아직 구체적인 국내 출시일도 정해지지 않은 상태에서 아이폰이 악재를 만났다. 최근 애플 아이폰 3GS의 개인 정보를 탈취하는 방법을 시연하는 유튜브 동영상이 화제가 되고 있기 때문이다.

아이폰 개발 커뮤니티에서 이른바 해커 ‘NerveGas’로 알려져 있는 Jonathan Zdziarski는 최근 유튜브에 두 개의 동영상을 업데이트 해 애플 아이폰(Apple iPhone) 3GS가 기업에서 이용되기에는 아직 준비되지 않았다고 주장하고 있다.

 그는 우선 ‘아이폰 3GS 패스코드 및 암호화 제거(Removing iPhone 3GS Passcode and Encryption)’라는 제목의 첫 번째 동영상에서 공격자가 패스코드를 제거하고 아이폰의 데이터를 탈취하는 방법을 시연했다.

이 동영상을 통해 그는 “내 툴을 포렌직 목적으로 제한했지만 스크립트키드도 이를 쉽게 변경할 수 있다”며 “포렌직 목적의 좋은 의도로 이용될 수 있지만 사생활 보호의 측면에서 꽤 끔찍한 결과를 가져올 수도 있다”고 말했다. 특히 ‘아이폰 백업 암호화’ 체크박스만 믿다가는 낭패 보기 쉽다며 아이폰에 저장된 내용이 성인물일수도 있지만 국가 기밀일 수도 있다며 이 취약점으로 인한 잠재적인 위협을 경고했다.

이어 두 번째 동영상 ‘아이폰 3GS 포렌직 복구 시연(Demonstration : Forensic Recovery of an iPhone 3GS)에서는 공격자가 소프트웨어 툴을 이용해 아이폰의 가공되지 않은 디스크 이미지(aw disk image)를 다운로드하는 방법을 시연해 개인 정보가 노출되거나 음성 메시지나 기타 데이터가 삭제될 수 있음을 보여줬다.

한편 애플(Apple)사는 최근 아이폰의 새로운 하드웨어 암호화와 보안 정책 개선을 강조하며 기업들이 아이폰 3GS에 관심을 표현하고 있다고 선전한 바 있다. 즉, ‘보안’은 아이폰 3GS를 비롯한 애플의 중요한 셀링 포인트(selling point)라 할 수 있다.

그러나 애플은 현재 Zdziarski가 유튜브 동영상을 통해 시연한 아이폰 3GS의 암호화 취약점 등에 대해 어떠한 공식적인 대응도 하고 있지 않은 것으로 알려졌다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>