"비밀번호는 알려줄 수 없다." 공천 헌금 수수 의혹을 받는 무소속 강선우 의원이 최근 경찰에 최신형 아이폰을 제출했지만, 비밀번호를 함구하고 있어 수사가 난항을 겪고 있다. 기기는 확보했으나 정작 내부 데이터에는 접근하지 못하는 촌극으로, 낯설지 않은 광경이다.
'시큐어 엔클레이브'가 만든 사과 철벽
수사 기관이 아이폰 잠금을 해제하기 어려워하는 배경에는 애플의 보안 시스템 '시큐어 엔클레이브(Secure Enclave)'가 있다. 시큐어 엔클레이브는 메인 프로세서와 분리된 보안 전용 보조 프로세서로, 암호 검증과 보안 정보를 독립적으로 처리한다. 비유하자면 '금고 속의 금고'다. 일반 컴퓨터는 운영체제(OS)가 암호를 관리하는 구조라면, 아이폰은 iOS조차 접근할 수 없는 별도의 보안이 암호 일치 여부를 직접 판단하도록 설계돼 있다. 이 때문에 외부에서 강제로 데이터를 추출하는 것은 사실상 불가능하다.여기에 무차별 대입 공격(Brute-force attack)을 막는 장치까지 더해져 보안은 더욱 견고하다. 비밀번호를 반복해서 틀리면 입력 대기 시간이 점점 길어지고, 설정에 따라 일정 횟수 이상 실패하면 기기 내 데이터가 자동으로 삭제되는 기능까지 있다. 영문과 숫자를 섞은 6자리 암호만 해도 무작위 대입으로 해제하려면 수년 이상이 걸릴 수 있어, 사실상 사용자 비밀번호 없이는 내부 데이터를 확인하기 어렵다.
이 같은 보안 기술의 근간에는 애플의 '프라이버시 최우선' 정책이 있다. 애플의 이런 정책 기조를 가장 잘 보여주는 사례로는 2015년 애플이 미국 FBI의 아이폰 잠금 해제 요청을 거부한 일이 꼽힌다. 당시 FBI는 14명이 사망한 캘리포니아 총기 난사 테러 사건 조사를 위해 백도어(암호 잠금 해제 마스터키) 제작을 요구했지만, 애플은 '사생활 보호'를 이유로 거부했다. 팀 쿡 애플 최고경영자(CEO)는 당시 고객들에게 보낸 공개서한에서 "미국 정부는 애플이 우리 고객 보안을 위협하는 전에 없는 조처를 받아들이라고 요구하고 있다"고 했다.
디지털 포렌식 기술 발전에도 아이폰의 강화된 보안 기술을 뚫기 어려운 실정이다. 실제로 나이지리아 리버스 주립대학교 연구진 등은 지난해 4월 '사이버 보안 및 정보 관리 저널'(JCIM)에 발표한 논문에서 "아이폰은 복잡한 암호화와 폐쇄적인 구조로 인해 디지털 포렌식 조사가 본질적으로 어렵다"면서 "애플이 모바일 기술을 발전시키고 개인정보 보호와 보안을 강화할수록 아이폰의 물리적 확보는 점점 더 어려워지고 있다. 이는 포렌식 조사관에게 큰 어려움"이라고 했다.
한국 정치인들까지…'난공불락 데자뷔'
아이폰이 국내 정치인들 수사를 막아 세운 것 역시 이번이 처음은 아니다.윤석열 전 대통령은 지난해 '해병대원 순직 사건 수사 외압 의혹'을 수사하는 특검의 아이폰 비밀번호 제공 요청을 거부했다. 같은 해 2022년 국회의원 보궐선거 공천 개입 관여 의혹을 받던 윤상현 국민의힘 의원도 김건희 특검팀에 아이폰 비밀번호를 제공하지 않은 것으로 알려졌다.
