굳게 잠긴 아이폰 암호가 무엇인지 알려주는 장치 ‘그레이키(GrayKey)’ 매뉴얼이 유출됐다. 미국 스타트업 그레이시프트가 제작한 작은 박스 형태의 그레이키는 미국, 영국을 포함한 각국 정보기관, 수사 기관 대상으로 엄격한 통제 하에 판매되며 세부 내용은 철저한 보안에 가려져있었다.
iOS 보안이 점차 강화되며 범죄자의 아이폰 암호 해독에 애태우는 수사기관은 애플 측에 도움을 요청하고 있으나 애플은 불가능하다는 입장만 반복할 뿐이다. 수사기관은 대안으로 아이폰 잠금을 푸는 장치를 비공식적으로 사용하는 실정이다. 잠금 해제 방법이 외부에 유출될 경우 애플이 차단하거나 다른 범죄에 악용될 수 있어서다. 철저한 보안 유지가 생명인데 어째서 외부에 유출된 것일까.
아무튼 유출된 그레이키 매뉴얼에는 “해당 애플 모바일 기기에 대한 적법한 수사 권한이 있는지 확인하라.”라는 문구가 적혀 있다. 그레이키는 아이폰을 열기 위해 단순하지만 강력한 무제한 암호 입력 방식을 사용한다. ‘crackstation-human-only.txt’ 텍스트 파일에는 약 15억 개의 단어, 문자, 숫자 조합이 포함돼 있고 이 데이터를 무작위 무제한 입력하는 식이다. 물론 수동 입력도 가능하다.
아이폰은 여러 번 잘못된 암호를 입력하면 일정 시간 이후에 다시 암호를 입력할 수 있고 간격은 점점 늘어난다. 그레이키는 이를 우회해 암호를 무제한 입력하고 데이터를 추출하는 앱을 강제 설치하는 기능을 한다. 실제 작업은 앱이 처리하는 방식이다.
매뉴얼은 전원이 켜진 상태, 꺼진 상태, 배터리가 2-3%일 때, 화면이 파손됐을 때 등 다양한 상황의 잠금 해제 방법이 기록돼 있다. 잠금 해제 후 즉시 데이터 추출 옵션, 추출할 데이터 종류 지정, 그레이키 사용 흔적 지우기 등 옵션도 다양하다. 수사기관이 암호를 풀지 못한 척하고 아이폰을 되돌려줬더라도 안심하기 이르다. 사용자 몰래 다른 앱을 설치하고 숨길 수 있는 ‘HideUI’ 때문이다.
그레이키와 같은 장치는 구입부터 폐기까지 엄격하게 관리된다. 기기 또는 기술 유출 시 심각한 범죄로 이어질 수 있기 때문이다. 그럼에도 완벽한 통제는 쉽지 않다. 이베이에 비슷한 장치가 경매로 등록됐을 때 해당 업체가 긴급 대응한 사례도 있다.
