법 집행 기관의 아이폰 해킹 방법

법 집행 기관의 아이폰 해킹 방법

테이블 콘텐츠(Table of Contents)

1. 소개
2. 법 집행 기관을 위한 스마트폰 추출 도구
   • 2.1 그레이시프트(Grayshift)
   • 2.2 셀리브라이트(Cellebrite)
3. 셀리브라이트의 휴대폰 추출 장치
   • 3.1 셀리브라이트 UFED의 기본 지식
   • 3.2 셀리브라이트 UFED 버전과 종류
4. 아이폰의 암호화 상태
   • 4.1 암호 해제 전 상태(Before First Unlock)
   • 4.2 암호 해제 후 상태(After First Unlock)
5. 셀리브라이트 UFED의 작동 방식
   • 5.1 암호화를 우회하는 방법
   • 5.2 전화 수신 시의 암호 해제 상태
6. 유출된 데이터의 확인과 분석
   • 6.1 셀리브라이트의 브라우저 기능
   • 6.2 클라우드 기반 데이터 확인
7. 셀리브라이트의 서비스와 고객
   • 7.1 법 집행 기관에 제공되는 기술
   • 7.2 셀리브라이트의 고객
8. 폰 데이터 보호를 위한 조치
   • 8.1 기기 암호의 강화
   • 8.2 기타 잠금 방법 비활성화
9. 기술적 권한의 동의자는 누구일까?
10. 결론

