에어드랍 기능은 아이폰 사용자가 가까운 거리에 있는 다른 사용자에게 편리하게 파일과 이미지를 전송할 수 있어, 많은 사용자가 애용하는 기능이다. 혹은 대중교통 안에서 누군가가 웃긴 이미지를 보내 지친 일상 속에서 소소한 웃음을 주기도 한다.
만약, 에어드랍 기능을 일상 속에서 자주 사용했다면, 앞으로 에어드랍 기능 사용에 주의하기를 바란다.
에어드랍과 함께 개인 정보 새어 나간다
미국 온라인 테크 매체 Ars테크니카가 iOS와 맥OS 기기의 에어드랍 기능 때문에 사용자 이메일 주소와 연락처가 대거 유출됐다고 보도했다. 더 심각한 점은 에어드랍 기능 때문에 발생한 정보 유출을 막을 뚜렷한 해결책이 없다는 사실이다.
에어드랍 기능 사용 시 활성화되는 블루투스는 파일 전송자 연락처와 이메일 주소의 암호화 해시 일부분을 포함한다. 이때, 일정 숫자나 텍스트를 입력하면 256비트로 이루어진 이진수 값을 출력하는 해시 함수인 SHA-256의 일부분도 포함되어 있다. 그리고, 에어드롭으로 파일이나 이미지를 전송할 때, 기기 정보와 관련된 SHA-256 해시 함수 값을 전송하게 된다.
물론, 해시를 정확한 텍스트로 다시 변환할 수는 없다. 그러나 명확한 텍스트의 예측 불가능한 특성이나 임의성에 따라 종종 에어드랍 전송자의 이메일 주소와 연락처 정보를 얼마든지 유추할 수 있다. 따라서 해커는 무차별 대입 공격에 이를 얼마든지 악용할 수 있다.
게다가 주변의 다른 기기가 해시 상세 정보에 반응한다면, 원격으로 공유 기능을 실행할 수 있다. 다만, 이는 해커의 연락처나 이메일 정보가 에어드랍 기능 수신자의 기기에 이미 저장된 상태일 때만 실행할 수 있다.
많은 사이버 보안 연구원이 2019년 5월, 애플에 에어드랍의 문제점을 보고했다. 그리고 18개월 뒤, 애플은 에어드랍 기능의 프라이버시를 강화한 '프라이빗 드랍(PrivateDrop)'을 제작했다. 파일과 이미지를 공유하는 당사자 모두가 개인 정보 유출 위험성이 있는 해시를 공개하지 않고, 프로세스를 수행할 수 있도록 암호화 기법이 적용됐다.
프라이빗 드랍, 완벽한 해결책 아니다?
애플은 에어드랍 기능의 문제를 보완하기 위해 프라이빗 드랍 기능을 제작했다. 그러나 애플은 iOS 14.5 업데이트 배포가 시작된 현시점까지 에어드랍 문제 해결과 관련해 어떠한 내용도 공식적으로 발표하지 않았다.
또, 프라이빗 드랍 기능을 공식 배포할 계획이 있는지도 전혀 밝히지 않았다.
이와 관련, 일부 전문가는 지금도 iOS 기기나 맥OS 기기에서 에어드랍 기능을 실행하는 것 자체가 적어도 기기의 해시값을 외부로 유출하는 것과 같은 뜻이라고 지적했다. 그리고, 간혹 에어드랍 기능을 활성화한 것만으로도 상세 개인 정보 유출에 노출되었음을 의미한다고 덧붙였다.
또, 독일의 다름슈타트 공과대학교 소속 보안 연구원인 크리스티안 바이너트(Christian Weinert)는 현시점에서 에어드랍 때문에 발생하는 개인 정보 유출을 막을 유일한 방법은 에어드랍을 절대로 전송받지 않도록 설정하는 것이라고 강조했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
