하수상한 시절의 망상) 검찰에서 핸펀 비번 좀 풀어보라고 하면 풀어야 할까요? ㅡㅡ;
사이버망명 붐이라고 해서 텔레그램 깔아봤는데 친구가 별로 없네요. 카톡이 위협을 느낄 수준은 아닌 것 같습니다. 텔레그램을 150만명이 받았다고 하는데 그 사람들이 다 카톡을 지운 건 아닐테니까요. 하여간 이런 보안 문제 관련해서 문득 궁금증이 생겼습니다.
얼마전 애플에서 iOS 8.0 을 발표했죠. 그 장점 중의 하나로 내세운 것이 보안성이었습니다. 그땐 나온 표현 중 하나가 검찰이 영장을 받아와도 애플이 폰에 있는 정보를 빼줄 길이 없다는 것이었는데요. 즉 검찰이 어디선가 가져온 폰과 "이 폰에서 정보를 뽑아다 바치라"는 영장을 동시에 제시한다고 해도, 소유주가 비번을 풀어주기 전에는 애플로서도 잠겨있는 폰에서 정보를 빼낼 수 없을 정도로 보안성을 강화해버렸다는 내용이었습니다. 얼마 전 시사프로에서 비번 잠긴 안드로이드폰을 고딩들에게 주고서 풀어보라고 하니 바로 푸는 꼴을 보고나니 비교가 되는게... 앞으로도 한동안은 아이폰을 쓰게 되지 않을까 싶네요. ㅡㅡ;
사실 살면서 평생 검찰에 압수수색 당할 일이 있겠나 싶습니다만, 요즘 참 별 생각을 다 하고 살게 되네요.
예를 들어 무슨 일로건 제 폰에 대한 압수수색 영장이 나오고, 검찰이 제 폰을 낚아 챈 상황에서, 이 폰 비밀번호 풀라고 하면 전 풀어줘야 할 의무가 있는 걸까요? 아니면 재주껏 풀어서 들여다 보시던가 라고 배째도 되는 걸까요. 영장이 집행될 때 폰을 안내놓겠다고 버티는 건 공무집행방해라고 알고있는데, 순순히 내주고서 비번은 안풀어주겠다고 하는 건 과연 어떻게 판단될까 하는 궁금증이 드네요.
하긴 제가 정말 중요한 타겟이라면 걍 0000부터 9999까지 다 넣어봐서 풀겠죠. ㅡㅡ; 2초씩 걸린다고 치면 2만초니까 6시간이면 풀리겠다고 생각했는데 중간에 몇 번 틀리면 1분씩 잠겨버리니까 그것보단 훨씬 더 걸리겠군요 ㅎㅎ 그래도 뭐 하루 이틀이면 ㅡㅡ
iOS8 부터 비밀번호 10번 틀리면 아예 폰에 있는 데이터를싸그리 없애버리는 기능이 추가되었습니다(....)
하지만 검찰이 그만큼 표적수사를 할 정도의 주요(?)인물이라면, 솔직히 핸드폰 잠그는 정도는 크게 의미가 없다고 생각하지만요.
개인적으론 그런 스케일의 죄를 지을 능력도 없는데 회사 일 때문에 당해본 경험이 있는 사람들은 꽤 있는듯 합니다.
그정도는 자기네가 알아서 풉니다.
일단 영장이 나왔다면 가져가서 기계에 돌려서 지워진 것까지 자료 생성도 다 해낼 수 있습니다.
풀어달랠때 풀어주면 미운털?은 덜박힐 수 있습니다...만..
그것도 지나고 나니 적극 협조해가며 그리 절절 맬 일도 아니였던 듯...
하~~~USB를 순순히 내주는게 아니였는데(어떤 기계를 포트에 꼽더니 몇시 몇분에 꼽은 삼성USB를 내어놓으라 하더군요.)
그렇다면 애플이 과장광고를 했거나 한국 검찰 사이버 포렌식 팀의 실력이 그 폰과 OS를 직접 만든 애플보다 뛰어나다능.. ㅎㄷㄷ.. 하긴 예전에 오락실에 보급되던 게임기 중에는 일본 본사에서 엄청 보안을 걸어서 복제하려면 100년은 걸린다고 했던게 우리나라에서 세운상가를 거치고나니 며칠만에 복제되어 팔려나갔다는 말도 있었습니다만.. ㅎㅎ
여름숲님께서 말씀하신 지워진 정보 복구, OS 로그 분석 등은 어려운 일이 아닙니다. iOS의 암호화는 사용자 패스코드 없이 복호화가 매우 어렵습니다. 다만 문제는 4자리 패스코드라면 손으로 입력해도 어렵지 않고, 만약 폰의 스토리지에 직접 접근해서 처리한다면 0.1초도 안 걸릴 거라는 거죠. 전자는 현자님 말씀하신 방법으로 피할 수 있지만, 스토리지에 직접 접근한다면 방법이 없죠. (이게 가능하단 증거는 없지만, 딱히 안 될 이유도 없습니다.) 그래서 최소한 제대로 된 비밀번호 정도는 사용하는 것이 좋을 겁니다. 하지만 폰 언락할 때마다 그거 입력해서 쓰는 건 정말 귀찮은 일이죠. 결국 민감한 정보는 따로 보안이 더 높은 방식으로 저장하는 편이 훨씬 낫겠네요. 참고로 iOS 8.0 방식의 암호화는 Android L에도 도입된다고 합니다. 암호화 때문에 아이폰을 쓰실 필요는 없을 것 같네요. (삼성이나 LG에서 백도어를 넣을까 걱정하신다면 모르지만..)
로그인하라고 시키는 데 안하면 수사 방해로 볼 수 있을 것 같습니다. (미국에선 반드시 주게 되어있다는 얘길 봤습니다.) 어쩌면 이걸 빌미로 증거 인멸 의도가 있다 하여 구속 영장이 나올지도 모르죠. 하지만 얼마전 어떤 분이 gmail 로그인하라고 시켰는데 계정 삭제해서 못한다고 하니 어쩔 수 없이 넘어가더란 글을 봤습니다. 참고로 TrueCrypt 같이 진지하게 암호화를 하는 프로그램이라면, 실제 암호화된 내용이 있는지조차 알 수 없도록 암호화해서 저장하는 기능도 있습니다. 또한 진짜 비밀번호 외에 가짜 비밀번호를 따로 지정해서, 가짜 비밀번호를 넣으면 다른 내용이 보이게 하는 기능도 있습니다.