애플, iCloud를 이용해 암호화의 이점을 무효화하다

Table Of Contents

• 애플, iCloud를 이용해 암호화의 이점을 무효화하다
• 썩은 사과들
• 기능이 결함으로 변하다
• 암호화
• 전문가 의견
• 이야기의 또 다른 음산한 반전

애플, iCloud를 이용해 암호화의 이점을 무효화하다

애플은 자사의 제품이 기본적으로 데이터를 암호화하도록 도입한 것에 대해 꾸준한 찬사를 받고 있다. 이로 인해 법 집행 기관조차도 영장이 있어도 기기에서 데이터를 추출할 수 없다. 쿠퍼티노의 거대 기업은 심지어 그들 스스로도 강제로 데이터를 추출할 수 없다고 주장한다. 그러나 최근 뉴스에 따르면 애플은 뒷문을 이용한 교활한 작은 속임수를 사용하고 있는 것으로 보인다.

썩은 사과들

이 뒷문은 한동안 소문이 돌았고, 이제 보안 연구자와 관련된 사건을 통해 확인되었다. 문제의 제프리 폴은 자신의 맥북에서 OS를 업그레이드한 후, 자신의 개인 파일이 그가 로컬 기기에서 암호화했음에도 불구하고 iCloud에 업로드되지 않았음에도 불구하고 그에게 접근 가능하다는 것을 깨달았다. “이건 용납할 수 없다,” 폴은 외쳤다. “애플은 내 컴퓨터에 있는 로컬 파일을 iCloud에 저장되지 않은 상태에서 조용히, 내 허락 없이 그들의 서버로 업로드했다 – 모든 애플 및 기타 애플리케이션을 통해.”

그는 자신의 불만이나 놀라움 속에서 혼자가 아니었다. 존스 홉킨스 대학교의 암호학자 매튜 D. 그린은 일부 개인 노트가 iCloud로 전송된 것을 깨닫고 실망감을 트윗했다. 또 다른 저명한 암호학 전문가인 브루스 슈나이어는 자동 저장 기능을 “위험하고 문서화가 부족하다”고 비판하는 블로그 글을 썼다.

기능이 결함으로 변하다

클라우드 백업 기능은 진정으로 유용하다. 이 기능은 여러 애플 기기에서 모든 파일에 접근할 수 있게 해준다. 그리고 만약 기기가 도난당하는 불행한 일이 생긴다면, 모든 데이터를 잃지 않을 것이다. 그러나 전문가들은 이제 편리함을 위해 우리의 프라이버시를 희생하고 있는 것인지 질문하고 있다. TechWorm은 이미 이 기사에서 전체 암호화 이야기가 눈속임일 수 있다고 고민해왔다. 이 기능은 아마도 전체 iCloud 해킹 유출 사건의 근본 원인일 것이다.

혹시 모르셨겠지만, iCloud 해킹은 여러 할리우드 유명인들의 노골적인 사진이 접근되고 도난당해 인터넷에 유출된 주요 해킹 사건의 이름이다. 해커들은 그 당시 이 유명인들의 iCloud 계정에 접근할 수 있었다고 말했다. 그리고 이 여배우들이 자신의 아이폰이 비밀리에 그들이 클릭한 모든 이미지를 클라우드로 전송하고 있다는 것을 알고 있었을 확률은 얼마나 될까?

암호화

이 암호화 기능은 애플의 NSA 스파이 프로그램 PRISM에 대한 보호책으로 설계되었다. 분명히 애플은 고객의 프라이버시를 조롱했을 뿐만 아니라, 이러한 사건이 더 많이 발생할 수 있는 길을 열어주었다. 그리고 애플은 이러한 비난에 대해 아직 답변하지 않았다. 회사가 제공하는 유일한 답변은 클라우드 기능이 어떻게 작동하는지를 설명하는 지원 문서로 향하고 있다. 그 요지는 iCloud가 사용자가 제공한 위치에 다양한 앱의 데이터를 저장한다는 것이다. 그러나 일반적인 관행처럼 대부분의 사용자는 애플리케이션을 실행하기 전에 이를 수행하지 않으므로 데이터는 어디로 가는가?

