AD
YTN라디오(FM 94.5) [YTN 뉴스FM 슬기로운 라디오생활]
□ 방송일시 : 2022년 4월 12일 (화요일)
□ 진행 : 이현웅 아나운서
□ 출연 : 김덕진 미래사회IT연구소 소장
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.
◇ 이현웅 아나운서(이하 이현웅): 슬기로운 라디오생활 오늘 1부는 이슈in터뷰로 준비했습니다. 피의자나 피고인이 아이폰 비밀번호를 알려주지 않아 수사기관이 휴대전화를 확보하고도 수사에 난항을 겪는 경우, 종종 보도되곤 했는데요. 대체, 아이폰의 보안체계는 어떤 구조로 되어 있고 보안을 뚫을 방법은 없는 것인지, 알아보는 시간 가져보겠습니다. 미래사회IT연구소 김덕진 소장 연결돼 있습니다. 안녕하세요?
◆김덕진 미래사회IT연구소 소장(이하 김덕진): 안녕하세요.
◇ 이현웅: 피의자나 피고인이 아이폰 비밀번호 알려주지 않아서 난항을 겪는 경우 최근에도 전해진 것 같은데 어떤 사건들이 있었습니까.
◆ 김덕진: 이번에 무혐의 결정을 받은 한동훈 검사장 또 이른바 고발 사주 의혹에 함께 연루됐었던 손준성 검사 공통점이 수사기관이 아이폰을 압수하고도 비밀번호 풀지 못했다는 것이고요. 과거에도 텔레그램 박사장을 운영해서 성착취 혐의로 구속 기소된 조주빈 같은 경우에도 휴대전화 잠금 해제 때문에 상당히 고생을 했었고 전으로 더 내려가면 이재명 전 후보 같은 경우에도 친형을 강제로 입원시킨 혐의 등으로 경찰 수사를 받았었는데 그때 아이폰 압수당했는데 비밀번호 확보 못해서 포렌식에 실패 전체적으로 보면 다 아이폰과 관련돼서 비밀번호를 요청을 받았는데 비밀번호를 얘기해 주지 않았을 때 결국 못 풀어서 상당히 수사에 난항을 겪었던 상황들이 많았다고 볼 수 있을 것 같습니다.
◇ 이현웅: 요즘에는 일상생활이 모두 다 스마트폰 안으로 들어왔다라고 해도 과언이 아니기 때문에 수사를 할 때 포렌식 작업은 꼭 필요하다. 이런 얘기들이 많이 나오는데 아이폰 비밀번호 해제가 그렇게 힘든 겁니까.
◆ 김덕진: 아이폰 스마트폰에 대한 보안이 사람들에게 처음 많이 알려진 게 언제냐면 2015년 12월에 미국 캘리포니아 주에서 있었던 이슬람 총기 테러 사태예요. 그때 테러리스트가 스마트폰 애플 아이폰 5c 버전을 썼습니다. 이것에 대해서 FBI가 테러 배후 가능성을 밝히려고
잠금 해제를 하려고 했는데 결국 잠금 해제를 못하고 1년 가까이를 허비했었던 일들이 있어요. 그때는 그나마 비밀번호가 네 자릿수였는데 이 이후로 애플이 최근에 보안이 계속 좋아지면서 비밀번호가 6자리로 바뀌었습니다. 그러면 6자리라는 게 도대체 뭐냐고 생각하면 일단은 숫자로 네 자리 경우의 수를 우리가 숫자를 이것저것 넣어서 풀 수 있는 경우의 수가 한 1만여 가지 정도 돼요. 이걸 6자리 숫자로 한다고 하면 이게 한 100만여 가지 정도로 늘어납니다. 100만 가지의 경우의 수가 생기는 거예요. 그런데 여기다가 6자리를 숫자로 만드는 게 아니라 특수기호나 영어 대문자까지 입력할 수 있는 형태가 되면 이론적으로 보면 경우의 수가 무려 560억 개까지 늘어납니다.
◇ 이현웅: 현재 지금 아이폰이 그렇게 되고 있다는 거죠.
