[아이티데일리] FBI(미연방수사국)와 FSB(러시아연방보안국) 양쪽이 사용하고 있는 휴대전화 해석 도구가 애플의 iOS(운영체제)에 있는 보안 허점을 이용하고 있다는 의혹이 모스크바에서 열린 재판에서 제기됐다고 포브스지가 보도했다.
러시아 휴대전화 분석업체 2곳의 법정 분쟁에서 애플 운영체제 iOS16에 제로데이 취약성이 있을 가능성이 밝혀졌다는 것.
블라디미르 카탈로프 CEO가 창업한 러시아 기업 엘컴소프트(Elcomsoft)는 경쟁 관계에 있는 MKO시스템즈를 제소한 재판에서 iOS16이 작동하는 아이폰에 침입해 숨겨진 비밀번호, 위치정보, 열람 이력, 사진 등 개인정보를 취득하는 코드를 MKO가 자사에서 훔쳤다고 주장하고 있다. 엘컴소프트의 고객인 법 집행기관에서 이 도구들은 매우 유용하며 잠금 해제된 아이폰에서 정상적인 방법보다 더 많은 데이터를 추출할 수 있다는 주장이다.
보도에 따르면 그런 조사 도구가 기밀 데이터를 수집하려면 iOS의 취약성을 이용해야 한다. 보안 전문가 브루스 슈나이어에 따르면 이 같은 도구는 제로데이로 알려진 패치가 적용되기 전의 결함이나 iOS16의 취약성을 이용할 가능성이 크다. 그러나 전 NSA(국가안보국) 직원이자 현재 사이버보안 분석업체 IANS리서치에 재직 중인 제이크 윌리엄스는 해커들이 아무도 모르는 데이터 구조나 난독화 알고리즘을 리버스 엔지니어링하고 있을 가능성이 높다고 말했다. 애플이 지난 9월 공개한 iOS17이 같은 영향을 받을지는 알려지지 않았다.
카탈로프는 그의 소프트웨어가 이용하고 있는 취약성 내용에 대해 언급을 피했다. 애플 역시 이에 대한 포브스의 질문해 언급하지 않았다고 한다.
엘컴소프트가 고소한 상대는 MKO뿐이지만 이 소송에서는 도난당한 같은 코드가 미국의 경쟁사인 옥시젠포렌식(Oxygen Forensics)의 아이폰 해석 제품에서도 사용되고 있다고 주장하고 있다. 옥시젠은 MKO 설립에도 협력한 2명의 러시아 기업가 올레그 페드로프와 올레그 다비도프가 창업한 회사다.
만약 엘컴소프트의 주장이 맞다면 iOS 해킹 코드는 현재 러시아와 미국의 법 집행 또는 정보기관의 손에 있는 셈이다. 정부 계약 기록에 따르면 엘컴소프트의 도구는 FBI 및 국경경비국이 사용하고 있으며 러시아 공안 정보조직인 FSB에도 제품을 판매하고 있다. 또 옥시젠은 미국 전역의 연방기관과 수많은 계약을 맺고 있으며 FBI, 이민관세국(ICE), 국경경비국(CBP)도 포함된다. 한편 MKO의 기술은 러시아 FSB 및 내무부에 판매됐다고 MKO 소프트웨어 판매 파트너사가 웹사이트에 쓰고 있다.
결국 미국과 러시아의 무수한 정부 기관이 iOS16이 작동하는 잠금 해제된 아이폰에 깊숙이 접근할 수 있다는 것이다. 아이폰의 소유자가 테러리스트든, 길거리 범죄자든, 불법체류자든, 혹은 저항 운동가든 불문이다.
포브스는 러시아 정부가 iOS16의 보호를 깨는 도구를 이용할 수 있다는 사실은 우크라이나 전쟁을 감안할 때 큰 우려가 된다고 지적한다. 러시아가 우크라이나에서 몰수한 휴대전화기를 분석하고 있는 것은 틀림없다고 윌리엄스는 말한다.
모스크바 중재재판소에 11월 말 제출된 이번 소송에서 엘컴소프트는 자사가 소유한 iOS 해킹 코드를 MKO가 빼내 동사의 해석 제품에 거의 변경 없이 사용하고 있다고 주장했다. 엘컴소프트는 소송을 제기하기 전 MKO에 대해 해당 코드를 포함한 소프트웨어 라이선스 판매 중단과 배상금 500만 루블 지급을 요구했다. 이에 대해 MKO 변호인단은 어떠한 지적재산 절도도 하지 않았다고 부인했다.
엘컴소프트는 소장에서 옥시젠의 사명을 거론하고 있지만, 이 회사를 고소하지는 않았다. 그러나 엘컴소프트의 주장은 옥시젠과 러시아와의 관계를 강조하고 있으며, 이는 옥시젠이 FBI, ICE 및 CPB와 계약하고 있는 것을 감안할 때 주목되는 사항이다.
옥시젠과 러시아의 연결고리가 미 국가안보 우려를 불러 일으키고 있다. 엘컴소프트가 주장하는 코드 절도 의혹을 감안할 때 상황은 나빠졌다. 윌리엄스는 "옥스젠을 사용하는 정부 기관은 자신들의 위험성을 평가할 필요가 있다“고 지적했다.
옥시젠은 최근 러시아와 거리를 두려고 하고 있다. 회사는 2013년 버지니아 주에서 사업을 시작했다. 그러나 2017년에도 소프트웨어는 계속 러시아에서 개발되었고 이후 미국으로 출하됐다. 옥시젠은 현재 전 아이다호 보이시경찰서 수사관이었던 리 라이버가 이끌고 있어 표면적으로는 러시아와 단절된 것으로 보인다.
포브스는 그러나 자체 조사 결과 옥시젠과 러시아 사이에 남는 연결고리를 발견했다고 전했다. 바로 키프로스에서 등록된 옥시젠포렌식이라는 회사다. 이 회사의 이사인 막심 비알코프는 러시아 전화번호를 사용하여 다양한 해석 전문 사이트에 등록하고 있다. 그는 올 2월까지 옥시젠의 미국 사업 이사로 등록돼 있었으나 이후 회사 결산 자료에서 삭제됐다.
국제조사보도언론인연합의 최근 보고에 따르면 키프로스는 스파이웨어 기술에 대한 감시의 눈이 없어 정부를 대신해 휴대전화 해킹을 하는 전문기업의 허브가 되고 있다.