 ‘백도어’ 법적 공방이 일단 공식적으로 종료됐다. 미국 법무부가 ‘애플 도움 없이도 테러범의 아이폰 데이터를 확보했다’고 밝히며 소송을 취하하면서다. 이례적으로 공개 여론전에 나섰던 애플은 난감한 상황에 처하게 됐다. 이번 사건은 앞으로 다가올 더 많은 논쟁을 예고하는 예고편에 불과하다는 지적도 나온다.

미국 법무부는 28일(현지시간) 캘리포니아 연방지방법원에 소송 취하 서류(PDF)를 제출했다. 지난해 12월 캘리포니아주 샌버나디노에서 발생한 총기테러 용의자 사예드 파룩의 아이폰5C에 담긴 데이터를 “애플의 도움 없이”도 “제 3자의 지원”을 통해 확보하는 데 성공했다는 것.

앞서 FBI는 테러범이 소지했던 아이폰의 잠금해제를 도울 수 있는 ‘기술적 수단’을 애플이 제공해야 한다며 이를 요청하는 소송을 냈고, 법원은 이를 받아들였다. 그러나 애플은 이 명령을 ‘백도어(뒷문)’ 개설 요청으로 규정하고 이를 단호하게 거부하겠다고 선언하며 여론전을 벌여왔다.

‘장기전’이 예고됐던 법적 공방은 예상보다 싱겁게 끝났다. 승자와 패자는 분명하지 않다.

애플은 일단 ‘백도어’ 명령 거부라는 자신들의 목적을 달성했다. 그러나 자신들이 그토록 강조하던 아이폰의 보안이 무력화됐(을 지도 모른)다는 점에 대한 의문이 거꾸로 제기될 가능성이 높아졌다.

소송 취하 서류에 따르면 미국 정부는 원하는 데이터를 확보하는 데 성공했다. 그러나 이번 사건이 ‘전면전’으로 번지면서 이 문제에 대한 여론의 관심이 높아지는 계기가 됐다는 점은 부담이 될 수 있다.

이번 사건은 오히려 예고편에 불과하다는 시각도 있다. 앞으로 언제든 이와 비슷한 일이 다시 벌어질 수 있기 때문.

1. 미국 정부는 어떻게 아이폰 잠금을 풀었을까

미국 법무부는 테러 용의자의 아이폰에 대한 잠금해제에 성공했다고만 밝혔을 뿐, ‘어떻게’ 성공했는지에 대해서는 언급하지 않았다. 다만 몇 가지 추측이 제기될 뿐이다. (미국 정부가 실제로 잠금해제에 성공했는지 여부도 물론 확인할 수 없는 상황이다.)

우선 외부업체다. 최근 교도통신은 미국과 이스라엘 언론을 인용해 ‘셀레브라이트’라는 업체가 FBI에 아이폰 잠금해제 방법을 제안했다고 보도했다. 스스로를 스마트폰 데이터 분석 업체로 소개하는 이 이스라엘 기업은 자신들이 보유한 기술로 세계 각국 정부의 수사기관 및 군과 거래를 하고 있다고 밝히고 있다. 다만 어느 쪽도 이에 대한 내용을 시인하지는 않았다.

보안업계 등에서 유력한 가능성으로 떠오른 건 ‘낸드 미러링(영상)’이라는 방법이다. 아이폰의 메모리칩을 복제한 뒤, 모든 조합의 비밀번호를 대입하는 ‘무차별 대입공격’을 실행하는 것. 비밀번호 10회 오류시 데이터가 자동 삭제되는 기능이 활성화 되어 있더라도 메모리를 계속 복제해가면서 같은 시도를 반복할 수 있다는 것. 언젠가 맞는 비밀번호가 나온다는 얘기다.

다만섣불리 단정짓기는 어려운 상황이다. 와이어드에 따르면 제임스 코미 FBI 국장은 지난주 기자회견에서 이 낸드미러링 방법이 실제로는 통하지 않았다고 말했다. 그러나 별도의 설명을 덧붙이지는 않았다. 가디언은 지난 22일 “정부가 아이폰 암호화를 우회하는 만병통치약을 발견한 건 아닐 가능성이 높다”고 전했다.

이 부분은 ‘미궁’으로 남을 가능성이 높다. 지난주 애플 변호인은 정부가 만약 잠금해제에 성공한다면 그 방법을 공개해야 할 것이라고 밝혔다. 그러나 정부는 애플에 그 방법을 공개할 가능성은 물론, 어떤 데이터를 확보했는지, 어떤 민간기업의 협조를 받았는지에 대해서도 설명하지 않겠다고 밝혔다. 가디언은 정부가 이 내용을 ‘기밀’로 지정했다고 보도한 바 있다.

2. 아이폰은 안전한가

애플은 난감한 처지에 놓이게 됐다. 이례적으로 공개 여론전까지 전개하며 맞섰지만, 정부의 ‘항복’을 받아낸 건 아니기 때문이다. 거꾸로 아이폰을 포함한 애플 기기의 보안성에 대한 불확실한 의문이 제기될 가능성도 제기된다. 또 “잠금해제에 사용된 기술과 공개 여부를 놓고 정부와 애플 사이에서 새로운 충돌이 빚어질 수 있다”고 뉴욕타임스는 전했다.

‘아메리칸시빌리버티’ 소속 변호사 에샤 브한다리는 “법적 관점에서 보자면 샌버나디노 사건으로 (백도어를 둘러싼) 싸움은 끝난 게 아니다”라고 말했다. 일반적으로 정부는 특정 보안 취약 정보를 공유해 제조사가 이를 보완할 수 있도록 정보 공개 여부를 결정한다고 그녀는 설명했다.

