인터넷전화 해킹해 복제한 범죄 최초 발생!


독일인 해커, 인터넷 전화 해킹해 협박하다 덜미

업체 해킹하고 인터넷전화까지 복제

흥미로운 기사가 나왔습니다.
기사를 꼼꼼히 살펴 보았더니 조금 의아한 부분이 발생합니다.

인터넷 네트워크 장비를 만드는 A 업체는 지난달 협박 이메일을 받았습니다
...
인터뷰 : E 씨 / 독일인 해커
- "잘 보면 내가 지금 당신 회사의 VoIP(인터넷전화) 전화번호 중 하나를 해킹해서 전화하고 있는 걸 알 겁니다."


,;A라는 네트워크 장비 업체에게 협박을 했다는 것이구요, A회사의 임의의 인터넷 전화의 SIP 계정을 알아 냈다는 얘기입니다. 여기에서 이상한 점을 발견할 수 있습니다. 해킹을 당한 업체가 VoIP를 서비스 업체가 아니고 장비 업체라는 얘기입니다.

경찰에 따르면, 피의자 E씨는 프로그래밍 등 IT 전문지식이 해박한 독일 대학생으로 올해 7월에서 8월경까지 독일에서 네트워크 관련 정보검색을 하는 과정에서 우연히 알게된 A사의 시스템을 해킹해 750GB 분량의 방대한 연구·기술자료, 직원 이메일 정보, 제품 설계자료 및 내장프로그램 소스코드 등을 유출한 후, 11월 말경 대학 동기인 D씨와 함께 유출 정보로 돈을 받아내기로 공모했다. 


쉽게 말씀드리겠습니다. DB가 털린게 아니라는 얘기입니다. DB(사용자들의 SIP 계정 정보)는 WYZ070, myLG070 과 같이 실제로 VoIP 서비스를 하는 업체에 있습니다. 기사에서는 이러한 서비스 업체를 해킹했다는 얘기는 전혀 없죠.

장비 업체를 해킹해서 SIP 계정 정보를 알아 냈다? 뭔가 이상하지 않나요? 사용자 DB를 해킹하지 않고 어떻게 SIP 계정 정보를 알아 냈을까요? 그리고 로컬 스니핑도 하지도 않고 A업체 단말기의 SIP 정보를 어떻게 알아낼 수 있을까요?

SIP 계정을 알아 내는 것은, 많은 분들이 아시겠지만, SIP 메세지를 직접 스니핑해서 알아낼 수 밖에 없습니다(wireshark + sip crack). 하지만 A업체에서 사용하는 VoIP 단말기의 SIP 계정 정보를 획득한 것으로 보아 단순한 스니핑에 의한 계정 탈취는 아닌 것 같습니다(한국에서 한국으로 송수신되는 패킷을 독일에서 스니핑할 수는 없는 노릇이죠). Sandro gauci가 POC 2009 에서 발표한 기법(원격에서 SIP MD5 hash value를 알아낼 수 있는 방법)을 동원한다 하더라도 요즘 국내 VoIP 업체에서 사용하는 SIP 암호는 대부분 길기 때문에 쉽게 SIP 정보를 알아내기는 힘이 듭니다(해커놈들이 cracking을 위해 수많은 클라우딩 환경을 갖추었다면 모를까, 대학생들이 그럴만한 시스템을 갖추기는 힘들겠죠). 만약 SIP 암호가 짧다면? 보안은 말 다한 거죠(이럴 가능성은 없다고 가정을 하고).

또한 최근 인터넷 전화 교환기를 해킹, 무단 국제전화 사용으로 큰 피해가 발생한 바도 있어, 지난 12월 15일 인터넷 전화 사업자와 긴급 간담회를 개최해 인터넷 전화의 취약점과 복제 위험성을 통보하고 피해가 확산되지 않도록 조속히 보완해 줄 것을 당부했다.

이거 좀 수상한데요? 이런 취약점은 보통 KISA 같은 곳에서 정확힌 해킹 사례를 정리하여 공식적인 문서로 발표를 하는게 맞을 것입니다. 그런데, 왜 무슨 숨기는게 있어서 일부 사업자만을 불러 들여서 얘기를 했을까요? 더욱더 의심스럽기만 합니다.

결론적으로 제가 추측하기로는 Auto Provision 기법이 누출되었다는 것밖에 없습니다. 기사의 내용을 전부 꼼꼼히 보아도 그럴만한 가능성이 충분히 농후합니다. 국내에서 Auto Provision 기법은 회사마다, 장비마다 그 방법이 각각 다른 것이 일반적이고, 만약에 장비 업체가 해킹당했다고 하면, 구체적인 Auto Provision 기법을 알아 내어서 장비 업체에게 협박을 했을 가능성이 농후합니다.

현재 SIP Message의 인증에 사용되는 기법(MD5 hash)은 암호를 길게 쓰는 경우 안전하다고 볼 수 있습니다(물론 100% 안전하지는 않습니다. 오랜 기간동안 SIP crack을 돌리면 언젠가는 알아낼 수 있겠죠. 하지만 암호를 길게 쓰는 경우에는 수년이 걸리기 때문에 거의 불가능에 가깝다고 보시면 됩니다). 문제는 Auto Provision입니다. Auto Provision은 현재 VoIP 통신에서 이슈화되고 있는 통신의 암호화(SIP over TLS, SRTP)를 적용했다고 해서 해결되는 것이 아닙니다. Auto Provision은 그 앞단에서 일어 나기 때문이죠.

그리고 이중 접속 방지는 더더욱 해결책이 될 수 없습니다. 요즘의 전화 서비스는 하나의 번호로 전화를 걸었을 경우 휴대폰, 집전화, 회사 전화 등 여러개의 단말기에서 동시에 벨이 울리도록 하는 것이 일반적인 추세입니다. 이를 one phone number for multiple phones 라고 합니다. 차라리 현재 한개의 SIP 계정으로 몇개로(혹은 어느 IP에서, 어느 위치에서) 로그인되어 있는지를 사용자에게 보여줄 수 있는 기능이 있으면 됩니다.

만약 저의 추측이 맞다면(정말로 Auto Provision의 문제점에 의한 해킹의 협박이라고 하면) 가만히 있어서는 안됩니다. 국제적인 개망신 취약점이거든요. VoIP 보안과 관련된 정책, 기술, 제품등이 아무리 좋아도 그것들을 한꺼번에 전부 스스로 무력화시켜 버리고 있는 어처구니 없는 취약점입니다. 이러한 취약점(부팅할때 마다 SIP 계정 정보를 자동으로 주고 받는 Auto Provision)의 문제를 알면서도 방치하고 있는 국내 VoIP 서비스 업체에게는 더 엄중한 도의적 책임을 물려야 합니다. 단순히 범죄자 몇명(독일놈들)을 구속시킨다고 해서 해결될 일이 아닙니다. 눈가리고 아웅일 뿐입니다.


프로비저닝은 편리합니다. 하지만 편리하다고 해서 보안상의 문제점을 간과해서는 안될 것입니다. 사업장 레벨(로컬 네트워크)에서의 프로비저닝은 몰라도, 범국민을 대상으로 아무데서나 접속하여 사용되어 지는 프로비저닝은 분명 문제점이 있습니다. 국내 VoIP 통신 서비스에서 하루 빨리 Auto Provision을 없애는 것이 최상의 방법입니다.

You would..