애플, 2019년부터 AirDrop 사용자를 식별하고 추적 가능하다는 사실 알고 있었다고 연구자들이 주장

 

보안 연구자들은 중국 당국이 해당 기능의 사용자를 추적하기 위해 최근 사용한 것으로 주장한 애플의 AirDrop 무선 공유 기능의 취약성에 대해 2019년에 애플에 경고했습니다. 이는 글로벌 프라이버시에 대한 광범위한 영향을 미치는 사례로 전문가들이 말하고 있습니다.

AirDrop은 인터넷에 연결하지 않고 블루투스와 다른 무선 기술의 복합을 사용하여 서로 가까운 애플 사용자가 파일을 공유할 수 있는 기능입니다. 이 기능은 홍콩의 민주주의 활동가들에 의해 사용되었으며 중국 당국은 이 기능을 탄압해왔습니다.

중국의 기술 기업인 Wangshendongjian Technology는 베이징 지하철에서 "부적절한 정보"를 공유한 것으로 지목된 사용자를 식별하기 위해 AirDrop을 침해할 수 있었습니다. 중국 당국은 이 취약성을 효과적인 사법 수단으로 묘사했지만 인터넷 자유 옹호단체들은 애플에 신속하고 공개적으로 이 문제에 대처하도록 촉구하고 있습니다.

중국의 주장은 미국 상위 의회 의원들을 경악시켰습니다. 상원 정보위원회의 공화당 의원 마르코 루비오는 "아이폰을 사용하는 모든 사람은 애플의 AirDrop 기능의 보안에 대해 우려해야 합니다."라며 "이 침해는 중국이 반대자로 인식하는 모든 애플 사용자를 표적으로 삼는 또 다른 방법입니다. 지금 행동해야 하며, 애플은 사용자를 그런 심각한 보안 위반으로부터 보호하지 못한 데 대해 책임져야 합니다."라고 CNN에 말했습니다.

 

중국의 주장에 따르면, 예방조치 '미흡'

중국 당국은 AirDrop을 사용할 때 두 애플 기기 간에 전송되어야 하는 기본 식별 정보, 즉 기기 이름, 이메일 주소 및 전화번호를 수집하여 취약성을 악용했다고 주장합니다.

보통 이 정보는 개인 정보 보호를 위해 암호화됩니다. 그러나 영국의 사이버 보안 기업 Sophos의 2021년 분석에 따르면, 애플은 결과를 더욱 무작위로 만들기 위해 혼동을 초래할 가짜 데이터를 추가하는 추가 예방 조치를 취하지 않은 것으로 보입니다. 이 과정은 "salting"이라고 알려진 프로세스입니다.

이러한 실패로 중국 기술 기업은 암호화된 데이터에서 원래 정보를 뒤집기가 더 쉬워졌습니다. 이는 펜실베이니아 주립 대학의 통신학 교수인 사샤 마인라트(Sascha Meinrath)가 말한 것처럼 "종종 애플의 업무에 중요한 결점을 가리키는 것입니다. 이는 심각한 기술적 결함을 나타낼 수 있으므로 애플로부터 설명을 받아야 합니다."

AirDrop의 기기 간 통신 채널은 일반적으로 자체 보안 계층으로 제3자 감시에서 보호됩니다. 그러나 누군가가 낯선 사람과 연결하도록 속아서 연결하는 경우에는 해당되지 않으며, 이는 보안 전문가들에 따르면 발신자가 식별되기 위해 필요한 단계입니다.

기기 식별 정보가 교환되고 무단의 제3자에게 얻어지면 소금 친다는 추가적인 예방 조치가 없으면 데이터를 해독하는 올바른 코드를 추측하는 것이 간단해집니다.

AirDrop을 악용하고 주장한 중국 기술 기업인 왕신동지안 테크놀로지는 2019년에 독일의 연구자들이 처음 발견한 기술을 사용한 것으로 보입니다.

 

애플, 중국 당국에 대한 압박 속

중국 당국이 주장한 후, 오리건 주 출신의 민주당 의원이자 의회에서 개인 정보 옹호를 강조하는 존 워이든 상원의원은 애플을 향해 "사용자의 프라이버시와 안전을 위협하는 AirDrop의 보안 구멍을 해결하는 데 4년이라는 시간이 있었음에도 불구하고 애플은 아무것도 하지 않았다"며 "애플은 손가락을 무릎에 얹고 아무것도 하지 않았다. 중국 당국이 아이폰을 통해 중국 정부가 원치 않는 메시지를 공유하는 인권 활동가들을 보호하지 않았다"고 CNN에 발표했습니다.

AirDrop 공격 뒤에 있는 기술 기업은 중국의 사이버 보안과 안전 당국과 긴밀한 협력 사업을 수행한 경력이 있습니다.

해당 회사의 모기업은 강력한 중국 사이버 보안 기업인 '칠안신'이라고 합니다. 칠안신은 2022년 베이징 동계 올림픽에서 사이버 공격으로부터 보호하기 위해 고용된 것으로 알려져 있습니다.

미국의 사이버 보안 기업 SentinelOne의 중국 전문 컨설턴트인 더코타 캐리는 "중국 정부가 기술 능력을 강화하기 위해 민간 섹터에 의존하는 것은 여러 차례 있었습니다."라며 "이는 보통 방어적인 중국 사이버 보안 기업이 공격적인 역할을 할 수 있음을 상기시켜주는 중요한 예시입니다."

그러나 중국과 같은 정부 기관이 자체 기술 능력을 공개적으로 알리기는 드물기 때문에 이번 주도도둑질을 고의로 알리려는 다른 목적이 있을 것으로 보입니다.

그에 대한 Ismail의 말에 따르면 중국 당국이 이 취약성을 악용한 이유 중 하나는 반체제주의자를 AirDrop 사용에서 겁내게 할 수 있기 때문일 것입니다.

베이징 당국이 취약성을 악용했다고 발표한 이후, 애플은 중국 당국이 문제를 해결하려 할 때 벌어질 수 있는 보복에 직면할 수 있습니다. 여러 전문가들에 따르면, 중국은 애플이 이 결점을 막기 위해 움직이면 벌어질 수 있는 일에 대한 보복을 할 것입니다.

중국은 애플 제품의 최대 외국 시장이며, 2022년에는 회사의 총 수익의 약 1/5를 차지했습니다. 대부분의 아이폰은 중국의 공장에서 생산되며, 애플은 이 결점을 막기 위해 움직일 경우 베이징에서의 반동에 직면할 수 있습니다.

해킹 사건의 폭로는 중국에게 더 많은 권한을 부여해 애플에게 국가의 보안 또는 정보 요구에 협력하도록 강요할 수 있는 기회를 제공할 수 있습니다. Ismail에 따르면, 중국은 이미 애플이 이미 공모적이라는 주장을 통해 협력을 할 것이라 주장할 수 있습니다.

애플이 2019년에 보고된 즉시 이 문제를 해결했다면 기술적인 문제가 됐을 것이라며 존스홉킨스 대학교의 암호학 전문가이자 교수인 매튜 그린은 말했습니다. 그러나 이 결함을 중국 안전 당국이 악용하게 되면 애플에게 어려운 정치적 문제가 될 것입니다.