암호화된 기기의 데이터에 접근하는 상황은 스파이 영화에서나 나올 법한 일처럼 보일 수 있지만, 법 집행 기관에 있어서는 매우 현실적인 과제다. 그리고 이 문제는 CISO와 다른 보안 전문가들에게도 중요한 문제다.
가령 직원 해외 출장이나 해외 컨퍼런스에 참석하기 위해 국경을 넘을 때 기기의 암호를 해제하고 그 내용을 제시해야 할 수 있다. 예를 들어, 중국의 국경 관리 요원은 잠겨 있거나 암호화된 기기에서도 데이터를 추출할 수 있는 특수 장비를 사용할 수 있다.
영화와 다른 점이 있다면, AES 암호화 키나 유사한 암호화 기술을 강제로 해킹하기란 매우 어렵다는 것이다. 적어도 강력한 양자 컴퓨터가 등장하기 전까지는 그렇다. 그러나 법 집행 기관과 스파이 기관들은 굳이 암호화 기술을 파괴하지 않아도 된다. 각종 소프트웨어와 그것을 사용하는 사람들이 꽤나 취약하기 때문이다.
접근성 요구
오늘날 용의자의 휴대폰이나 컴퓨터에 접근성 확보는 법 집행 기관의 최우선 과제라고 해도 과언이 아니며, 이를 위한 법적 근거가 마련되어 있다.
가령 대다수 국가에서 수사기관은 휴대폰 등에 수사 관련 증거가 포함되어 있다고 판단할 경우, 피의자에게 비밀번호, 암호 또는 생체 인식 데이터를 요구할 권한을 가진다다. 일례로 잉글랜드와 웨일스에서는 피의자가 이를 거부할 경우, 사법 당국은 통보 후 수사권한법(RIPA)에 따라 형사 범죄로 처리할 수 있다.
사이버 보안 컨설팅 회사인 사이엑셀(CyXcel)의 제임스 패럴은 “접근 권한을 거부할 경우, 법 집행 기관은 포렌식 도구와 소프트웨어를 사용하여 휴대폰이나 컴퓨터에서 중요한 디지털 증거를 해제, 해독, 추출하게 된다. 그러나 성공 여부는 기기의 종류, 운영 체제 버전에 따라 달라질 수 있다”라고 말했다.
법 집행 기관이 암호화된 장치(PC와 모바일 장치 모두)에 접근하기 위해 사용하는 방법으로는 다음과 같은 것들이 있다.
전통적 조사 기법
가장 직접적인 접근 방식은 법 집행 기관이 장치가 ‘잠금 해제’된 상태로 장치를 압수하는 것이다. 암호가 적힌 문서나 암호화되지 않은 데이터 사본을 찾기 위해 물리적 위치에 대한 수색 및 압수 영장을 받기도 한다.
암호화된 기기에의 접근을 위한 전통적인 방법 중 다른 하나로는 암호 또는 암호화 키가 입력되는 순간 이를 포착하는 감시 기술이다. 또 기기 암호를 단순히 추정하는 기법도 있다. 이 기법의 성공 여부는 잠금에 대한 재시도 횟수와 암호/잠금 메커니즘의 종류에 따라 달라진다.
디지털 컨설팅 회사 크리에이트퓨처(CreateFuture)의 제프 왓킨스 CTO는 CSO와의 인터뷰에서 “무차별 대입 기법, 사전 공격(과거의 침해 사건에서 사용된 여러 조합을 사용하여 가능한 암호를 테스트하는 공격), 또는 암호를 훔치거나 엿보는 등의 사회 공학이 포함될 수 있다. 또 다른 옵션은 클라우드 백업에 대한 접근 권한을 얻는 것이다. 보안 수준에 따라 필요한 데이터에 가장 쉽게 접근할 수 있는 방법일 수 있다”라고 설명했다.
취약점 악용
침투 테스터와 마찬가지로 법 집행 기관은 취약점을 악용하여 암호화를 우회한다. 종종 제로데이(zero day)라고 불리는 이러한 취약점은 장치 제조사조차 알지 못하는 경우가 많다. 때로는 부분적으로만 해결된 취약점이 활용되기도 한다.
