2012년 9월 5일 수요일

FBI가 아이폰 식별정보/고객정보 수집했나?


미국에서 최근 모바일 보안 사고가 터졌습니다. 연방수사국(FBI)이 아이폰 아이패드 등 애플 제품의 식별코드와 사용자 개인정보를 수집했다고 해커집단 안티섹(AntiSec)이 폭로했습니다. FBI가 해커들을 잡아들였다는 소식이 심심찮게 올라오기에 ‘저러다 한판 붙겠다' 생각했는데 이런 일이 생겼습니다. FBI가 정말로 그랬는지 안티섹이 FBI한테 덮어씌운 건지 모르겠지만 큰 문제입니다. 신문용 기사 원본을 그대로 싣습니다.
사진출처: modmyi.com

미국 연방수사국(FBI) 요원이 1200만개가 넘는 애플 제품의 식별번호와 해당 제품 사용자들의 개인정보를 수집해 사용했을까? 해커집단 안티섹(AntiSec)이 FBI 요원 노트북을 해킹해 입수했다며 100만개의 제품식별코드(UDID)를 인터넷에서 공개해 파문이 일고 있다. 내막이 어떻든 모바일 보안의 헛점이 통째로 드러난 셈이다.

안티섹은 지난 3월 둘째주 FBI 뉴욕지부 요원 크리스토퍼 스탱글이 사용하는 노트북을 해킹해 애플 iOS 기기(아이폰 아이패드 아이팟터치) 1236만대의 UDID 목록이 담긴 파일을 입수했다며 이 파일을 내려받을 수 있는 사이트와 암호를 푸는 방식을 공개했다. 파일에는 사용자명 제품명 전화번호도 일부 포함됐다고 밝혔다.

UDID는 각각의 제품에 부여하는 40자 식별코드를 말한다. 숫자와 문자가 섞여 있고 암호화된 상태로 저장된다. 문제는 이 UDID와 해당 제품 사용자의 개인정보가 결합될 경우 특정인 추적 용도로 악용할 수 있다는 점이다. 안티섹 폭로 내용이 사실이라면 FBI가 애플 제품 UDID 등을 활용해 민간인을 사찰했다는 얘기가 된다.

FBI 측은 즉각 부인했다. 안티섹이 공개한 파일이 FBI 요원 노트북에서 유출됐다는 증거가 없고 FBI는 그런 파일을 보유하지 않는다고 해명했다. 현재로서는 어느쪽 주장이 맞다고 단언할 수 없다. 안티섹이 다른 곳에서 파일을 훔쳐온 뒤 FBI에 뒤집어 씌웠을 수도 있고 FBI가 일단 잡아떼는 식으로 발뺌하고 있을 수도 있다.



안티섹은 위키릭스 창시자 줄리앙 어산지를 옹호하고 미국 온라인해적금지법(SOPA)을 반대했던 해커 집단 어나니머스의 별동대로 보복을 서슴지 않는 해커들이 주도한다. ‘안티섹’에는 ‘보안(Security)’을 반대한다(Anti)’는 뜻도 담겨 있다. 이번에 FBI를 공격한 것은 FBI가 최근 다수의 해커를 잡아들였기 때문으로 보인다.

UDID와 개인정보 수집 경위는 밝혀진 게 없다. 모바일 앱(응용 프로그램) 중에는 원활한 서비스를 위해 UDID를 사용자 동의를 받거나 사용자 몰래 빼가는 앱이 적지 않다. 문제는 UDID가 개인정보와 묶여 있을 경우다. 이번에는 아이폰 등 애플 제품이 문제가 됐지만 앱 심사를 거의 받지 않는 안드로이드 제품은 더 위험하다.

그렇다고 애플에 책임이 없다는 얘기는 아니다. 이번 사태에 정통한 해커 A씨는 “애플이 FBI에 UDID와 개인정보를 넘겼을 가능성은 거의 제로라고 보지만 중요한 데이터의 암호가 오픈소스 프로그램으로도 풀릴 만큼 암호화가 허술하다면 비난 받아 마땅하다”며 “애플은 지난해 아이튠즈가 뚫린 적도 있지 않느냐”고 지적했다. (애플 반응)

이번 사태로 모바일 보안의 헛점이 통째로 드러났다. 우선 누군가가 UDID와 개인정보가 결합된 데이터를 가지고 있다면 맘만 먹으면 악용할 수 있다는 게 문제다. 해커 A씨는 “UDID와 몇 가지 정보만 있으면 쉽게 ‘쌍둥이폰’을 만들어 통화를 엿듣거나 메시지를 엿볼 수 있고 모바일 뱅킹 계정을 훔칠 수도 있다”고 설명했다.

두번째는 편리한 모바일 서비스를 위해서는 UDID 등 정보 수집이 불가피하고 이미 많은 정보가 수집됐다는 점이다. 월스트리트저널은 UDID를 1년 이상 연구한 보안 전문가의 말을 인용해 UDID를 1000만건 이상 보유하고 있는 기업도 대여섯개는 된다고 보도했다. 해커 A씨는 “한 번 유출된 정보는 주워담을 수 없다”고 말했다.

국가나 기업이 모바일 정보를 악용한다면 조지 오웰이 염려했던 ‘빅 브라더’가 될 수도 있다. 해커 A씨는 “정보기관이 모바일 정보를 가지고 있다는 것은 매우 위험하다. FBI가 하는 일을 다른 나라 정보기관이 못하겠느냐”고 반문했다. 안티섹의 폭로 글에는 ‘국민이 정부를 두려워하면 독재가 된다’는 토마스 제퍼슨의 말도 들어 있다.

모바일 보안의 헛점이 드러났지만 마땅한 대안은 없다. 위치기반 서비스나 맞춤형 모바일 광고 서비스를 제공하려면 제품을 식별할 수 있어야 하는데 제품 정보를 수집하다 보면 이번과 같은 문제가 생긴다. 해커 A씨는 “대안이 거의 없다”며 “애플이 얼마나 놀랐으면 UDID를 수집하는 앱을 등록해주지 않기로 했겠느냐”고 말했다. [광파리 김광현]