본문 바로가기

IT 기업/애플

애플 SSL 보안문제 뒤에 숨겨진 위험성

애플은 오랫동안 바이러스나 보안에 대해서 대체로 안전하다는 편견이 있었다. 물론 상대적으로 PC의 경우 윈도우 플렛폼보다 모바일 경우 안드로이드 보다 바이러스나 보안에 대해서 강점이 있을지라도 지금처럼 애플의 보안문제가 뜨거운 적도 없는 것 같다. 


애플의 SSL 버그수정 발표가 된 것은 지난 금요일이었다. 애플은 급하게 iOS 디바이스 업데이트는 했다. 그러나 이것은 일반적인 애플의 업데이트가 아니었다. 애플의 비극을 알리는 신호탄과도 같았다. 애플이 수정한 버그는 iOS 디바이스를 대상으로 하고 있지만, 근본 문제점이 외부 전문가들에 의해서 밝혀졌는데 그것은 애플의 시규어트팬스포트(SecureTransport) 플랫폼에 관한 것이었다. 현재 맥용 OS인 OS X 10.8와 iOS 6 이후의 모바일OS에 이러한 버그가 존재한다. 그럼에도 불구하고 아직까지 맥용 패치는 공개되지 않았다. 물론 애플의 관계자들에 의하면 애플에서는 이와 관련된 이슈를 이미 알고 있고, 이미 패치가 만들어져 있고 공개를 앞두고 있다고 하지만, 지난 주말 내내 같은 말을 반복했기만 했던 애플이었다. 


존 홉킨스(Johns Hopkins) 암호 사용자 매튜 그린(Matthew Green)은 버그와 취약점에 대해서 자신의 트위터에 글을 남겼었다.그는 아직 여진히 문제가 심각하며 아직 이 취약점를 해결하지 못했다고 언급을 했다. 이 사실만으로 애플이 그동안 쌓아온 보안과 바이스러스에 안전하다는 명성에 큰 오점을 남길듯하다. 




물론 이번 업데이가 모바일 디바이스와 관련된 이슈이지만, 그것은 여전히 애플 자체와 관련되 매우 무겁고 안좋은 이슈이기도 하다. 왜냐하면, 애플이 발빠르게 보안개선 업데이트를 발표했지만, 아직까지 얼마나 많은 유저들이 이번 업데이트를 받았는 파악이 되지 않았기 때문이다. 또한 모바일 업데이트는 이루어졌다고 할지라도 여전히 맥용 매브릭스(OS X)의 업데이트는 이러한 취약점에 노출되어 있으며, 업데이트를 위해서는 시간이 더 소요될 것이로 보이기 때문이다. 


(매튜그린이 트윗한 애플의 보안문제점)




애플 보안 문제, 그 논란의 핵심은?


이번에 밝혀진 취약점의 핵심은 유저들의 SSL 접속을 타켓으로 하고 있다. 즉, 웹메일이나 은행 사이트를 방문했을 때 사용자들이 보는 브라우저 윈도우 암호화와 관련된 보안 문제이다. 일반적으로 은행 사이트들는 해당사이트의 SSL 서명을 통해 인증을 받아서 사용자들이 접근할 수 있게 한다. 일종의 신원파악용 보안으로 생각하면 쉽다. 그러나 애플의 코드가 뚫리면 시큐어트랜스토스가 이를 정확하게 인증하거나 체크지 못한하게 되고, 결국 해커들은 사용자들의 은행 사이트나 이메일들에 접근할 수 있으며 잠재적으로 더 큰 위험한 일로도 악용할 수도 있다.


이러한 버그는 처음에는 사파리(브라우저)와 함께 시작하지만, 거기서 멈추지 않는다. 연구가 Ashkan Soltani에 따르면, 이 약점은 애플의 SSL 라이브러리에 속한 모든 어플리케이션으로 확장될 수 있다고 한다. 예컨데 페이스타임은 물론 메일박스, 캘린더까지 모두 뚫릴 수 있다는 것이다. 맥 생태계의 핵심 요소전체가 이러한 보안문제에 노출되고 있다는 것이다. 또한 최근 출시된 앱들뿐만 아니라 iOS 6가 처음 소개되었을 때인 2012년 9월이래의 모든 iOS가 이러한 보안문제로터 노출되고 있기 때문에 그 피해대상은 매우 광범위하다고 볼 수 있다.


