애플 라우터 겸 네트워크 저장소인 타임캡슐(Time Capsule)을 사용하는 모습을 상상한 지 꽤 오래되었을 것이다. 2008년 처음 출시되었다가 2018년 단종된 타임캡슐은 기기 사용 시간이 대거 단축되었다. 따라서 개인 보안 연구원인 매튜 브라이언트(Matthew Bryant)가 최근, 영국 이베이에서 38달러(미국에서 영국까지 추가 배송비 40달러 이상)를 구매했을 때 단조로운 흰색의 거대한 기기인 타임캡슐이 세계 각지로 이동하던 여정의 마지막이라고 생각했다. 하지만 제품 배송을 받은 뒤 예상치 못한 문제를 발견했다. 브라이언트가 발견한 것은 2010년대 유럽 전역 애플스토어용 메인 백업 서버 사본으로 확인된 다량의 데이터이다. 브라이언트가 발견한 데이터에는 서비스 티켓, 직원 은행 계좌 데이터, 기업 내부 문건, 이메일 등이 포함되었다.
브라이언트는 와이어드의 취재에 “상상할 수 있는 모든 민감 데이터를 발견했다. 파일은 드라이브에서 삭제된 상태였으나 직접 포렌식 작업을 했을 때는 파일 내용이 비어있지 않다는 사실을 확인했다”라고 전했다.
브라이언트가 타임캡슐에서 데이터를 발견한 것은 단순한 우연이 아니었다. 브라이언트는 2024년 8월 10일(현지 시각), 라스베이거스에서 열린 데프콘(Defcon) 보안 콘퍼런스에서 이베이, 페이스북 마켓플레이스, 중국 전자상거래 플랫폼 샨유(Xianyu) 등에 판매 제품으로 등록된 중고 전자기기에서 수집한 데이터 분석이라는 수개월간의 프로젝트를 진행하면서 발견한 사항을 발표했다. 브라이언트는 중고 기기에서 데이터를 수집한 뒤 컴퓨터 비전 분석 작업을 통해 기기가 한때 기업 IT 부서 소유 기기였는지 확인하고자 했다.
브라이언트는 업무용 기기, 기업 시제품, 제조 장비 등을 대거 구매하는 중고 기기 판매자가 제품의 중요성을 제대로 인지하지 못하는 때가 많다는 사실을 인지하게 되었다. 이후 제품 태그나 설명을 결합하여 기업의 귀중한 정보를 찾을 수는 없었다. 대신, 광학 특성 인식 처리 클러스터를 고안하여 아이폰 SE 2세대 제품 복제품 수십 대를 하나로 묶고는 애플 라이브 텍스트 광학 문자 인식 기능을 활용하여 제품 태그, 바코드, 기타 등록 사진 속 기업 라벨로 추정되는 정보 등을 찾았다. 시스템은 신규 등록 목록도 모니터링했다. 일치할 수도 있는 목록을 발견했을 때 브라이언트는 경고 알림을 받고 기기 사진을 직접 평가할 수 있었다.
[사진=Unsplash]
타임캡슐의 예시를 언급하자면, 기기 하단의 라벨에 남아있는 제품 등록 사진에는 “애플 컴퓨터 전용, 장치 비용”이라는 문구가 남아있었다. 브라이언트는 타임캡슐 평가 후 애플에 발견 사실을 알렸다. 결국, 애플 런던 보안 사무실에서 타임캡슐을 보내달라고 요청했다. 애플은 브라이언트의 연구 내용과 관련한 와이어드의 문의에 바로 답변하지 않았다.
브라이언트는 “개념 증명을 논의하는 주요 기업은 애플이다. 애플이 가장 완성도가 높은 하드웨어 기업이라고 생각하기 때문이다. 애플은 모든 하드웨어를 특별히 고려하면서 자사 하드웨어 보안에 매우 신경 쓴다”라며, “그러나 포천500에 이름을 올린 다른 기업과 마찬가지로 애플 제품은 기본적으로 이베이나 다른 중고 거래 플랫폼에 판매 제품으로 등록될 것이라는 점을 확신할 수 있다. 적어도 제조사를 떠나 제품 일부분이라도 내가 보안 연구를 위해 마련한 시스템에서 경고가 없었던 제품은 없다”라고 설명했다.