예를 들어, 최근 카오스 컴퓨터 클럽(Chaos Computer Club) 컨퍼런스에서의 한 대담에서는 최신 윈도우 11 시스템에서 보안 부팅을 사용하여 비트로커 암호화를 우회하는 방법의 가능성이 시연됐다. 이 해킹은 다운그레이드 공격과 결합된 윈도우 취약점인 ‘bitpixie’(CVE-2023-21563)를 악용했다. 네트워크 연결을 통해 복구 모드로 부팅하도록 컴퓨터를 강제하고, 볼륨 마운트 키를 메모리에 로드하는 방식이었다. 이를 통해 다른 컴퓨터가 로컬 영역 네트워크를 통해 키가 포함된 메모리 덤프를 생성하여 비트로커를 효과적으로 우회할 수 있음이 드러났다.
즉 이 취약점을 악용하면 시큐어 부트(Secure Boot)와 TPM(Trusted Platform Module)을 활용하여 비트로커를 활성화한 윈도우 시스템의 데이터를 판독할 수 있다.
시연을 진행한 네오다임(Neodyme)의 연구원인 토마스 램버츠와 마이크로소프트는 CSO의 논평 요청에 즉각적으로 응답하지 않았다. 그러나 독립적인 보안 전문가들은 이 공격 벡터가 조만간 해결될 가능성이 낮다고 평가했다. 침투 테스트 회사인 클로즈드 도어 시큐리티(Closed Door Security)의 컴플라이언스 운영 책임자인 코너 애그뉴는 “완전히 새로운 취약점은 아니다. 그러나 UEFI 시스템을 갖춘 비교적 신형 기기에 활용될 수 있음에 주목할 만하다”라고 말했다.
애그뉴는 이어 “2023년에 공개된 이 취약점과 관련해 특히 우려되는 부분은 일반적인 장치 소유권 요구 사항이 없고, 장치를 분해하고 암호화 키를 무차별 대입하는 방식이라는 점이다”라며, “해독 공격의 관점에서 볼 때 매우 빠른 공격이며, 마이크로소프트가 보안 부팅 인증서 업데이트를 출시하는 2026년까지 해결되지 않을 가능성이 높다”라고 말했다.
디스크상의 암호화가 파훼될 수 있다는 사실은 휴대용 기기에 데이터를 가지고 다니는 사람이라면 누구나 우려할 만한 문제다. 애그뉴는 “비트로커만을 암호화 도구로 활용하면 위험하다. (비트로커로만 암호화됐다면) 버스 정류장에 남겨진 MOD[영국 국방부] 장치를 어렵지 않게 들여다 있다”라고 말했다.
백도어
애플과 같은 벤더들은 법 집행 기관을 위해 백도어를 만들지 않는다고 공개적으로 밝히고 있다. 그러나 이에 대한 많은 추측과 의심이 있다. 실제로 많은 벤더들이 그들의 시스템에 백도어를 배치한다는 점이 밝혀진 바 있다. 또 법 집행 기관들은 애플 등의 기업들에게 “법적 접근” 솔루션을 만들도록 압력을 가해 왔다.
클로즈드 도어 시큐리티의 애그튜는 “클라우드 회사들이 협력한 사례도 있다. 백업 데이터를 활용하면 기기의 암호화를 모두 해제하지 않고도 데이터에 접근할 수 있다”라고 설명했다.
보안 커뮤니티는 법 집행 기관의 백도어에 대해 오랫동안 반대해 왔다. 범죄 해커들이 악용할 수 있는 보안 취약점을 만들어 낼 가능성이 반대의 한 이유다.
크리에이트퓨터의 왓킨스는 “암호화된 데이터에 접근할 수 있는 만능 키를 만드는 것은 결코 합리적인 해결책이 될 수 없다“라며, “결국 악당들이 접근할 가능성을 열게 된다. 법 집행 기관에서 종종 요청하는 휴대폰이나 노트북과 같은 장치의 하드웨어 수준 백도어도 마찬가지다. 진정한 보안을 위해서는 좋은 생각이 아니다”라고 말했다.