앞선 2020년에는 이른바 '채널A 사건'으로 검언유착 의혹을 받았던 한동훈 전 국민의힘 대표(당시 검사장)이 아이폰 비밀번호를 함구한 사례가 있다. 당시 검찰은 한 대표 아이폰을 압수한 뒤 디지털 포렌식을 시도했으나 끝내 빗장을 풀지 못했다. 검찰은 "숫자와 문자가 결합한 비밀번호를 해제하려면 설정할 수 있는 경우의 수는 거의 무한대로, 현재 기술력으로는 해제 기간조차 가늠할 수 없다"며 무혐의 처분을 내렸다. 2018년 이재명 대통령(당시 경기도지사)도 이른바 '친형 강제 입원 의혹' 경찰 조사에서도 아이폰 2대의 비밀번호 잠금 해제에 실패했다.
다수의 형사 포렌식 절차에 참여한 김연기 변호사(법무법인 충정)는 "아이폰 비밀번호가 13자리를 넘어설 때부턴 무차별 대입 등 디지털 포렌식이 사실상 불가능해진다. 비밀번호를 우회하는 몇 가지 방법도 사전에 포렌식 전문가의 조언을 받아 대비하는 경우, 아이폰의 보안을 뚫을 방법은 없다고 보면 된다. 갤럭시 역시 최신 기종의 경우 하드웨어 보안 수준이 높고, 구글 OS 업데이트 역시 최신인 경우 내부 데이터 접근이 불가능한 경우가 많다"며 "국내에서는 대검찰청 국가디지털포렌식센터(NDFC)의 포렌식 수준이 국내 최고 수준이었는데 약 3년 전부터 예산 삭감으로 인해 애플, 구글과 같은 세계적 기업들의 보안 기술 수준을 따라가지 못하고 있다"고 털어놨다.
아이폰 보안 못 뚫으면 포기해야 하나?
이처럼 한국 수사 환경도 애플의 보안 정책을 제도적으로 우회할 장치를 갖추지 못하고 있다. 영국의 경우 수사 목적상 휴대폰 비밀번호 제출 요구를 거부할 경우 처벌할 수 있는 법적 근거를 두고 있지만, 한국에서는 헌법상 진술거부권과 충돌한다는 이유로 관련 논의가 번번이 좌초됐다.일례로 추미애 국회 법제사법위원장(당시 법무부 장관)은 2020년 '휴대폰 잠금 해제 강제 이행'을 골자로 한 입법을 주문했지만 헌법 위반 논란 속에 무산됐다. 지난해에는 서영교 더불어민주당 의원이 윤 전 대통령을 겨냥해 "범죄자가 비밀번호를 알려주지 않는다면 추가 기소·처벌해야 한다"고 주장했지만, 공식 테이블까지 올라오진 못했다.
사실 아이폰의 견고한 보안을 뚫는 '창'이 없는 것은 아니다. 2016년 FBI의 아이폰 수사를 도운 이스라엘 보안업체 '셀레브라이트'의 장비다. 기기 메모리를 복제한 뒤 해킹 소프트웨어를 심어 수억 개의 비밀번호를 동시다발적으로 대입하는 방식을 채택한다. 하지만 장비 구입비와 사용료가 억대에 달하는 데다, 잠금을 푸는 데 시간이 얼마가 걸릴지 가늠하기 어려워 실무 현장에서 사용하긴 어렵다는 평가가 많다.
전문가들 사이에서는 기술적 한계를 인정하고 범죄 수사의 실효성을 높이기 위한 제도적 해결이 필요하다는 목소리가 나온다.
염흥열 순천향대학교 정보보호학과 교수(한국정보보호학회 명예회장)는 "아이폰은 기술적으로 디지털 포렌식에 성공하기가 매우 어려운 구조"라며 "애플이 미국 정부의 백도어 제작 요청까지 거부한 것은 수사 협조보다 이용자 프라이버시 가치를 우선시한 정책적 선택"이라고 했다. 그러면서 "선진국 일부에서는 비밀번호 미제출 시의 처벌 수위를 높이는 경향이 있다"며 "(우리나라도) 제도적으로 해결해야 할 필요가 있다"고 강조했다.
홍민성 한경닷컴 기자 mshong@hankyung.com
