암호를 몰라도 도구를 이용해 모든 문자 조합을 무차별 시도해 돌파하는 공격 수단이나 방법을 무차별 대입 공격(Brute Force Attack)이라고 한다. 요즘 전자 제품이나 서비스는 암호 인증 실패 횟수를 제한하는 방식으로 이런 공격을 방어한다. 애플 아이폰이나 아이패드에 들어간 iOS 역시 이런 구조를 지원한다.
하지만 이런 인증 실패 횟수 제한을 회피하면서 무차별 대입 공격으로 iOS 암호를 해제하는 위협적인 장비가 있다. IP-박스(IP-BOX)가 바로 그것이다. 아이폰이나 아이패드 같은 iOS 단말기의 잠금화면 암호 인증을 무차별 대입 공격으로 뚫는 도구인 것.
보안 기업인 MDsec에 따르면 이 제품은 250파운드에 구입할 수 있다. 이 제품은 단순히 4자리 암호를 USB를 통해 입력, 모든 암호 조합을 시도하는 무차별 대입 공격을 위한 도구다. 물론 이런 도구 자체가 특이할 건 없지만 iOS가 지원하는 인증 실패 횟수 제한을 막기 위해 이 제품은 10회마다 암호 입력 정보를 삭제하는 기능까지 지원한다는 게 다르다.
IP-박스는 iOS 단말의 라이트닝 플러그에 연결한 다음 의도적으로 단말 전원을 꺼서 암호 입력 정보를 메모리에서 제거, 인증 실패 횟수 제한을 회피한다. 10회 입력마다 전원 온오프를 하기 때문에 암호 하나를 입력하는 데 걸리는 시간은 40초 가량이다. 4자리 암호를 모두 확인하려면 111시간이 걸린다. 잠금 화면 해제에 성공하면 IP-박스는 알람으로 알려줘 해제 성공을 알려준다.
전자신문인터넷 테크홀릭팀
최필식기자 techholic@etnews.com