대법원은 6월에 휴대전화가 경찰 수색으로부터 높은 수준의 보호를 받아야 한다고 판결했으며, 대부분의 경우 법원이 합리적인 근거를 찾아 특정 증거를 요구하는 영장을 발부해야 한다고 요구했다. 그러나 클라우드 서비스에서 발견된 정보에 대해서는 문제가 덜 명확하다. 많은 회사들이 영장을 요구하지만, 법 집행 기관이 이러한 정보에 접근하기 위한 명확한 법적 기준은 아직 나타나지 않았다. 암호화는 이러한 점을 제공하기 위한 것이었다. 그러나 애플이 데이터가 암호화되기 전에 백업을 수행함으로써, 그들은 스스로 뒷문을 만들었다. 비난하는 것처럼 들리지는 않지만, 애플은 NSA와 같은 정보 기관을 기꺼이 도와주고 싶어하는 것처럼 보인다.

전문가 의견

그린은 존스 홉킨스의 암호학자로서, 자신이 안전하다고 생각했던 하드 드라이브에서 메모를 작성하기 위해 TextEdit를 오랫동안 사용해왔고, 나중에 파일 이름을 부여했다. 폴은 같은 프로그램을 사용하여 컴퓨터의 포스트잇 메모와 같은 용도로 사용했으며, 비밀번호, 개인 정보, 심지어 가끔 사랑의 편지까지 다양한 정보를 적어두는 편리한 장소로 사용했다. 그가 파일이 그의 동의 없이 iCloud로 업로드되고 있다는 것을 발견했을 때, 이미 일이 벌어져 있었다. 그리고 폴은 iCloud Drive를 활성화한 것을 기억했지만, 이렇게 작동할 것이라는 경고나 표시를 기억할 수 없었다. “나는 iCloud Drive를 알고 활성화했다. 내가 동의하지 않은 것은 내 로컬 개인 데이터가 시스템의 특정 부분 외부에서 추가적인 동의 없이 자동으로 동기화되는 것이었다.”라고 폴은 말했다.

이야기의 또 다른 음산한 반전

이 연구자들의 뉴스가 사이버 공간을 여행하면서 또 다른 흥미로운 사실이 드러났다. 이 지원 문서는 최신 버전의 MacOS가 출시되기 전에도 업로드되었다. 이는 클라우드 기능이 변경되었지만 눈치채지 못했거나, 이 결함이 생각보다 훨씬 더 오랫동안 발생해왔다는 것을 의미할 수 있다. 후자의 경우라면, 애플은 우리가 깨닫지 못하는 더 많은 데이터를 iCloud에 저장했을 수 있다.

이것은 폴과 그린의 불만의 핵심이다. 문서가 인터넷을 통해 클라우드 서버로 전송될 경우, 그들은 먼저 경고를 받고 싶어하며, 너무 개인적이라고 판단할 경우 이의를 제기할 기회를 원한다.

보안 문제를 직업으로 삼지 않는 다른 사용자들도 파일에 무슨 일이 일어나고 있는지 이해한다면 이러한 옵션을 원할 수 있다. 하지만 얼마나 많은 사람들이 이를 이해할까?

폴은 이메일에서 “100명의 사람을 모아 최신 기계 앞에 앉히고 Yosemite를 실행하며 iCloud Drive를 열고 TextEdit를 열어 새로운 창을 만들고 그 창에 자신의 가장 어두운 비밀을 입력한 후, 아무데도 저장하지 않고 기계를 끈다면 – 그 100명 중 몇 명이 데이터가 방을 떠나지 않았다고 믿을까?”라고 썼다.

이것은 자칭 프라이버시 매니아인 델윈의 애플 iCloud와 암호화에 대한 의견 보고서이다.