법 집행 기관을 위한 스마트폰 추출 도구

범죄 조사 중인 경찰은 때때로 증거로써 스마트폰을 사용하고자 할 때, 기기에 쉽게 접근할 수 없는 경우가 많습니다. 심지어 용의자의 폰을 수색하기 위한 검사권한이 있더라도, 대부분의 최신 기기는 패스코드나 생체 인식을 사용하여 데이터를 잠그고 있습니다. 많은 국가의 법 집행 기관은 그레이시프트(Grayshift)나 셀리브라이트(Cellebrite)와 같은 사립 정보 회사에서 생산한 전문 도구를 사용합니다. 이제 우리는 법 집행 기관이 사용할 수 있는 일부 도구와 그들이 작동하는 방식, 그리고 추출할 수 있는 정보에 대해 알아보겠습니다. 놀랍게도, 법 집행 기관이 스마트폰에서 데이터를 추출하기 위해 사용하는 대부분의 기술은 공개적으로 광고되고 있습니다. 현재 가장 유명한 디지털 포렌식 회사인 셀리브라이트는 다른 현대적인 기술 스타트업과 비슷한 웹사이트를 운영하며, 그들의 서비스에 대해 매우 공개적입니다. 기본 서비스와 프리미엄 서비스로 구분되어 있으며, 업계 표준으로 사용되는 "셀리브라이트 UFED(Universal Forensic Extraction Device)"라는 기기가 있습니다. UFED는 여러 가지 크기와 종류로 제공되며, 터치 스크린이나 견고한 케이싱 등의 옵션이 있습니다. 이 기기가 대상 폰에 연결되면, 이론적으로는 일부 아이폰 모델의 패턴과 비밀번호를 우회하고 폰과 SIM 카드에서 데이터를 추출할 수 있습니다. 하지만 "이론적으로"라고 언급한 이유는 아이폰의 취약성이 기종과 iOS 버전뿐 아니라 현재 암호화 상태에도 달려 있기 때문입니다. 포렌식 회사들은 기본적으로 "암호 해제 전 상태(Before First Unlock)"와 "암호 해제 후 상태(After First Unlock)"로 구분합니다. 최신 아이폰이 꺼져 있는 상태에서는 데이터가 매우 잘 암호화되어 있습니다. 디바이스 암호를 처음 입력하는 시점까지는 폰이 "암호 해제 전 상태" 또는 BFU라고 표기됩니다. 셀리브라이트가 공개적으로 알려지지 않은 공격 방법을 보유하고 있다면, BFU 상태의 장치에서 유용한 데이터를 추출할 수 있는 것 같지 않습니다. 이러한 경우에 가능한 공격은 일반적으로 패스코드를 무차별 대입하는 것으로, 이는 패스코드 시도 횟수 제한을 우회하는 보안 취약점을 이용한 것입니다. 그러나 대부분의 경우, 압수된 아이폰은 이미 켜져 있고 "암호 해제 후 상태" 또는 AFU 상태입니다. 이 상태에서는 폰이 더 취약하며, 많은 암호화 키가 퀵 액세스 메모리에 저장되어 있기 때문에 일부 운영 체제 취약점이 이러한 키를 노출시킬 가능성이 더 높습니다. 셀리브라이트의 UFED와 같은 장치들은 일반적으로 암호화를 해제하지 않지만, 이를 우회하는 방법을 찾아냅니다. AFU 상태와 BFU 상태에서의 동작 방식과 차이는 전화 수신 시 화면에 표시되는 정보에서 명확히 볼 수 있습니다. AFU 상태에서는 주소록에 저장된 경우 전화를 걸 때 통화자의 이름이 화면에 표시되지만, BFU 상태에서는 번호만 표시됩니다. 이는 주소록을 해독하기 위한 키가 아직 메모리에 없기 때문입니다. 셀리브라이트는 그들의 장치가 어떻게 작동하는지에 대한 자세한 세부 정보를 제공하지 않지만, 대부분의 공격은 대상 장치의 알려지지 않은 보안 취약점, 즉 제로데이 취약성을 기반으로 합니다. 이와 같은 기술 회사들은 대상 기기의 취약성을 수리할 수 없도록 도구와 정보를 비밀로 유지하려고 합니다. 스마트폰을 해킹하기 위한 도구를 제공하는 것 외에도 셀리브라이트는 추출된 데이터를 쉽게 찾아볼 수 있는 소프트웨어도 제공합니다. 법 집행 기관은 간단한 사용자 인터페이스에서 설치된 앱, 브라우저 및 위치 기록, 소셜 미디어 등의 데이터, 그리고 다양한 통계를 살펴볼 수 있습니다. 클라우드 기반의 증거물에 대해서도 유사한 도구가 있습니다. 소셜 미디어 사이트와 클라우드 저장소의 데이터는 UFED 클라우드 소프트웨어에서 확인할 수 있지만, 이미 로그인 자격 증명이나 추출된 토큰과 세션 쿠키를 통해 액세스가 획득된 경우에만 가능합니다. 셀리브라이트는 클라우드 계정 해킹은 하지 않는 것으로 보입니다. 2020년 10월 뉴욕 타임즈 기사에 따르면, 셀리브라이트는 150개 국가에서 7,000명이 넘는 고객을 보유하고 있습니다. 이 회사는 법 집행 기관뿐 아니라 공항이나 학교 등에서도 점점 더 많이 사용되고 있습니다. 미국의 일부 학교 지역에서는 이 포렌식 기술을 사용하여 학생들의 폰을 수색하는 권한을 가지고 있습니다. 전 세계적으로 암호화에 대한 후방통로(backdoor)와 더 약한 장치 보호를 요구하는 나라들이 점점 더 많아지면서, 추출 장치의 이용 가능성이 증가함에 따라 스마트폰과 같이 매우 개인적인 아이템의 잘못된 탐색도 더욱 늘어날 가능성이 있습니다. 학생과 같은 일반 사용자는 어떻게 개인 폰 데이터를 보다 잘 보호할 수 있을까요? 그 해답은 매우 간단합니다. 더 긴 장치 암호를 사용하는 것입니다. 아이폰은 기본 PIN 잠금에서 복잡한 영문과 숫자를 포함한 암호로 쉽게 전환할 수 있도록 설계되어 있습니다. 6자리 PIN은 평균적으로 몇 시간 안에 추측될 수 있지만, 문자와 숫자를 포함한 10자 이상의 암호는 몇십 년이 걸리므로 안전성을 크게 향상시킵니다. 많은 아이폰은 사이드 버튼을 다섯 번 누르면 패스코드를 포함한 다른 잠금 방법을 빠르게 비활성화할 수도 있습니다. 이 두 가지 방법을 통해 누구나 즉시 기기 보안을 향상시킬 수 있습니다. 어쨌든, 기술적 권한에 대해 어떻게 생각하시나요? 이러한 기술적 능력에 접근해야 할 주체는 누구일까요? 귀하의 의견을 공유해 주세요. 다음 비디오에서 뵙겠습니다.