물론 가장 큰 문제 사용자들이 애플의 보안문제에 대해 큰 두려움을 가지고 있으며 이것이 해커뿐 아니라 정치를 위해 이용될 가능성까지 보고 있음에도 불구하고 언론사들은 애플의 보안문제에 대해서 매우 안일하게 답변을 한다는 것이다. 말하자면, 애플의 OS 취약점은 소비자들이 생각할만큼 큰 우려가 있는 문제는 아니다라는 것이다. 그들이 설명하는 바에 따르면, 공격자들이 SSL 연결 불능을 만들기 위해서는 사용자와 WiFi 거리 안에 있어야 한다. 콜롬비아 보안전문가 Steve Bellovin은 애플의 버그를 통해 "중간자(Man-in-the-middle) 공격은 쉽게 이루어지지 않는다. 그리고 그 공격의 규모를 크게 할 수 없다"라고 말한다. 그리고 큰 공격으로 이어질 가능성이 있지만, 버그의 문제점이 지나치게 확대해석되었다고 전한다. 결과적으로 애플의 보안문제가 그리 큰 것이 아님에도 불구하고 지나치게 위기론을 부추긴다는 뜻이다.


사실 이제까지 보고된 직접적인 공격은 공공 커피숍나 WiFi 시그널을 잡을 수 있는 근거리에서 이루어졌다. 그럼에도 다른 전문가들은 이러한 보안취약점들을 이용해서 공격자들은 새로운 2차적인 공격루트를 개발할 것이며 이것이 크게 악용될 수 있는 여지는 여전히 열려져있다고 전한다. 현재로서는 가능한 빨리 업데이트가 이루어지지 않으면 이 버그를 사용자들이 해결할 수 있는 방법은 없다. 무엇보다 오늘날 수많은 사람들은 공공장소의 WiFi를 사용하며 생활한다. 이제 커피숍이나 도서관등에서 노트북이나 스마트기기를 사용하는 것이 일반화되어 있는 시기에 애플의 입장을 대변하는 전문가들의 의견은 쉽게 납득이 되지 않는 것도 사실이다. 피해가능한 영역이 제한적이기는 하지만, 정작 피해를 본 당사자에게는 매우 큰 사건이며, 누구든지 그 대상이 될 수 있다.




애플은 버그를 알면서 왜 숨겼나?

외부 전문가들이 밝히는 문제점


가장 큰 의문점은 어떻게 처음 이러한 버그가 애플의 보안시스템을 통해서 만들어졌는가에 있다. 이미 일부 연구자들은 이 문제의 버그 코드가 무엇인지 지적하기도 하였다. 크립토켓(Cryptocat, 보안 온라인 채팅 서비스)의 Nadim Kobeissi는 반복되는 "goto fail"라인과 같은 비효과적인 이프덴(if-then) 조건을 지적하였다. 동시에 Bellovin은 코드 집중 테스팅은로 반복된 라인을 발견하기도 했다. 대체로 애플의 버그에 대해서 언급하는 전문가들은 애플의 OS에 그냥 놔두기에는 유용하지 않는 버그들이 존재한다는 것이다. 애플이 이것을 발견하지 못했을리가 없다고도 한다.


이 밖에 다른 여러 전문가들 역시도 애플이 밝히지 않는 버그를 스스로 밝혀내기 위해서 지금도 많은 추측들과 증거들을 내놓고 있다. 필자도 이것이 정확히 무엇인지 잘모르지만, 애플은 이것이 분명 문제가 있음에도 불구하고 왜 애플이 수정하지 않고 남겨두었는지 의문을 가질 수 밖에 없다. 더욱 여전히 애플은 이 문제점에 대한 어떠한 대책도 내놓고 있지 못하다.