그녀는 “정부가 애플에 그 정보를 공유해서 취약점을 보완하도록 했으면 좋겠다”면서도 “정부가 이 도구를 기밀로 지정한다면 그럴 가능성은 없다는 의미일 것”이라고 말했다. (뉴욕타임스 3월28일)

애플은 위험에 노출되어 있을지도 모르는 ‘구멍’을 스스로 찾아야 하는 상황이 됐다. 정부가 발견한 방법이 다른 아이폰에도 적용되지 않는다는 보장이 없기 때문. 미국 정부 관계자는 이번에 문제가 된 테러 용의자의 아이폰5C의 잠금을 해제하는 데 쓰인 방법이 다른 사건에도 통할 것인지 말하기는 이르다고 밝혔다고 뉴욕타임스는 보도했다.

앞서 소개한 '낸드미러링' 방식에는 몇 가지 한계가 있는 것으로 알려져 있다. 보안전문가 조너선 지라스키에 따르면, 이 방법은 테러 용의자가 소지했던 아이폰5C와 그보다 더 오래된 기기에서는 문제 없이 작동한다. 그러나 애플 A7 프로세서(및 이후)나 ‘시큐어 인클레이브(Secure Enclave)가 적용된 신형 아이폰(1)에는 통하지 않는다. 또 알파벳이 섞인 비밀번호를 사용할 경우 이 방법은 무용지물이 된다.

(1) 아이폰 5s 이상, 아이패드 미니2 이상, 아이패드 에어 이상

애플은 이날 밤 성명을 내고 “애초 이런 일은 벌어지지 말았어야 했다”고 밝혔다. 애플은 “지금까지 해왔던 것처럼 수사당국의 수사에 협조할 것이며, 데이터에 대한 공격이 더 빈번하고 복잡해짐에 따라 우리 기기의 보안을 계속해서 강화해나갈 것”이라고 덧붙였다.

3. 싸움은 끝난 게 아니다

공식적으로는 논쟁이 종료됐지만, 모든 게 완전히 끝난 건 아니다. 많은 것들이 여전히 불투명한 상태로 남아있고, 이번 논쟁의 핵심 쟁점들 역시 전혀 해소되지 않았기 때문이다. 논쟁은 예기치 않게 봉합됐을 뿐이다.

양쪽의 입장차이는 좁혀지지 않았다. 정부가 확보했다는 잠금해제 수단이 모든 아이폰에서 통하지 않는다면, 정부는 앞으로도 애플에 ‘백도어’를 비롯한 기술지원을 요청 할 가능성이 높다. 반면 애플이 이에 응할 가능성은 높지 않아보인다. 또 애플은 앞으로도 기기의 암호화 등 보안을 더 강화해 나갈 것으로 예상된다. 논쟁은 더 확대될 수밖에 없다.

애플은 성명에서 “이 사건으로 시민자유권과 전체 안보와 프라이버시에 대한 국가적 대화가 필요한 이슈가 제기됐다”며 “애플은 앞으로도 그 대화에 적극 참여할 것”이라고 밝혔다. 아직 모든 논쟁이 끝난 게 아님을 시사한 것이다. 실제로 미국 정부는 최소 15대에 달하는 범죄 용의자의 아이폰에 대한 잠금해제를 위해 법원에 애플의 협조를 요청한 상황이다.

월스트리트저널은 FBI와 애플의 논쟁 1라운드는 그 키를 의회에 넘기게 됐다고 전했다. 인터넷 기업들들이 “법을 초월해” 법원의 압수수색 명령 등을 거부하는 시스템을 설계하도록 내버려둘 것인지 결정해야 한다는 것.

팀 쿡 (애플 CEO)은 당국이 테러에 대비하거나 법을 적용하는 다른 방법을 찾아야 한다고 주장한다. 그래서 애플이 법원 명령으로부터 지켜주겠다는 고객들과의 약속을 지킬 수 있도록 해야 한다는 것이다. 그건 기업의 마케팅 관점에서 보자면 이해할 만한 일이지만, 다른 산업에서 그런 일은 허용되지 않는다. (월스트리트저널 3월27일)

반면 팀 쿡은 타임 인터뷰에서 이렇게 언급한 바 있다.

제가 볼 때 (스마트폰에 저장되는) 메시지와 금융기관의 차이는 이렇습니다. 은행 업무를 위해서는 고객들이 얼마를 예치하고 얼마를 인출했는지 등을 파악해야 하죠. 그 모든 정보가 필요한 것입니다. 그 정보들을 고객들에게도 알려줘야 하기 때문에 그걸 (회사가) 보유하고 있어야 하는 거죠.

그건 그쪽의 이야기고요, 메시지를 봅시다. 우리의 업무는 당신의 메시지를 읽는 게 아닙니다. 우리는 그런 업무를 하지 않습니다. 제 신념에도 어긋나는 일이고요. 저는 여러분의 개인적 일들을 읽고 싶지 않습니다. 저는 그저 메시지를 전달해주는 역할입니다. 그게 제 일이죠. 따라서 만약 제가 당신의 메시지, 모든 사람들의 메시지를 보관해야 한다면, 그걸 강제하는 법이 있어야 할 겁니다. 모든 메시지를 보관하라는 거죠. 그건 매우 좋지 않은 일이 될 겁니다. (타임 3월17일)

Photo gallery 애플 아이폰 암호화, 시위 See Gallery

PRESENTED BY 호가든