독일 보안업체 베를린보안연구랩(SRL)은 최근 출시된 애플의 아이폰 운영체제(OS) iOS7의 ‘분실·도난시 원격 데이터 삭제’ 기능이 포함된 ‘내 아이폰 찾기’(Find my iphone)에서 보안결함(버그)이 확인됐다고 이 3일(현지시간) 밝혔다.
SRL은 해커들이 이 버그를 이용하면 아이폰 내부에 침투해 이메일 계정에 접근할 수 있기 때문에 은행계좌정보까지 빼낼 수도 있다고 지적했다.
SRL은 특히 이 결함을 이용해 아이폰의 새로운 보안기능인 지문인식센서 ‘터치아이디’(TouchID)도 깰 수 있다고 주장했다.
SRL은 자신들이 발견한 보안결함을 애플 측에 알려줬다고 전했으나 애플은 이에 대한 코멘트를 거부했다.
로이터통신은 SRL이 공개한 버그가 사실로 확인되면 지난 7월 이후 아이폰과 iOS 운영체제와 관련해 공개된 5번째 보안결함이 된다고 전했다.
SRL의 생체보안기술 부문 담당 매니저 벤 슐랩스는 이와 관련해 클라우드기반 서비스 아이클라우드를 이용해 분실, 도난시 아이폰 위치를 알려주고 원격 데이터 삭제를 지원하는 내 아이폰 찾기 기능을 차단하는 새 방법을 발견했다고 주장했다.
슐랩스는 비행기 탑승시 이용하는 ‘에어플레인모드’를 이용해 아이클라우드의 통신기능이 차단함으로써 이 기능을 무력화할 수 있다고 설명했다.
그는 또 분실 또는 도난 아이폰 주인의 손가락 지문 사진을 이용해 지문모형을 만들면 ‘터치ID’까지 깰 수 있다고 말했다.
슐랩스는 이어 이용자의 이메일 주소를 확인하고 애플 웹사이트에 들어가 아이폰 주인의 비밀번호를 재설정하면 완전히 이 아이폰의 주인이 될 수 있다고 말했다.
슐랩스는 “간단한 조작으로 이메일 비밀번호까지 재설정하면 손쉽게 은행계좌정보를 포함해 아이폰 주인의 온라인 개인정보를 훔쳐낼 수 있다”고 덧붙였다.
이와 관련해 미국 텍사스주 오스틴에 있는 NSS랩스의 보안전문가 크리스 올랠레스는 보안업계에서는 터치ID를 비롯해 생체보안기술이 비밀번호보다도 안전하지 않은 것으로 알려져 있다고 지적했다.
그는 “구글의 안드로이드OS에서 내놓은 얼굴인식기능도 사진을 이용해 손쉽게 무력화시켰다”며 “생체보안시스템은 극도로 게으른 사람들을 위해 만들어진 보안장치에 불과하다”고 말했다.
/디지털미디어부