◆ 김덕진: 기본적으로 숫자만 입력할 수 있지만 숫자 말고 강력한 옵션을 쓰게 되면 여섯 자리를 여러 가지로 조합할 수 있습니다. 그 외 에 10가지나 경우의 수를 더 늘리게 되면 이렇게 560억 개 이상의 이런 경우 횟수도 나오게 되는데요. 560억 개 시간이 오래 걸리더라도 뭔가 기계적으로 아니면 뭔가 로봇으로 치면 되는 거 아니야 이렇게 생각할 수 있는데 아이폰의 가장 이슈가 이겁니다. 직접 써보신 분들도 아실 거예요. 비밀번호를 제가 잘 까먹어요. 5번 이상 틀리게 되면 일단 1분 동안 비밀번호 재입력이 불가능합니다. 그다음에 6번째 1분이 지나고 한 번 더 넣어요. 한 번 더 넣을 때 또 틀리면 이번에는 5분이 있어야지 재입력이 가능해지는 거예요.
◇ 이현웅: 6회째 틀리면 5분이 더 추가되는 거고요.
◆ 김덕진: 그다음에 또 15분이 추가되고 또 그다음에는 1시간이 추가되고 이렇게 되면서 비밀번호 입력 잠금 시간이 계속 길어지고요 더 큰 문제는 그렇게 10번을 틀렸다고 하면 휴대폰에 저장된 데이터가 영구 삭제될 수 있습니다. 그게 옵션에 있긴 있는데 선택 사항이긴 하지만 항목을 체크해냈다고 하면 수사기관에서 우리가 여러 번이라도 해봐야지 하다가 10번 틀리면 휴대전화 저장 데이터가 날아가 버리니까 포렌식을 하는 의미가 없어지는 이런 상황이라고 볼 수 있을 것 같습니다.
◇ 이현웅: 개인이 만약에 그냥 일반적으로 사용할 때는 이렇게 안 하게 만들 수도 있는 옵션이 있는 건데 묶어놓을 수도 있다는 얘기시죠.
◆ 김덕진: 비밀번호 해제는 말씀드린 것처럼 시간이 걸리는 건 기본인데요. 그것 말고 10번 시도했을 때 아예 데이터가 사라지게 하는 것들 같은 경우에는 옵션 상에서 선택을 하는 것이라고 보시면 될 것 같습니다.
◇ 이현웅: 근데 이게 원래 항상 뭔가 기술적으로 뭔가를 묶어 놓으면 그거를 뚫는 해커들도 기술을 개발하고 이러면서 늘 창과 방패의 싸움이 되곤 하는데 이런 아이폰의 비밀번호 락을 뚫을 방법은 없는 건가요,
◆ 김덕진: 일단 보신 것처럼 사람의 손으로는 불가능하다고 볼 수 있을 것 같고 우회하는 다양한 방식을 만들었는데 여기서 제일 포인트를 생각해 보시면 10번 틀리면 오류가 나잖아요.
10번 틀렸을 때도 안 없애지게 하려면 이 스마트폰 안에 있는 메모리를 수많이 복사를 하는 거예요. 가짜 전화기를 10만 대든 1천대든 만대든 만드는 방식이라고 보시면 될 것 같습니다.
이게 랜드 미러링이라고 합니다. 전화기에서 cpu나 메모리를 아예 물리적으로 분리하고 그것을 복사를 하는 거예요. 수많은 100대의 메모리를 만들고 나서 그 하나하나를 10번씩 비밀번호를 풀어본다고 생각하시면 됩니다. 그래서 10번 틀리면 또 그다음 또 복사한 전화기를 또 눌러보고 또 눌러보고 그렇게 무한대 복사하는 방식이라고 보시면 될 것 같은데요. 실제로 FBI에서 이 방식을 활용해서 2015년에 비밀번호를 푼 적이 있기는 있습니다. 그 이후에도 계속 되니까 아이폰 입장에서도 계속 업데이트가 될 때마다 이런 방식들을 막고 있는 애플에서 새로운 방식을 막는 방식으로 보시면 될 것 같은데요. 가장 대표적으로 쓰이는 건 랜드 미러링 기술입니다.
◇ 이현웅: 미국 같은 경우에는 그런 사건들이 발생할 때 애플에다가 이런 사건들이 있으니까 좀 협조를 해달라 이런 요청은 안 되는 건가요.