(보안 고문인 Aldo Cortesi가 블로고 포스팅에 남긴 OS X의 버그 문제점)


애플은 거대한 스케일의 회사로서 소프트웨어 발전에 대한 의문점들을 보안이 붙이거나 명확하게 설명한 적이 없어서 더욱 의문은 커질 수 밖에 없다. 그러나 The Verge가 입수한 한 전문가에 의하면, OS X 기본 구조는 회사전반의 부엌 싱크와 같다고 한다. 오래된 규격은 계속해서 새롭게 만들어진 체제를 수용해야 하고 다른 제품에 대응해야 한다는 것이다. 새로운 코드는 새로운 버그를 만들수 밖에 없다는 뜻이다. 특히 시큐어트랜스포트와 같은 애플의 핵심 앱들의 대부분은 시간에 흐름에 따라 크게 손질을 보지 못한 것도 사실이라고 한다. 한 팀의 프로그밍에 의해 수정되는 코드들은 수백개의 코드에 변수를 만들어 낸다. 결국 애플의 기업이 커질 수록, 많은 디바이스들이 출시될 수록 잠재되어 있는 많은 버그들이 일어날 수 밖에 없다는 것이고 이것을 하나하나 발견해서 수정하는 일도 어렵다는 것이다. 


물론 거대 기업이 되면서 기본 구조 틀에 새로운 디바이스를 얹혀 놓는 과정에서 일어날 수 있는 일반적인 버그라고 할지라도 애플의 디바이스는 타 IT기업에 비해 종류가 다양하지 않다. 충분히 수정하고 개선할 수 있는 에너지가 타 IT기업보다는 많다는 말이다. 따라서 애플이 고의적으로 버그를 남겨두었다는 의혹은 쉽게 사그라지지 않을 것 같다. 




애플은 과연 NSA와 관련이 없는 것일까?



애플은 그동안 보안 문제 만큼은 상대적으로 강하다는 평가를 받았다. 그러나 이번 애플의 보안문제는 이러한 애플의 이미지를 상당히 실추시킬 것이다. 특히 올해 초 애플이 NSA(미 국가안보국)과 협의하여 해킹툴을 개발했다는 의혹을 받고 있고 대대적으로 성명을 내며 부인했을지라도 미국사회는 현재 그 어느때보다 보안문제와 개인사찰문제로 떠들썩하다. 필자가 지난 포스팅에서 에드워드 스노든과 브래들리 매닝의 사건을 언급하면서 미국사회가 이 문제에 대해서 굉장히 예민해하고 있다고 언급한바 있다(http://namedia.tistory.com/48 참조). 현재 스마트폰 제조사들이나 모바일OS 시장에서도 "보안" 문제가 화두가 되는 것도 이러한 영향이다. 분명 이러한 영향 가운데 애플과 NSA의 관계의혹, 또 이번에 밝혀진 버그와 이를 해결하는 미심쩍은 진행과정들은 현재 애플의 이미지에 지대한 영향을 미치고 있는 것은 사실이다. 


이와 관련해서 상당히 재미있는 기사가 CNN Fortune에 실렸었다. 이미 앞서 언급한 NSA의 폭로자 애드워드 스노든에 의해 워싱톤 포스트와 가디언에 유출된 비밀문서와 관련된 기사이다. 이 비밀문서에는 미국 정부가 미국 인터넷 회사 예컨데, 2007년 마이크로소프트(MSFT), 2009년 구글(GOOG), 2011년 AOL(AOL), 2012년 APPLE(AAPL)의 도움으로 사용자 데이터를 불법으로 수집받고 미국의 사이버스파이 대원들의 활동이 언급되어 있다. 





물론 이와 관련되어서 가장 핫한 이슈는 당연 애플의 버그 수정패치 업데이트와 이의 연관성에 대한 것이다. 아직은 이렇다할 결론이 난 것이 없이 애플이 부정하고 있기 때문에 음모론이라 규정한다. 구글의 웹 암호 전문가인 Adam Langley는 애플이 수정한 문제의 코드와 원래의 코드를 비교하는 것에 의해 이 문제점이 무엇인지 추측하였다. 이는 앞서 필자가 언급한 "goto fail"와 관련된 것이다. 물론 이것이 정확히 무엇인가라기보다는 애플이 왜 이러한 버그를 그대로 남겨두었냐가 더 문제이다. 


