창과 방패의 싸움이 반드시 사이버범죄자들과 보안전문가들 사이에서만 일어나는 일은 아니다.
FBI와 애플 간 테러범의 아이폰5C 잠금해제를 둘러싼 법정공방은 결국 FBI가 외부 전문업체의 도움을 받아 내부 데이터에 접근하는데 성공했다며 소송을 취하하는 것으로 마무리됐다.
아직 외부 전문업체가 어디인지에 대해서는 확인된 사실이 없지만 이스라엘 모바일포렌식 전문회사인 셀레브라이트가 도움을 주었을 것으로 추정하고 있다.
과거에 노트북이나 PC가 그랬던 것처럼 지금은 스마트폰이 수사에 중요한 핵심자료로 부상했다. 용의자가 스마트폰으로 누구와 무슨 통화를 했는지, 어떤 문자메시지를 남겼는지, 내부에 저장된 파일은 뭐가 있는지를 확인하는 일이 필수이기 때문이다. 그러나 적법한 절차에 따라 영장을 발부해 압수한 용의자의 스마트폰 내 정보를 확인하는 작업은 사실 쉬운 일이 아니다. FBI나 국내 검찰, 경찰 등 수사기관들이 모바일포렌식 전문회사들의 도움을 받는 이유다.
■모바일포렌식, 범죄수사에 필수...기업용 시장까지 넓어져
스마트폰에 사생활에 해당하는 거의 모든 정보가 기록되는 만큼 스마트폰 제조사들은 이러한 정보를 보호하기 위해 보안기능을 강화하고 있다. 반면 모바일포렌식 전문회사들은 이러한 스마트폰에서 어떻게 하면 '범죄과학적으로 온전하게(forensically sound)' 내부 데이터를 추출해 낼 수 있는가에 집중한다.
풀어서 말하면 용의자의 스마트폰으로부터 법정에서 증거자료로 쓸 수 있을 만큼 위변조되지 않은 원본데이터를 확보할 수 있는가가 중요하다는 뜻이다. 이 과정에서 스마트폰에 적용된 보안기능은 모바일포렌식 전문회사 입장에서는 걸림돌이다. 해당 스마트폰 제조사에서 일부러 알려줄 리 없는 보안기능을 어떻게 해서든 뚫고 들어가서 원본데이터를 확보하는 것이 이들 회사의 존재 이유이기 때문이다. 물론 이러한 작업들 역시 법이 허용하는 테두리 내에서 이뤄지는 일이다.
모바일포렌식에 활용된 다양한 기술들은 수시기관 외에 기업들이 내부정보유출 사건이 발생했을 때 기업 내 어디서 정보가 새나갔는지를 확인하는 용도로도 사용될 수 있다. 스마트폰을 모바일포렌식툴에 연결하는 방법으로 사내 정책상 금지하는 행위를 수행했는지 여부를 확인할 수도 있기 때문이다.
■모바일포렌식, 어떤 기술적 방법 쓰나
주요 외신에서 언급됐던 모바일포렌식 회사인 셀레브라이트는 소프트웨어적인 방법으로 스마트폰 내부 데이터를 추출하는 방법을 쓴다. 이 회사는 '유패드(UFED)'라는 모바일포렌식툴을 전 세계에 공급 중이다. FBI 뿐만 아니라 국내 검찰, 경찰도 이러한 툴을 보유하고 있는 것으로 알려졌다.
그러나 UFED와 같은 툴이 만능인 것은 아니다. 모바일포렌식 전문가에 따르면 제조사가 OS업데이트를 하거나 주요 기능에 대해 보안패치 등을 하게 되면 다시 내부 데이터를 뽑아내기 위해 또 다른 방법을 알아내야하기 때문이다.
아예 스마트폰에서 낸드플래시 메모리만 떼어내서 데이터를 뽑아내는 기술이 이미 활용되고 있기 때문이다. '낸드 미러링(NAND mirroring)' 혹은 '칩오프(chip off)'라고 부르는 방법이 그것이다.
모바일포렌식전문가들에 따르면 문제가 된 아이폰5C의 경우 이러한 방법을 쓴다고 하더라도 내부 데이터가 기본적으로 암호화되서 저장되는 탓에 암호화를 풀 수 있는 키를 찾아내지 않는 이상 무슨 내용이 저장돼 있는지 확인하기가 힘들다고 말한다.
더구나 FBI가 잠금해제를 풀었다고 밝힌 아이폰5C의 경우 이전버전보다 보안기능이 훨씬 강화된 iOS9.0 이상 버전이 사용된 것으로 알려졌다. FBI가 어떤 방법을 썼는지 관심이 집중되는 이유다.
■아이폰 잠금해제법, 하드웨어냐 소프트웨어냐?
디지털포렌식 전문가인 조나단 즈지아스키는 자신의 블로그에 아이폰5C의 잠금해제를 풀어 내부 데이터를 확보하기 위해 적용됐을 것으로 추정되는 2가지 방법에 대해 언급했다.(관련링크)
먼저 낸드 미러링이다. A6칩이 탑재된 아이폰5C나 그 이전 제품의 경우 이러한 방법이 적용됐을 수도 있다는 것이다. 그 이후 나온 아이폰의 경우 보안영역에 데이터를 저장하는 방법인 '시큐어 인클레이브(Secure Enceval)'가 적용돼 있어 훨씬 복잡한 기술이 필요하다.
그는 시큐어 인클레이브가 적용됐을 경우에는 소프트웨어적인 방법으로 내부 데이터를 뽑아냈을 수도 있다고 설명했다. 이렇게 했다면 테러범이 잠금해제를 위해 사용한 4자리 혹은 6자리 숫자 비밀번호를 알아내야한다. FBI가 아이폰이 10번 이상 잠금해제용 비밀번호를 틀리게 입력하면 내부 데이터를 삭제하는 기능 때문에 어려움을 겪었던 만큼 뭔가 추가적으로 이를 우회할 수 있는 방법을 찾았을 가능성도 배제할 수 없다.
월스트리트저널에 따르면 애플은 이미 2014년에 OS 업데이트를 발표하는 자리에서 "경쟁사들과 달리 애플은 당신이 입력한 비밀번호를 우회할 수 없기 때문에 영장을 발부하더라도 기술적으로 지원할 방법이 없다"고 밝힌 바 있다.
관련기사
- '막강' 아이폰 잠금장치 누가 뚫었을까?2016.03.30
- 한컴지엠디, 中 모바일 포렌식 시장 진출2016.03.30
- 모바일 디지털 포렌식 특허출원 증가2016.03.30
- 바다에 빠진 스마트폰도 살리는 포렌식의 세계2016.03.30
범죄수사를 위해 스마트폰 제조사가 보안기능을 해제하는데 협조해야할지, 어떤 경우에도 프라이버시가 우선돼야하는지에 대한 논쟁은 앞으로 지속될 것으로 전망된다.
그 사이 보안기능을 강화하려는 스마트폰 제조사와 이러한 기능을 해제해서 수사에 필요한 증거를 확보하려는 모바일포렌식 회사 간 창과 방패 싸움도 끊이지 않을 것으로 보인다.