◆ 김덕진: 그렇게 하면 참 좋을 것 같은데 일단은 미국 아이폰 원산지라고 표현할 수 있는 미국에서 FBI가 만약에 수사를 요청하더라도 애플은 계속 개인 정보를 보호해야 한다고 비밀번호 해제에 협조하지 않고 있어요. 심지어 아까 말씀드렸던 총기 사태가 일어나거나 테러가 일어나는 데도 그 사용자 자체는 개인 정보를 보호하겠다는 것 때문에 FBI에서 계속 거절을 하고 있는 상황인데요. 이러다 보니까 참 아이러니하게 FBI 역시도 본인들이 할 수가 없으니까 보안장비 업체들을 계속 고용해서 활용을 하고 있습니다. 해킹 전문 업체라고 할까요. 아니면 보안을 풀어내는 업체라고 할까요. 실제로 2015년에 앞서서 말씀드렸던 FBI에서 총기 난사 사건의 용의자의 스마트폰 잠금을 풀었는데 그때 이스라엘의 보안업체에 의뢰를 했어요. 그때 영국의 bbc 방송이 한 100만 달러 정도를 이 업체에 지불했을 것이라고 추정을 했거든요. 그만큼이나 상당히 큰 비용을 쓰면서 활용하고 있다고 보시면 될 것 같고요. 실제 가장 유명한 보안 회사로는 2곳 정도가 있는데 이스라엘의 보안장비 업체인 셀레브라이트라는 회사가 있고요. 또 미국의 그레이시프트라고 하는 회사가 있는데 이 두 회사의 소프트웨어를 활용해서 아이폰 비밀번호를 다양한 방식들을 통해서 풀거나 보안을 우회하는 방식들을 활용하고 있습니다.
◇ 이현웅: 그 두 회사가 사용하는 소프트웨어 방식 같은 것들은 알려진 게 없는 건가요.
◆ 김덕진: 무차별로 복사해서 하는 방식 혹은 거기에서 나오는 알고리즘의 우회 방식 이런 것들인데요. 간단하게 생각하면 그러한 것들이 당연히 오픈이 되면 애플 입장에서는 그다음 os가 나오면 또 막을 거잖아요. 이것에 대해서 계속적으로 나오고 있고요. 가장 대표적인 이스라엘 암호 해독 기업인 셀러브라이트사 같은 경우에는 지금 기술로 아이폰 11 기기까지는 비밀번호 해제나 포렌식이 가능하다. 이렇게 표현하고 있는 상황이라고 보시면 될 것 같고요. 새 기종이 출시되면 또 계속 업그레이드가 되기 때문에 효과를 정확하게 발휘할 수 있을 것에서는 장담하기 힘든 부분이 있는 상황이라고 볼 수 있을 것 같습니다.
◇ 이현웅: 이게 또 의뢰를 할 경우에 비용도 상당하다고 들었습니다.
◆ 김덕진: 실제로 뉴욕타임스 보도에 따르면 최근에 미국 달라스 경찰이 셀레브라이트의 포렌식 기구가 있어요. 거기에 프로그램이 있는데 그걸 한 대를 구매하는 데 약 1억 8400만 원 정도를 지급했다고 합니다. 한 대를 계속 풀려면 그 기계에 넣고 뭔가를 해야 하는 형태라고 보시면 될 것 같은데 거기다가 또 소프트웨어를 사야 해요. 소프트웨어가 한 대당 1100만 원에서 2200만 원 그리고 저작권료도 1만 5천 달러 정도 되거든요. 이것저것 합치면 한 대의 스마트폰을 포렌식 하기 위해서 혹은 풀기 위해서 최소한 2, 3억 정도 돈을 써야 한다. 그리고 그렇게 쓰더라도 언제 쓰자마자 바로 되는 게 아니라 앞서서 말씀드렸던 수많은 기간 1년 이상이 걸릴 수도 있고 운이 좋으면 빨리 될 수도 있고 이런 식의 시간과 비용이 많이 든다고 설명을 드릴 수 있을 것 같습니다.
◇ 이현웅: 2, 3억 정도 수준이라고 한다면 개인이 부담하기에는 상당하지만 우리 수사기관이 부담하기에는 그렇게 큰 비용이라고 할 수는 없잖아요. 우리나라는 이런 거를 들여오지 않나요.