원격 해킹
휴대폰과 컴퓨터 등에 대한 접근은 원격 해킹을 통해 이루어질 수도 있다. “여기에는 데이터 액세스와 통신 청취가 포함된다. 또는 소프트웨어나 하드웨어를 물리적 장치에 은밀하게 설치한 다음 원격으로 모니터링할 수 있다”라고 사이엑셀의 패럴은 말했다.
법 집행 기관은 이를 위해 용의자의 번호를 식별해야 한다. 이 작업은 흔히 기지국을 복제하는 장비를 배치함으로써 수행할 수 있다. 파렐은 “장비를 배치하면 휴대폰이 양호한 연결 상태임을 인식하게 되고, 연결되면 IMSI(International Mobile Subscriber Identity)가 기록된다. 이 장비는 전 세계적으로 법 집행 기관에서 사용하고 있다”라고 설명했다.
때로는 사용자의 위치에 따라 공공장소에서 ‘에빌 트윈 와이파이 네트워크‘ 기법을 이용할 수 있다. 이를 통해 물리적으로 기기에 액세스하지 않고도 네트워크 트래픽에 대한 암호를 해독할 수 있다.
이 밖에 특정 사용자의 기기에 액세스하는 쉬운 방법으로는 맬웨어 설치가 있다. 이 방식은 표적 공격(맬웨어를 다운로드하게 하거나, 책상에 ‘무료 비트코인’이라고 인쇄된 USB 키를 두고 가도록 유도하는 등)을 통해 이루어질 가능성이 높다.
크리에이트퓨터의 와킨스는 “미션 임파서블 속 이야기처럼 들리는 다른 방법도 있다. 전자기 간섭(EM)이나 음향 공격과 같은 부수적인 경로를 이용하여 기계의 암호를 알아내는 것이다“라며, “특히 무선 키보드와 이와 유사한 장치들이 취약한 경우가 많다. 사용자 몰래 악용될 수 있다”라고 설명했다.
공급망 공격
목표 기기의 암호화 키나 암호를 알아내는 또 다른 방법으로는 공급망어딘가에 설치된 맬웨어나 하드웨어를 활용한느 것이다.
이와 관련한 일화가 있다. 인크로챗(EncroChat)은 유럽에 기반을 둔 암호화된 통신 서비스 제공업체였다. 이 회사는 암호화된 통신과 원격 삭제 기능 등, 강화된 보안 기능을 갖춘 수정된 안드로이드 스마트폰을 공급했다. 이 서비스는 범죄자들 사이에서 인기를 얻었다. 2020년 중반까지 회원 수가 약 6만 명까지 늘어나기도 했다.
그러나 유럽의 법 집행 기관은 프랑스 서버에 악성코드를 설치하여 인크로챗 네트워크에 침투하는 데 성공했다. 그 결과 메시지에 액세스하고 패닉 와이프 기능을 비활성화할 수 있었다. 이후 경찰의 작전으로 수천 명이 체포됐다.
형사 분야 법률 기입 스토크 파트너십 솔리시터스의 제시카 소베이 변호사는 인크로챗 해킹을 통해 얻은 증거의 증거 채택 가능성에 대해 법정에서 치열한 논쟁이 벌어졌다고 전했다.
“IPT[수사 권한 재판소]는 NCA가 인크로챗 네트워크에서 메시지를 얻기 위해 영장을 신청할 때 중요한 정보를 누락했다는 주장을 기각했다. TEI 영장의 사용이 정당화됐다”라고 그는 말했다.
소베이는 이어 “그러나 변호인단은 IPT가 일괄 영장과 주제별 영장의 구분을 모호하게 만들었고, 이로 인해 법적 분쟁의 여지가 여전히 남아 있다고 주장하고 있다”라고 덧붙였다.
dl-ciokorea@foudnryco.com
