2년 전 발견된 ‘에어드랍’ 보안 결함이 아직도?

- Advertisement -

아이폰에서는 에어드랍(AirDrop)이라는 기능을 제공한다. iOS7부터 적용되기 시작했다. 무선을 통해 손쉽고 빠르게 파일을 공유하는 기능이다. 아이폰이나 아이패드, 맥북 등 가까이 위치한 애플 기기 간 파일을 공유하게 한다. 약 10미터 이내 에어드랍 지원 기기를 자동으로 감지한다. P2P 연결 방식이며 와이파이(Wi-Fi)와 블루투스 기능을 켠 상태에서 암호화된 데이터를 주고받는다.

이렇듯 애플 기기 사용자의 편의를 돕는 에어드랍이지만 최근 보안상 문제가 있다는 연구 결과가 나왔다.

(출처:다름슈타트 공과대학)

지난주 독일 다름슈타트 공과대학(TU Darmstadt) 컴퓨터과학부 연구진은 애플의 에어드랍 기술에 보안 결함이 발견됐다는 내용을 담은 보고서를 공개했다. 아이폰으로 에어드랍을 사용하는 과정에서 사용자의 전화번호와 이메일 주소가 노출된다고 설명했다. 해당 정보가 노출되는 것을 사용자는 알지 못하며 전혀 모르는 사람이 이를 탈취할 수 있다고 주장했다.

에어드랍 설정 옵션은 ‘수신 끔(Receiving Off)’, ‘연락처만(Contacts Only)’, ‘모든 사람(Everyone)’ 총 3가지다. 사용자는 이 중에서 하나를 선택해서 기능을 사용하게 된다. ‘수신 끔’은 기능 자체를 비활성화한다. ‘연락처만’은 주소록에 있는 사람만 파일을 받을 수 있다. ‘모든 사람’은 아이폰이나 아이패드 사용자와도 파일을 교환할 수 있다.

연구진이 문제 삼은 설정은 ‘연락처만’이다. 이는 에어드랍 기본 설정이기도 하다. 해당 설정은 상대방의 휴대전화 번호나 이메일 주소가 사용자에게 저장된 경우에만 파일을 주고받을 수 있다.

‘연락처만’ 기능을 활성화하면 근처에 있는 사용자를 찾기 시작한다. 에어드랍이 켜진 기기가 발견되면 저장된 사용자인지 확인하기 위해 사용자의 전화번호와 이메일 주소를 상대방의 주소록과 확인하는 인증 절차를 밟는다. 시스템은 이 과정에서 사용자의 전화번호와 이메일 주소를 보호하기 위해 해시 함수를 사용한다. 하지만 연구진은 해싱 함수를 잘못 사용하는 바람에 충분한 데이터 보안이 이뤄지지 않는 것을 발견했다.

(출처:Apple)

해킹에 대한 지식이 있는 사람이 마음만 먹으면 전화번호와 이메일 주소를 알아낼 수 있다고 설명했다. 아이폰뿐만이 아니라 아이패드나 아이맥도 해당된다. 상대방에 대해 아무것도 몰라도 상관없다. 정보를 탈취하는 데 필요한 건 와이파이와 iOS나 맥OS를 지원하는 장치만 있으면 된다. 수집된 데이터는 다른 유형의 공격에 악용될 수 있다.

연구진은 에어드랍을 대체하는 솔루션인 ‘프라이빗드랍(PrivateDrop)’을 개발해 모두가 볼 수 있도록 깃허브(GitHub)에 공개하기도 했다. 프라이빗드랍은 보안에 취약한 해시 값을 교환하지 않고도 안전하게 데이터 교환을 수행하도록 만들었다.

100% 완벽한 보안을 자랑하는 기술은 없다. 누군가 보안 취약점을 찾아내면 이를 개선하면 될 일이다. 하지만 다름슈타트대 연구진은 에어드랍 보안 결함 사실을 이미 2년 전인 2019년 5월에 애플 측에 전달했다. 애플은 에어드랍의 보안 결함을 인정하지 않고 있으며 지금까지도 문제점을 개선하겠다는 입장은 밝히지 않았다고 말했다.

해당 에어드랍 결함에 대한 연구 결과는 8월에 열리는 유즈닉스(USENIX) 보안 심포지엄에서 발표될 예정이다. 연구진은 해결책이 나오기 전까지 에어드랍 기능을 비활성화하고 기능 사용을 자제할 것으로 권고했다.

테크플러스 에디터 나유권

tech-plus@naver.com

- Advertisement -

Related Stories