◆ 김덕진: 실제로 국내에서도 대검찰청에서 셀레브라이트의 포렌식 기계를 쓴 경우가 있습니다. 2018년에 셀레브라이트의 휴대전화 잠금 해제 정보 추출 기능이 담긴 소프트웨어를 빌려 쓰는 방식으로 라이선스 계약을 체결을 한 적이 있어요. 그때 같은 경우에는 실제로 자체 장비를 통해서 6자리 암호를 일일이 입력하는 방식으로 4개월 만에 해독에 성공한 적이 있습니다. 그때 있었던 소프트웨어는 아이폰 10 더 옛날 버전이죠. 아이폰 10까지만 사용할 수 있었고 지금 아이폰 11의 경우에는 암호 해독 과정이 달라졌다고 해요. 지금 있는 대검찰청이 가지고 있는 라이선스를 가지고는 아이폰 11이나 최근 스마트폰을 풀 수 없다고 볼 수 있을 것 같고요. 그래서 이번에 이슈가 되고 있는 상황에서도 스마트폰이 우리가 계속 얘기하고 있는 것 중에 가장 포인트 되는 게 한동훈 검사장 이슈가 있잖아요. 그런 부분에 있어서 한동훈 검사장이 쓴 핸드폰이 아이폰 11이라고 얘기가 되고 있어요. 여러 가지 얘기로는 만약에 이거를 이스라엘 셀레브라이트 본사와 컨택을 하면 되는 거 아니냐 홈페이지 자체는 아이폰 11 기계까지 셀레브라이트에서 이걸 풀 수 있다고 얘기하고 있기 때문에 되는 것 아니냐 여러 가지 얘기들이 있는데요. 중요한 것은 풀더라도 실제 데이터가 아이폰에서 운영하고 있는 아이 클라우드에 있다고 하면 그거는 또 복사하기가 어려운 부분이 있어요. 기계의 비밀번호를 푸는데 쉽게 말하면 그 안에 있는 앱 들에는 각자의 보안이 있기 때문에 그런 부분까지 생각을 하면 상당히 어려운 부분이라 시간이 드는 것은 확실하다고 볼 수 있을 것 같습니다.
◇ 이현웅: 개인 입장에서는요. 요즘에는 워낙 개인 정보 보호나 이런 것들이 화두가 되다 보니까 아이폰이 그렇게 보안이 잘 돼 그러면 일반 사용자들도 나도 아이폰 써야겠다. 이런 경우들도 요즘 있는 것 같더라고요. 반대로 대표적인 시스템이 안드로이드라고 할 수 있겠는데 안드로이드는 이런 보안이 철저하지 않다. 이렇게 볼 수 있는 건가요.
◆ 김덕진: 이거를 철저하다 철저하지 않다고 나누기는 좀 애매할 것 같아요. 일단 구조적으로 이 두 회사의 자라온 방식이 다릅니다. 아시겠지만 애플 같은 경우에는 기기도 그렇고 소프트웨어도 그렇고 모든 것을 본인들이 다 하잖아요. 상당히 폐쇄적으로 만들고 그 안에서 애플이 없이는 모든 것을 못 만들게 되는 구조입니다. 생각을 해보면 안드로이드 같은 경우에는 일단 os는 구글에서 만들었고 스마트폰은 삼성이나 여러 가지 전화기들을 다양하게 쓰잖아요.
