국정원에 사실상 자유로운 도·감청 권한을 허용해주는 테러방지법이 3일 통과됐습니다. 이에 따라 이를 막아낼 수 있는 스마트폰의 보안능력에 국내 사용자들의 관심이 집중되고 있습니다. 특히 애플사의 아이폰이 좋은 점수를 얻고 있는데요. 소비자들이 왜 그런 평가를 내리고 있는지, 이 기사를 보시면 이해할 수 있습니다.
개인정보 보호는 현재 세계적으로도 민감한 이슈입니다. 사용자의 인권과 직결되는 문제이기 때문입니다. 애플사는 최근 테러범이 사용했던 아이폰의 암호를 풀어달라는 미국 연방수사국(FBI)의 요청을 거절하면서 "법을 준수하는 모든 사람들의 안전과 시민의 자유를 위협에 빠트리는 위험한 선례를 만드는 일"이라고 밝혔습니다. 애플은 추후 정부기관이 해킹할 수 없도록 아이폰의 보안을 더욱 강화할 예정입니다. 한국 정부는 이에 어떻게 대응할까요? [편집자말] |
하단에 OS(운영체제)아이콘을 클릭하면 국정원이 구입한 해킹프로그램의 OS별 해킹 가능한 기능을 볼 수 있다. 해킹가능한 기능은 칼라로 활성화되며, 해킹불가능한 기능은 흑백으로 표시된다. ⓒ 오마이뉴스 이종호
[기사 수정 : 15일 오후 8시 47분]국정원이 구입한 것으로 확인돼 논란이 일고 있는 이탈리아 '해킹 팀(Hacking Team)'의 원격감시 해킹 프로그램이 애플사의 스마트폰인 '아이폰'에서는 상당히 제한적으로 작동하는 것으로 확인됐다.
이 업체의 PC·모바일 감청 솔루션인 'RCS(Remote Control System)'를 이용하면 타인의 스마트폰 파일을 몰래 열람·전송하거나 위치 추적을 할 수 있다. 또한 현재화면 저장, 내장 마이크 이용 등이 가능하기 때문에 특정인 사찰이나 감시에 매우 유용하게 쓰일 수 있다.
'해킹 팀' 내부자료를 <오마이뉴스>가 검토한 결과, 이 제품은 안드로이드 OS(운영체계)와 Windows(PC용)에서는 비교적 강력한 성능을 보였다. 그러나 버전 7 이상의 iOS 기기에서는 사실상 무용지물에 가까웠다.
RCS 이용한 해킹, iOS 7 이상에서는 비교적 안전해킹 팀은 최근 몇 년간 자사의 RCS 프로그램으로 스마트폰과 PC에서 통용되는 10개의 운영체계를 해킹할 수 있다고 홍보해왔다. 국정원은 이 회사에 지난 2012년부터 지금까지 10억 원 이상을 지불했다. Windows(32&64 bit), Symbian, BlackBerry, 안드로이드, iOS 등 5가지 OS에 대한 해킹 도구를 제공하는 조건이었다.
그러나 이 프로그램이 아무 기기나 자유롭게 해킹할 수 있는 '만능열쇠'는 아니었다. 최근 해킹 팀이 해킹을 당하면서 공개된 내부자료인 'RCS 9.6 호환성 목록(Compatibility List(not for coustomers)9.6)'에 따르면 RCS 프로그램의 실제 해킹에는 숨겨진 제약 조건들이 있다.
가장 눈에 띄는 것은 iOS 관련 부분이다. 이 문서에는 '통화(Call)', '통화 목록(Call List), '녹음(Microphone)', '위치(Location)', '앱(Application)', '문자'(SMS) 등 다양한 세부 항목별로 해킹 가능 여부가 표기되어 있는데 iOS의 경우 대부분의 항목에서 'No iOS ≥ 7'이라는 단서가 붙는다. 버전 7 이상의 iOS 기기는 해킹이 작동하지 않는다는 의미다.