법 집행 기관을 위한 스마트폰 추출 도구

어떤 경우에는 경찰이 수사 과정에서 스마트폰을 증거로 사용해야 할 때, 쉽게 기기에 접근할 수 없는 상황이 발생할 수 있습니다. 심지어 용의자의 스마트폰을 수색하는 권한이 있더라도, 대부분의 최신 디바이스는 패스코드나 생체 인식을 사용하여 데이터를 잠금 상태로 유지합니다. 많은 국가의 법 집행기관은 그레이시프트(Grayshift)나 셀리브라이트(Cellebrite)와 같은 사립 정보 회사에서 개발한 전문 도구를 이용합니다. 이제 우리는 법 집행기관이 사용할 수 있는 일부 도구와 그들의 작동 방식, 그리고 추출할 수 있는 정보에 대해 알아보도록 하겠습니다. 놀랍게도, 스마트폰 데이터 추출을 위한 대부분의 기술은 공개적으로 광고되고 있습니다. 셀리브라이트(Cellebrite)는 현재 가장 유명한 디지털 포렌식 회사로, 다른 기술 스타트업과 유사한 웹사이트를 갖추고 있으며, 그들의 서비스에 대해서는 매우 개방적입니다. 제공되는 서비스는 기본 서비스와 프리미엄 서비스로 나뉘며, 미디어 스트리밍 서비스처럼 구독을 판매하는 방식으로 제공됩니다. 여기에서 가장 인기 있는 기기는 셀리브라이트 UFED(Universal Forensic Extraction Device)로, 다양한 크기와 변형(터치 스크린 또는 견고한 케이스 등)으로 제공됩니다. UFED는 대상 스마트폰에 연결되면 이론적으로는 일부 아이폰 모델의 패턴과 비밀번호를 우회하고 스마트폰과 SIM 카드에서 데이터를 추출할 수 있습니다. 이론적으로라고 말한 이유는 아이폰의 취약성은 기종과 iOS 버전뿐만 아니라 현재의 암호화 상태에도 의존하기 때문입니다. 포렌식 회사들은 기본적으로 "암호 해제 전 상태(Before First Unlock)"와 "암호 해제 후 상태(After First Unlock)"로 구분합니다. 최신 아이폰이 꺼져 있을 때는 데이터가 매우 잘 암호화되어 있습니다. 기기 패스코드를 처음 입력하기 전까지는 폰이 "암호 해제 전 상태(BFU)" 상태입니다. 셀리브라이트가 알려지지 않은 공격 방법을 가지고 있다면, 이러한 BFU 상태의 기기에서 유의미한 데이터를 추출할 수 있는 것 같지 않습니다. 일반적으로 공격 가능한 방법은 해당 상황에서 패스코드를 무차별로 대입하여 보안 취약점을 악용하는 것뿐입니다. 그러나 대부분의 경우, 압수된 아이폰은 이미 켜져 있으며 "암호 해제 후 상태(AFU)" 즉, After First Unlock 상태입니다. 이 상태에서는 기기가 더 취약하며, 많은 암호화 키가 퀵 액세스 메모리에 저장되어 있으므로 일부 운영 체제 취약점이 이러한 키를 노출시킬 가능성이 더 높습니다. Cellebrite UFED와 같은 장치들은 일반적으로 암호화를 해독하지는 않지만, 해독을 우회하는 방법을 찾아내도록 설계되어 있습니다. AFU 상태와 BFU 상태의 동작 방식과 차이는 전화 수신 시의 화면 표시에서도 명확하게 확인할 수 있습니다. AFU 상태에서는 주소록에 저장된 경우 전화를 걸 때 통화자의 이름이 표시되지만, BFU 상태에서는 번호만 표시됩니다. 이는 주소록을 해독하기 위한 키가 메모리에 아직 없기 때문입니다. 셀리브라이트는 도구의 작동 방식에 대한 구체적인 세부 정보는 제공하지 않지만 패킷 스니핑이나 이미지 분석과 같은 기술을 사용하여 데이터를 추출하는 것으로 알려져 있습니다. 패킷 스니핑이란 데이터 패킷을 가로채서 분석하는 기법을 의미합니다. 일부 추출된 데이터를 쉽게 확인하고 분석하기 위해, 셀리브라이트는 소프트웨어를 제공하고 있습니다. 이 소프트웨어를 통해 법 집행 기관은 설치된 앱, 브라우저 및 위치 기록, 소셜 미디어 등의 데이터를 조회할 수 있습니다. 이와 유사한 도구는 클라우드 기반 증거물에도 존재합니다. 소셜 미디어 사이트와 클라우드 저장소의 데이터는 셀리브라이트 UFED Cloud 소프트웨어에서 확인할 수 있지만, 이미 로그인 자격 증명이나 추출된 토큰과 세션 쿠키를 통해 접근하는 경우에만 가능합니다. 셀리브라이트는 클라우드 계정 해킹을 통해 데이터에 접근하는 것은 아닌 것으로 보입니다. 2020년 10월 뉴욕 타임즈 기사에 따르면, 셀리브라이트는 150개 국가에서 7,000개 이상의 고객을 보유하고 있습니다. 이 회사는 법 집행 기관뿐만 아니라 공항이나 학교 등에서도 사용되고 있습니다. 미국 일부 학교 지역에서는 이러한 포렌식 기술을 사용하여 학생들의 핸드폰을 수색하는 권한을 가지고 있습니다. 전 세계적으로 데이터 암호화에 대한 후방통로 요구와 장치 보호 수준의 약화를 요청하는 나라가 늘어나면서, 추출 장치의 이용 가능성이 증가함에 따라 스마트폰과 같이 매우 개인적인 아이템의 부당 검색 가능성도 더욱 늘어날 가능성이 있습니다. 대부분 학생과 같은 사용자들은 어떻게 개인 핸드폰 데이터를 보다 효과적으로 보호할 수 있을까요? 그 답은 매우 간단합니다. 더 긴 장치 패스코드를 사용하는 것입니다. 아이폰은 기본 PIN 잠금에서 복잡한 알파벳과 숫자를 포함한 암호로 쉽게 전환할 수 있는 기능을 제공합니다. 6자리 PIN은 일반적으로 몇 시간 안에 추측할 수 있지만, 문자와 숫자를 포함한 10자 이상의 암호를 사용하면 필요한 추측 시간이 몇십 년으로 증가합니다. 많은 아이폰은 다섯 번 사이드 버튼을 눌러 패스코드를 비롯한 다른 잠금 기능을 즉시 비활성화할 수도 있습니다. 이 두 가지 방법을 사용하여 누구나 쉽게 기기 보안을 강화할 수 있습니다. 어쨌든, 여러분은 이러한 기술적인 능력에 접근할 수 있는 주체가 누구인지에 대해 어떻게 생각하시나요? 여러분의 의견을 공유해보세요. 그럼 다음 비디오에서 뵙겠습니다.