브라이언트의 연구 시스템에서 발견한 또 다른 경고 사항 때문에 브라이언트는 애플 내부에서 개발자가 사용할 의도로 개발된 아이폰 14 시제품을 구매하게 되었다. 제조사가 직접 개발한 기기 시제품은 악의적인 의도로 활동하는 해커와 보안 연구원 모두 손에 넣고자 열렬히 원하는 제품이다. 시제품에서 운영하는 운영체제는 종종 소비자 제품에 배포된 운영체제보다는 제한 사항이 적은 iOS 특별 버전을 운영하면서 플랫폼 심층 분석 정보를 얻을 수 있는 귀중한 디버깅 기능을 포함하기 때문이다. 애플은 특정 연구원에게도 비슷한 기기를 제공하는 프로그램을 운영하지만, 제한된 집단만 특수 설계된 아이폰을 구할 권한을 부여한다. 일부 연구원은 와이어드에 보통 특수 설계 아이폰 지급 프로그램으로 구형 아이폰 모델을 받게 된다고 전했다. 브라이언트는 165달러를 주고 개발자용 아이폰14를 손에 넣었다고 전했다.
마지막으로 브라이언트는 제조 및 생산 라인 기기에서 유독 많은 데이터가 유출된 데다가 중고 시장에서 판매 제품으로 등록된 사례가 많다고 전했다. 대다수 전자기기가 조립되는 중국의 전자상거래 플랫폼에 유독 여러 제조사의 시제품이 중고 제품으로 등록되었다. 브라이언트는 과거, 아이폰 제조 기업 중 한 곳인 폭스콘(Foxconn)에서 과거에 사용하던 제품을 구할 수 있을까 확인했다. 브라이언트는 컴퓨터 비전 시스템을 활용하여 중국 전자상거래 플랫폼 판매 제품 목록을 분석한 뒤 폭스콘 자산 관리 시스템 운영 방식과 애플의 자사 기기 라벨 적용 방식을 알아낼 수 있었다. 특히, 폭스콘 공장에서 설계된 제품의 라벨 정보를 접하기 쉬웠다. 결국, 브라이언트는 폭스콘 태그가 가득 포함된 맥미니를 발견했다. 해당 기기는 폭스콘의 품질 보증 검사 단계에서 사용한 것으로 추정되는 제품이다. 그러나 맥미니 자체는 부품으로 등록되었다. 기기를 관통하는 커다란 드릴 구멍이 분명하게 드러난 사진 때문이다.
브라이언트는 맥미니 여러 세대 제품의 도식화 이미지를 검증한 뒤 사진 속 드릴이 실제로 하드드라이브에서 데이터를 저장하는 마그네틱 트레이가 빠진 부분이라는 결론을 내렸다. 브라이언트는 폭스콘에서 사용하던 맥미니를 중국에서 주문할 기회를 얻고, 기기를 직접 검증했다. 브라이언트는 하드웨어 전문가가 아니지만, 기기를 받은 뒤 물리적 손상 때문에 제작 당시 목표에 부적합한 제품임을 추정할 수 있었다. 이후 브랜트는 맥미니를 로스앤젤레스 포렌식 연구소로 보내 드라이브의 모든 데이터를 복구할 수 있었다.
브라이언트는 “애플이 폭스콘 공장 생산 현장에서 테스트 목적으로 사용하던 내부 소프트웨어가 있었다. 그중에는 시제품과 품질보증 부서 간 소통을 위한 특수 인터페이스도 포함되었다. 맥미니에는 폭스콘의 기밀 정보와 기록도 포함되었다”라고 전했다.
브라이언트는 맥미니 분석 후 발견한 데이터를 애플에 다시 보고하고, 맥미니를 애플에 보냈다.
브라이언트의 프로젝트는 일부 기기를 소모할 수밖에 없는 정보와 자산 관리 시행과 평가를 진지하게 시행해야 하는 중요성을 모두 포함하여 기업에 보내는 경고 사항을 담았다. 해커와 데이터 거래에 혈안인 이들 모두 불량인 기업 기기를 새로 노릴 하드웨어로 추가할 수도 있다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202408/5753_7403_2018.jpg)
뉴스레터 신청