러시아 컴퓨터 포렌식 기업인 엘콤소프트(Elcomsoft)는 아이폰에 담긴 데이터를 보호하는 다계층 방식 암호화 시스템을 해킹하는 데 성공, 이를 복호화하는 툴킷을 개발했다고 발표했다. 라이선스 구매 가격은 128달러다.

애플은 2010년 4월 iOS4가 출시된 이래 데이터 프로텍션(Data Protection)이라 불리는 암호화 시스템을 써서 호환 장치에 있는 데이터 보안을 유지하도록 설계돼 있다. 이 시스템에서는 사용자 패스코드 키를 256비트 암호화를 사용해 내장 칩에 저장한다.

뿐만 아니라 iOS에 저장된 개별 파일은 장치의 고유 ID(UID)를 바탕으로 산출된 개별 키로 또 한번 암호화해 보호한다. 하지만 엘콤소프트는 애플의 이러한 암호화 시스템을 무력화하는 방안을 찾은 것이다.

엘콤소프트는 상업적인 이유로 하드웨어에 저장된 키 시스템을 해킹한 방식을 자세히 설명하지는 않았다. 그러나 여타 키들이 디바이스가 보안 해제된 상태에서만 공격에 취약하다는 점을 고려하면 그 첫 번째 공격 포인트는 사용자 시스템 패스코드 자체인 것으로 전문가들은 의견을 내놓고 있다.

즉 애플이 사용하는 보안 아키텍처에 든 미묘한 취약점, 즉 초기 패스코드가 4자리수로 시작한다는 점에서 착안한 것으로 보고 있다. 조합 가능한 패스코드는 불과 만개인데 대다수의 사용자들은 아무런 의문도 없이 이 패스코드를 디바이스 보안에 사용할 것이기 때문이다.

이 키를 복호화하기 위해 아이폰이나 iOS 디바이스 자체의 조합을 하나하나 살펴보는 무차별 대입 공격을 쓴다면 소요되는 시간은 10~40분이다. 패스코드가 지나치게 길어 무차별 대입 공격을 할 수 없는 경우 아이튠즈 등의 애플 애플리케이션에서 생성돼 사용자 컴퓨터에 저장되는 ‘에스크로 키’를 해킹해 패스코드를 우회할 수도 있다.

엘콤소프트의 CEO인 불라디미르 카타로브(Vladimir Katalov)는 성명서를 통해 “이 툴킷이 공격자의 손에 넘어가게 되면 이를 악용한 다양한 피해가 발생할 우려가 있다”며 “이를 방지하기 위해 정부 기관 혹은 포렌식 기관 등에만 판매할 것”이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>