테크레시피

에어드롭 취약성…4년 전에 애플에 경고했다

중국 당국이 아이폰이나 맥끼리 이미지나 영상 등 파일을 교환할 수 있는 기능인 에어드롭(AirDrop) 암호화를 돌파해 사용자 개인 정보를 확인하는데 성공했다고 발표했다. 이 암호화 돌파를 가능하게 한 취약성은 이미 2019년 발견됐지만 애플 측 태만이 중국 당국에 의한 해석을 가능하게 했다고 지적되고 있다.

에어드롭은 주변에 있는 애플 장치가 인터넷에 연결하지 않고도 자체 무선 연결을 통해 파일을 공유할 수 있게 해주는 기능이다. 이 공유 기능은 홍콩 민주화 활동가에 의해 이용되고 있으며 중국 정부는 이에 대항해 이 기능을 단속했다고 보도되고 있다.

중국 인터넷 검열 감시 단체인 그레이트파이어(Greatfire.org) 벤자민 이스마일은 이 상황에 대한 애플 측 대응은 중요하다며 에어드롭 안전성 확보에 임해야 한다고 말했다. 중국 당국 분석을 가능하게 한 에어드롭 취약성은 2019년 독일 다름슈타트공대 연구팀이 발견했다. 원래 에어드롭은 애플 기기간 기기명, 이메일 주소, 전화번호 등 데이터를 식별 정보 일부로 전송한다. 보통 이런 정보는 프라이버시 보호를 위해 암호화되어 있지만 가짜 데이터를 섞는 등 궁리를 하지 않았기 때문에 암호가 해독되어 버리면 개인 정보가 밝혀져 버린다.

연구팀은 발견 내용에 대해 애플에 보고했지만 애플은 취약성을 수정하는 행동을 보이지 않았다고 한다. 이 때문에 2021년에도 이 취약성에 대한 수정안을 발표했지만 구현된 모습은 없었다고 한다.

보안 연구자 켄 화이트는 중국 당국이 공표한 내용은 거의 틀림없이 2019년 독일 연구자가 발표한 테크닉을 사용하고 있다고 생각한다며 발견 4년 이상이라도 이 설계상 결함은 해결되지 않은 것 같다고 지적했다. 론 와이든 민주당 상원 의원은 애플은 사용자 프라이버시와 안전을 위태롭게 하는 에어드롭 보안 허점을 수정할 시간을 4년이나 줬다는 손을 뒤집어서 아무 것도 하지 않았다며 애플을 비판했다. 존스홉킨스대 암호학자인 매튜 그린은 애플이 보고된 2019년 이번 보안 허점을 수정했다면 중국 당국에게도 암호 해석은 어려웠을 것이라며 중국 보안 기관이 이 취약점을 악용하고 있는 지금 이 문제는 애플에게 엄격한 정치적 문제가 될 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사