큰사진보기
|
| ▲ 이탈리아 해킹업체 '해킹 팀'의 내부문서 'RCS 9.6 호환성 목록 (Compatibility List(not for coustomers)9.6)'. iOS 버전 7 이상의 기기의 경우 대부분 해킹이 불가능하다고 나와 있다. |
| ⓒ 김동환 |
관련사진보기 |
애플에 따르면 지난 3월 기준으로 전체 iOS 기기 사용자 중 97%가 iOS 7 이상을 사용중이다. 해킹 팀에서는 공식적으로는 iOS 버전 3.x에서 8.x까지 해킹이 가능하다고 하지만 실제 해킹 효과를 낼 수 있는 대상은 3% 정도라는 얘기다.
iOS 특유의 견고한 샌드박스 구조(앱이나 외부 연결을 통한 내부 시스템 접근을 원천적으로 막는 장치)도 RCS 프로그램 무력화에 한몫을 한다. RCS 프로그램으로 해킹을 하려면 우선 스마트폰에 악성코드를 설치해야 하는데 iOS 샌드박스는 이 과정을 강력하게 방어한다.
물론 스마트폰을 루팅(제조사의 보호 설정을 제거하고 스마트폰 사용자가 최고관리자 권한을 얻는 행위)한 경우에는 iOS 기기도 RCS 해킹이 가능하다. 루팅을 하지 않은 순정 제품의 경우는 악성코드를 감염시킨 PC를 스마트폰과 연결시키는 방법으로 우회적인 해킹을 시도할 수 있지만, 복잡한 사용자 동의 과정이 필요하기 때문에 사실상 실현 가능성이 낮다.
해킹에 성공하더라도 iOS 버전 7 이상이 설치되어 있는 아이폰에서 빼갈 수 있는 정보는 어플리케이션 목록과 전화 통화 목록, 주소록 정도다. 해킹된 스마트폰으로 'whatsapp', 'skype', 'viber' 등의 앱을 써서 채팅할 경우, 그 내용은 유출이 가능하다.
이런 사정은 최근까지도 유효할 가능성이 높다. 위키리크스가 최근 공개한 해킹 팀 내부 메일 자료에 따르면 한 해킹 팀 직원은 지난 4월 8일 '라파엘 가브리엘'이라는 고객과의 이메일 대화에서 '(해킹된) 아이폰의 마이크 모듈은 iOS 7보다 낮은 버전에서만 동작한다'고 답변했다.
노키아 전용 운영체계인 Symbian은 장문 MMS 해킹이나 방문한 페이지를 타인이 원격으로 열람하는 게 불가능하다. 해킹할 경우 통화 녹음은 가능하지만 경고음이 발생하기 때문에 실제로 감청 등에 사용하기는 어렵다. RIM사의 스마트폰인 BlackBerry의 전용 운영체계인 BlackBerry OS는 아예 통화 녹음이 안 된다.
'갤럭시6 해킹 언제 되느냐'... iOS 해킹 문의는 '0'반면 국내 사용자들이 가장 많이 이용하는 안드로이드 용 스마트폰은 버전 2.2(프로요)부터 5.0(롤리팝)까지 해킹이 가능하다. 올해 4월 국내 안드로이드 버전별 점유율 기준으로 볼 때 전체의 96% 정도가 해킹 가능 대상인 셈이다.
안드로이드 OS는 iOS에 비해 내부 시스템 접근을 방어하는 장치가 덜 견고하기 때문에 해킹에 더욱 취약하다. 악성코드가 심어져있는 웹 링크를 클릭하는 것만으로도 해킹을 당할 수 있다. 일단 해킹에 성공만 하면 전화, 녹음, 주소록, 문자, 위치, 비밀번호 등 대부분의 기능에 원격 접근이 가능하다는 점도 특징이다. 다만 인터넷 통화 녹음은 현재 안드로이드 버전 4.1~4.3(젤리빈)을 사용하는 일부 모델에서만 가능하다.
이런 특성 때문일까. 지난 2012년부터 국정원 측이 해킹 팀과 교환한 이메일을 보면 거의 모든 내용이 안드로이드 스마트폰 해킹 관련 문의다. 국정원은 지난 2013년 2월에는 삼성 갤럭시 S3의 음성녹음 해킹 기능을 요청하는 내용의 메일을 보냈다. 올해 3월과 6월에는 갤럭시 노트3와 갤럭시S6, 갤럭시 S6 엣지에 대한 해킹이 언제 가능하냐고 물었다.
국내에 새 안드로이드 스마트폰이 출시되기만 하면 곧바로 해킹 팀에 기술지원을 요청했던 셈이다. 전체 계약기간을 통틀어 국정원의 iOS 관련 문의는 전혀 없었다.