FCMS-Pusan

애플의 새로운 보안 정책에 대한 중국 정부의 적개심 표출인 듯

정부와 사기업 혹은 개인 사이의 프라이버시 문제 난항

[보안뉴스 문가용] 애플의 아이클라우드 서비스가 중국 당국이 감행한 중간자 공격에 노출된 것으로 그레이트파이어(GreatFire.org)가 밝혔다. 그레이트파이어는 중국의 검열 행태를 감시하는 웹 사이트로, 중국의 보안 기구가 가짜 애플 인증서를 사용해 아이클라우드 데이터 트래픽을 중간에서 가로챘다는 기술 정보를 공개한 것이다.

“이는 애플을 겨냥한 악성 공격이며, 변명의 여지가 없습니다. 게다가 사용자 이름과 암호를 비롯해 아이클라우드, 아이메시지에 저장된 각종 정보와 사진, 연락처 등을 다 노린 행동입니다. 최근 중국 당국이 구글을 공격했던 것과는 달리 이는 중국 국경 내에서 일어난 일이며 또 하필이면 중국 내 최신 아이폰 출시일과 딱 맞물렸다는 것이 공교롭습니다.”

웹 브라우저가 웹 사이트의 정체를 파악하기 위해서는 공인 기관에서 발부한 인증서가 필요하다. 공인 기관이란 서드파티 조직으로 암호화된 시그니처로 ‘이 웹 사이트는 진짜’라고 보증해주는 역할을 한다. 물론 이 인증서 혹은 보증서를 위조하는 것도 가능하다는 것이 문제다.

그레이트파이어가 주장한 이번 공격은 미국의 애플 웹 사이트를 겨냥한 것으로 드러났다. 태평양 표준시 기준 지난 월요일 아침에 크롬으로 apple.com에 접속하면 보안 경고 메시지가 떴었다. 구글은 이에 즉각 대응하지 않았다. 깃허브, 구글, 마이크로소프트, 야후 등도 이와 비슷한 공격을 중국으로부터 받은 바 있다.

이번 공격이 일어나기 전, 애플은 두 가지 주장을 발표한 바 있다. 하나는 정부 당국에게 제공하기 위한 백도어 바이러스 및 취약점을 자사의 제품에 심은 바 없다는 것이고 또 하나는 정부의 요청이 있어도 iOS 8을 사용하는 기기의 데이터에 걸린 암호를 풀 기술이 없다는 것이었다.

이에 대해 FBI의 국장인 제임스 코미(James Comey)는 정부가 수사 및 범죄자 체포를 위해 사용자가 암호화 한 정보를 볼 수 있도록 법을 만들어야 한다고 주장해서 파문을 일으킨 바 있다. 전문가들은 제임스 코미 국장에게 ‘그게 바로 백도어를 만들자는 것과 다름없는 소리’라고 했으나 코미 국장은 ‘내가 말하는 건 백도어와는 다르다’고 주장하고 있다.

애플의 주장에 중국은 FBI와는 사뭇 다른 반응을 보였다. 회사가 암호를 풀어줄 기술이 없다고 하니 자신들이 직접 암호를 풀 방법을 고안한 것. 그리고 그것은 중간자 공격이었다. 이는 바로 어제 중국에서 출시된 최신 아이폰 기종의 보안 기능과 잘 맞물리는 방법이라고 그레이트파이어는 주장하고 있다. 아이클라우드의 로그인 정보를 수집함으로써 암호화된 iOS 단말기의 잠금장치를 해제하는 것이 보다 쉬워질 수 있다는 것이다.

“사실 아이폰 6가 발표되었을 때 저희끼리는 중국에서 판매가 금지될 지도 모르겠다는 예상도 했었습니다. 정부에게 정보를 줄 수 없는 기술이라니, 중국에서는 상상할 수도 없는 것입니다.” 아직 중국 판매를 위해 아이폰에 미세한 조정이 있었는지 여부는 판단할 수 없는 상태다. 하지만 이번 중국 당국의 움직임은 아직 애플과의 긴장 상태에 대한 반증이라고도 해석할 수 있다는 것이 그레이트파이어의 의견이다.

원문 : http://www.boannews.com/media/view.asp?idx=43609

신고