애플과 NSA의 관계에 대한 음모론의 핵심은 NSA가 iOS의 다양한 정보를 유출시킬 수 있는 백도어를 확보했고 애플이 이를 적극적으로 개발하는데 도움을 주었다는 것이다. 그리고 결론적으로 애플이 버그를 남겨놓은 이유는 해커들을 위한 것이 아니라 미국 정부를 위해서 남겨두었다는 추측이다. 그러나 애플은 이를 전문 부인하고 있다. 그러나 현재 미국 시민들은 이 버그를 애플이 고의적으로 삽입했을 것이라고 강하게 받아들이고, 언론 기사 댓글에 이를 사실로 받아들이는 사용자들 역시 매우 많다.


물론 백도어를 미국 정부가 자의적으로 개인사찰을 위해서 제작한 것이고 애플이 가담하지 않았다고 할지라도 분명한 것은 애플이 버그가 발견되고 있음에도 쉬쉬했고, 너무나 갑작스럽게 iOS만 업데이트를 했고, 아직 OS X의 업데이트는 하지 않고 있다. 그렇게 보안에 대해서 철통했던 애플이 여러 전문가들에 의해서 쉽게 발견되는 버그 조차도 수정하지 않았다는 것은 애플 스스가 의혹을 키웠다고 볼 수 밖에 없다.




애플답지 않는 모습에 실망한 소비자들



애플은 이미 애플의 다양한 디바이스를 서로 연결하고 클라우징하는 기술을 개발하고 있다고 밝힌바가 있다. 따라서 이러한 시스템의 중심부가 될 OS X의 버그는 그냥 지나칠 수 없는 문제이다. 애플은 오랫동안 애플의 디바이스에 바이러스가 없다고고 자랑해왔다. 물로 2006년 처음 공개적으로 OS X에 바이러스가 발견되었지만, 이것이 크게 부각되지 않는 것은 여전히 많은 맥사용자들에게 눈에 띄는 바이러스가 없었기 때문이다. 그러나 현재 상황속에서는 보이지 않는 바이러스나 버그가 언제나 존재했다고 생각할 수 밖에 없다.


더욱 유저들이 화를 내는 것은 현재 애플과 삼성, 또는 구글 등 이제는 굉장히 전투적이기까지한 유저들의 감정싸움이 번지고 있기 때문에 반애플의 유저들에 의한 애플의 보안 헛점이 계속 공격의 대상이 되는 것도 사실이다. 그러나 사실은 사실이다. 애플의 보안취약점이 발견된 이상 이에 대한 책임은 애플에게 있을 것이다. 워낙 애플이라는 기업자체가 무엇을 해명하거나 의문점에 대해서 세밀하게 설명하는 타입의 기업이 아니라서 이에 대한 문제점과 왜 이러한 버그들을 남겨두었는지 사용자들은 단순히 추측만 할 수 밖에 없다. 


사실 이번 보안 버그는 애플이 공식적으로 공개했던 것이 아니라 소프트웨어 업데이트를 진행하면서 전문가들이 iOS 업데이트 내용을 분석하면서 밝혀졌다. 더불어 애플이 이러한 버그를 계속해서 숨겨왔다는 의혹 역시 받고 있다. 작년에는 스마트폰 보안의 최적의 시스템이라 자부했던 터치ID 역시도 간단한 지문복제만으로 해킹이 되어버린 사건도 있었다. 애플의 보안 문제가 계속 문제가 되고 있는 이러한 시기에 애플은 여전히 이전모습 그대로 묵묵부답이다. 


이번 사건으로 보안과 관련되어서 안전한 OS는 없다는 것을 다시한번 상기시킬 필요가 있다. 그동안 너무가 과도하게 애플의 보안에 대한 신뢰를 의지하고 믿었다. 그러나 결국 애플 역시도 기업이 거대화되면서 스스로 해결할 수 없는 보안의 문제점들이 터지기 시작했다. 중요한 것은 애플이 스스로 자신의 OS에는 바이러스가 없다고 선전하기보다 완벽할 수 없는 자신들의 취약점을 발견하고 개선하려는 의지이다. 기업의 이미지와 카리스마도 중요하지만 애가 타는 소비자들의 마음을 조금더 해아려 빠른 해결을 보이는 애플이 되기를 바란다.