결론(Conclusion)

범죄 수사 중인 경찰은 스마트폰을 증거로 사용하기를 원할 때 종종 기기에 쉽게 접근할 수 없다는 문제에 직면합니다. 대부분의 최신 장치는 패스코드나 생체 인식을 사용하여 데이터를 보호하고 있기 때문입니다. 법 집행 기관은 그레이시프트, 셀리브라이트와 같은 사립 정보 회사에서 개발한 전문 도구를 사용하여 이 문제를 극복하려고 합니다. 이러한 도구들은 암호를 우회하지 않지만, 암호화를 우회하는 방법을 찾아냅니다. 예를 들어, Cellebrite의 UFED 기기는 몇몇 아이폰 모델의 패턴과 비밀번호를 우회하여 데이터를 추출할 수 있습니다. 하지만 암호 해제 전 상태에서는 셀리브라이트 등의 회사는 유의미한 데이터를 추출할 수 없는 것으로 보입니다. 또한, 법 집행 기관은 기기의 암호화 상태에 따라 데이터 추출 가능성이 달라진다는 사실을 고려해야 합니다. 일반적으로 스마트폰은 암호 해제 후 상태에서 취약합니다. 이 상태에서 많은 암호화 키가 메모리에 저장되어 있기 때문에 취약점이 더 발생할 수 있습니다. 법 집행 기관들은 셀리브라이트와 같은 회사들이 제공하는 도구를 사용하여 추출된 데이터를 확인 및 분석할 수 있습니다. 이러한 도구는 앱, 브라우저 및 위치 기록, 소셜 미디어 등의 데이터를 살펴볼 수 있는 간단한 인터페이스를 제공합니다. 셀리브라이트는 전 세계적으로 수많은 법 집행 기관과 고객을 보유하고 있으며, 스마트폰 추출 장치의 사용이 증가함에 따라 부당 검색의 우려가 커지고 있습니다. 그러므로 개인 스마트폰 데이터를 더 잘 보호하기 위해 사용자들은 더 긴 장치 암호를 사용하고 다양한 잠금 기능을 활용할 수 있습니다. 이러한 보안 조치를 취하는 것은 모든 사람들에게 추천되는 조치입니다. 스마트폰 추출 도구와 관련된 기술적 권한에 대해 고려해야 할 사안도 있습니다. 개인 정보 및 개인 장치의 보호에 관한 중요한 문제이기도 합니다. 어떤 경우에 기술적 위력에 접근할 권한을 가지는 것이 바람직한지에 대한 의견은 여전히 의논의 여지가 있습니다. 이 문제에 대한 의견을 나누어 보는 것은 중요한 사회적 논의를 이끌 수 있는 좋은 시작입니다.