해커집단 안티섹(AntiSec)이 미국 연방수사국(FBI) 요원 노트북을 해킹해 입수했다며 100만개의 애플 모바일기기 제품식별코드(UDID)를 인터넷에서 공개해 파문이 일고 있다. 모바일 보안 허점이 통째로 드러난 셈이다.

◆애플 모바일기기 정보 유출

안티섹은 “FBI 뉴욕지부 요원 크리스토퍼 스탱글이 사용하는 노트북을 지난 3월 해킹해 애플 모바일기기(아이폰 아이패드 아이팟터치) 1236만대의 UDID 목록이 담긴 파일을 입수했다”며 이 파일을 내려받을 수 있는 사이트와 암호를 푸는 방식을 공개했다. 파일에는 사용자명 제품명 전화번호도 일부 포함됐다.

UDID는 제품에 부여하는 40자 식별코드다. 숫자와 문자가 섞여 있고 암호화한 상태로 저장된다. 자동차 엔진에 붙어있는 고유의 차대번호와 비슷하다. UDID와 해당 제품 사용자의 개인정보가 알려지면 특정인 추적 용도 등으로 악용할 수 있다. 안티섹 폭로 내용이 사실이라면 FBI가 애플 제품 UDID 등을 통해 민간인을 사찰했다는 얘기가 된다.

FBI 측은 즉각 부인했다. 안티섹이 공개한 파일이 FBI 요원 노트북에서 유출됐다는 증거가 없고, FBI는 그런 파일을 보유하지 않고 있다고 해명했다.

현재로서는 어느쪽 주장이 맞다고 단언할 수 없다. 안티섹이 다른 곳에서 파일을 훔쳐온 뒤 FBI에 뒤집어씌웠을 수도 있다. FBI가 잡아떼는 것일 수도 있다.

◆쌍둥이폰 등 악용 가능성

안티섹은 위키리크스 창시자 줄리언 어산지를 옹호하고 미국 온라인해적금지법(SOPA)을 반대했던 해커 집단 어나니머스의 별동대다. 보복을 서슴지 않는 해커들이 주도하고 있다.

‘안티섹’에는 ‘보안(security)’을 ‘반대한다(anti)’는 뜻이 담겨 있다. 안티섹이 이번에 FBI를 공격한 것은 FBI가 최근 다수의 해커를 잡아들였기 때문으로 보인다.

안티섹이 폭로한 애플 제품의 UDID와 개인정보 수집 경위는 밝혀진 게 없다. 모바일 앱(응용프로그램) 중에는 고객의 동의를 받거나 몰래 UDID를 수집하는 앱이 적지 않다. UDID는 그 자체로는 크게 문제가 될 게 없지만 개인정보와 함께 노출되면 악용될 수 있다.

국내 해커 A씨는 “UDID와 몇 가지 정보만 있으면 쉽게 ‘쌍둥이폰’을 만들어 통화를 엿듣거나 메시지를 엿볼 수 있고 모바일 뱅킹 계정을 훔칠 수도 있다”고 말했다. 그는 “애플이 UDID와 개인정보를 FBI에 넘겼을 가능성은 거의 제로라고 보지만 중요한 데이터(UDID 정보)의 암호가 오픈소스 프로그램으로도 풀릴 만큼 허술하다면 비난받아 마땅하다”며 “애플은 지난해 아이튠즈가 뚫린 적도 있다”고 지적했다.

◆모바일기기 보안 취약

월스트리트저널은 UDID를 1년 이상 연구한 보안 전문가의 말을 인용해 “UDID를 1000만건 이상 보유하고 있는 기업도 대여섯개는 된다”고 보도했다.

국가나 기업이 개인의 모바일 정보를 악용한다면 조지 오웰이 염려했던 ‘빅 브러더’ 사회가 올 수도 있다. 해커 A씨는 “정보기관이 모바일 정보를 가지고 있다는 것은 매우 위험하다”며 “FBI가 하는 일을 다른 나라 정보기관이 못하겠느냐”고 반문했다.

안티섹의 폭로 글에는 ‘국민이 정부를 두려워하면 독재가 된다’는 토머스 제퍼슨의 경구도 들어 있다. 문제는 마땅한 대안이 없다는 사실이다.

위치기반 서비스나 맞춤형 모바일 광고 서비스 등을 제공하려면 제품을 식별할 수 있어야 하는데, 고객이 보유한 제품 정보를 수집하다 보면 이번과 같은 사태가 언제든지 생길 수 있다는 것이다.

김광현 IT전문기자 khkim@hankyung.com