어떠한 구조상에서의 개방성이나 공통된 규칙을 만들어야 하는 게 안드로이드의 특징이라고 볼 수 있어요. 삼성이든 아니면 얼마 전에 정리했지만 lg든 이런 데들이 하나의 os를 가지고 호환성을 가지고 만들 수 있게 되는 거잖아요. 그러다 보니까 이 부분에 있어서 초반에는 말씀하신 대로 프라이버시 이슈에 대해서 안드로이드 자체가 떨어지는 거 아니냐 오픈 체계 아니냐라는 것들이 있었는데 그 이후에 각 국가별로 특히 삼성 같은 경우는 보안을 강화해야 하니까 안드로이드 자체는 보안성이 떨어지더라도 스마트폰 기기에 자사의 보안 솔루션들을 계속 탑재하고 있습니다. 안드로이드 자체의 호환성 때문에 보안성이 떨어질 수 있지만 그런 것들을 각 회사들이 막고 있다고 표현할 수 있을 것 같은데요. 여기서 오히려 하나 더 중요한 것은 구조적인 이야기인 것 같아요. 애플 같은 경우에는 FBI가 얘기를 하더라도 우리는 못 준다는 형태인데 기본적으로 우리가 아는 대부분의 국가들은 국가의 기업들이 정부의 아주 중요한 요청이 있으면 그걸 받아들여야 되다 보니까 일반적인 안드로이드 제조사 같은 경우에는 국가의 중요 사항 혹은 사회적 중대 사건의 경우에는 휴대전화 암호 해제 코드를 일부 제공하는 것으로 알려져 있습니다. 일반인들이 사용을 할 때는 뭔가 보안이 아이폰이 엄청 좋아서 그것이 막혀 있다고 얘기하기에는 지금 상황에서 좀 어렵고요. 과거에는 그럴 수 있지만 지금은 안드로이드, 애플 다 기본적으로 보안 시스템 자체는 잘 가지고 있는데 마스터키라고 할 수 있는 이런 것들을 정부에서 요청할 때 그런 것들을 주느냐 안 주느냐 같은 경우에는 기업이 가지고 있는 상황이나 환경에 따라서 다르다 이렇게 표현할 수 있을 것 같습니다.
◇ 이현웅: 기업들한테 무언가 부담을 지어주기보다는 피의자라든가 이런 사람들한테 야 비밀번호 말 안 하면 너 비밀번호 말 안 한 죄로 처벌할 거야 이런 식의 또 방법을 강구해 볼 수 있지 않을까라는 의견도 있더라고요.
◆ 김덕진: 그런 것들에 대해 비밀번호 얘기할 수 있는 거 아니냐고 하는데 이런 것들이 법적으로 문제가 있습니다. 헌법에 불리한 진술을 거부를 할 수 있는 권리를 가지고 있어요. 뭔가 내가 왜 그런 얘기를 해야 되지 라고 하면서 현재로서 불가능한 것이죠. 현행법상에서 휴대전화 압수 당한 피의자들이 비밀번호를 얘기하지 않는 것이 처벌 대상이 아닌 것입니다. 이런 디지털 관련 범죄가 늘어나니까 이런 권리들을 제한하기 시작하는 것들이 나오고 있어요. 영국 같은 경우에는 아동 음란물이나 테러 같은 사건에서는 비밀번호 말하지 않으면 가중처벌 받게 하고 있고요. 또 네덜란드 같은 경우에도 형사소송법의 비밀번호를 풀라고 피의자에게 명령할 권한을 새로 만들었습니다.
◇ 이현웅: 우리나라는 아직 없는 건가요.
◆ 김덕진: 과거에 추미애 전 법무부 장관이 이런 해외 사례를 근거로 이른바 한동훈 방지법 제정을 시도를 했었는데요. 이게 2020년 11월에 재정 검토를 했었어요. 이런 것들에 대해서 민변이나 아니면 여야 모두 휴대전화 비밀번호 제출하는 것은 형사상 불리한 진술을 강요하는 거나 다름없다. 라고 해서 거세게 반발해서 유야무야되기는 했는데요. 중요한 것은 말씀드렸던 것처럼 디지털 관련 범죄가 늘어나고 있는 상황이기 때문에 공익 그리고 기본권 사이에 일종의 절충안 같은 것 그리고 구체적인 대안이 이제는 필요해지는 상황이라고 볼 수 있을 것 같습니다.
◇ 이현웅: 이렇게 얘기를 듣고 나니까 우리 사회에 던져지는 문제, 고민할 거리가 더 커진 것 같다는 생각이 들고요. 앞으로 또 정치권이라든가 다른 곳들에서 수사기관이라든가 어떻게 이 문제를 다뤄나갈지 한번 지켜보는 것도 관심이 될 것 같습니다. 오늘은 여기까지 듣도록 하겠습니다. 오늘 말씀 감사합니다.
YTN 이은지 (yinzhi@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
