아무리 강조해도 지나 치지 않는 것 - 보이스 피싱
해킹&보안 방면에 있어서 발생할 수 있는 법적인 피해에 대해서 언론이 해야 하는 가장 중요한 역할 중의 하나가 바로 위험성을 경고하고 그에 대해 일반 국민들이 올바로 대처하도록 이끌어 가는 일입니다. 가장 대표적인 사례가 바로 보이스 피싱과 메신저 피싱이 있습니다.
보이스 피싱이나 메신저 패싱은 사회공학적 해킹중의 가장 대표적인 예로써, 기술적인 취약점을 이용한 해킹 방식이 아닙니다. 따라서, 일반 국민들 스스로가 방어 능력을 기를 수 밖에 없습니다. 그 피해를 정부도, 기관도, 어느 회사라도 그 책임을 대신해 주지는 않습니다. 결국 중요한 것은 언론에 의한 계몽와 홍보이죠. 이러한 의미에서 언론의 역할은 매우 중요합니다.
안타까운 것은 젊은 사람들이나 인터넷에 대해서 잘 알고 있는 사람들은 이러한 언론 보도에 의해서 자기 방어 능력을 자연스럽게 갖출 수 있는 반면에 시골에 있는 어르신들은 정보 습득력이 상대적으로 떨어질 수 밖에 없기 때문에 아직도 이러한 피해가 없어지지 않고 있다는 것입니다. 그래도 어쩔 수 없습니다. 계속해서 언론 보도를 해서 국민 모두가 그러한 위험에 대처할 수 있도록 지속적인 언론의 보도가 필요합니다.
강조하면 할 수록 불안감만 조성하는 것 - VoIP 해킹
VoIP 얘기를 해 볼까 합니다. VoIP 취약점은 위에서 얘기한 보이스 피싱과는 전혀 정 반대의 성질을 가지고 있습니다. 언론에서 얘기하면 할 수록 오히려 더 부정적인 효과만들 가져 오게 된다는 얘기입니다. 왜그러한지, 지금부터 설명해 볼까 합니다.
사실 VoIP 취약점은 "종합선물세트"라고 할 수 있습니다. IP 기반의 모든 취약점, 음성 통화 특유의 취약점, 게다가 요즘 와서 대두되는 무선랜상의 취약점, 이런 저런 모든 취약점들이 복합적으로 합쳐 져서 "VoIP 보안"이라는 하나의 용어로 일컫어 지고 있습니다. 여기에서 큰 오류를 범할 수가 있습니다.
1. 무선랜 취약점
가정에서 사용하는 무선 공유기(AP)를 생각하시면 됩니다. 한달에 2만원 내고 집에서 엑스피드 인터넷 서비스를 받죠. 컴퓨터도 쓰고, 인터넷 전화기로도 쓰고, WiFi 기반 스마트폰에서도 쓰고, 2만원의 가치를 온 가족들이 모두 나누어 혜택을 누릴 수 있습니다. 여기에서 발생할 수 있는 문제가 바로 옆집에서 우리집의 인터넷을 사용하는 "무단 접속" 문제가 발생할 수 있다는 것입니다. 따라서, AP 접속 자체에 암호를 걸거나 WEP보다는 WPA 방식을 이용하여 외부(옆집)에서는 사용하지 못하도록 해야 합니다.
반면에 이런 주의가 전혀 필요 없는 곳도 있습니다. 무선랜의 공유 정신에 입각하여 FON 공유기가 보급이 된 경우도 있구요, 커피숍, 공항, 학교 등에서 공개/공유를 기본으로 하는 경우도 있고... 이러한 경우에는 무단 접속 해킹이라는 용어를 써서는 안되겠죠.
결론을 내어 다음과 같이 얘기할 수 있습니다.
"혼자 쓰고 싶으면 AP 암호를 걸고 WPA방식을 사용하라. 단 공개하고 싶은 경우에는 해당 사항이 없다"
얼마전에는 공개하고 싶거나, 혼자 쓰고 싶거나의 선택의 권한을 AP 소유자한테 결정권을 주지 않고, 정치적인 판단에 입각하여 강제 의무 조항으로 만들려는 시도가 있었습니다. 아이폰 도입 시기와 맞물려 국감에서도 한창 대두되었었것 같은데 지금에 와서는 쑥~ 들어가 버린 얘기죠. 뭐, 이제는 신경쓰지 않아도 될 듯합니다. ^^
2. VoIP 단말기 취약점
여러가지 사항이 있겠지만 항상 뜨거운 감자, 바로 "도청"입니다.
여기에서 중요한 것은 이놈(도청)을 해킹으로 봐야 하느냐 그렇지 않느냐를 구분해야 한다는 것입니다. 예를 들면 소방서, 경찰서, 콜센터, 여행사는 의무적으로 통화 녹취를 합니다. 인터넷 전화/일반 유선 전화의 구분 없이 예전부터 그래 왔었고 앞으로고 계속 그렇게 해야 합니다. 이러한 경우에는 "도청"이라는 단어를 사용하지 않고 "녹취"라는 단어를 사용하고 있죠.
기술적으로는 도청이나 녹취나 다를 바가 없습니다. SIP 메세지를 분석하고 RTP 패킷을 잡아 음성 파일로 만들고... 같은 기술을 어떻게 쓰느냐에 따라서 불법이 될 수도 있고 합법이 될 수도 있기 때문에 기술 그 자체만을 가지고는 합법과 불법을 구분하면 안됩니다. 이 기술 자체만을 가지고 나쁜 쪽으로만 해석을 하려고 있으니, VoIP 개발자 입장에서 답답할 때가 간혹 있습니다.
일단 도청이라는 개념만을 생각하면서 얘기해 보겠습니다. 도청을 방지하기 위해서는 어떤 작업을 해야 할까요? 바로 암호화를 해야 합니다. 인터넷상으로 송수신되는 패킷을 암호화하면 해커(도청을 하려고 하는)가 그 패킷을 잡아도 해석을 못하도록 하는 거죠.
여기에서 재미있는 현상이 있는데, 이러한 VoIP 도청은 언론의 단골 메뉴라는 것입니다. 특급 단골 메뉴죠, 써 먹은 거 또 써 먹고, 또 써 먹고, 10번도 더 본 것 같습니다. 시나리오는 뻔하죠. 알바나 촬영 스탭들중에 2명을 골라 전화를 하게 하고 중간에서 해커가 이를 도청하고 있고 나중에 가서 대화 내용을 들을 수 있는 시연. 문제는 언론에서 아무리 이러한 도청의 위협성을 강조한다 하더라도 보안의 발전에 별 도움이 되지 않는다는 것입니다. 왜냐? 일반인들이 대처할 수 있는 일은 아무것도 없기 때문이거든요. 도청 문제는 기술(암호화)로써 해결을 해야 하기 때문입니다.
오늘 MBC 방송사로부터 VoIP 도청에 대한 시연을 의뢰한다는 문의가 아는 사람을 통해 또 들어 왔습니다. 물론 거절했죠. 지겹기도 하고, 얼굴 모자이크 처리할 것이냐 물어 볼 것이고, 시연해 봤자 도움이 되지 않는다는 것을 잘 알기 때문입니다. 언론에서의 이러한 시연(도청 시연)은 하면 할수록 국민적인 불안감만을 조성할 뿐입니다. 이제는 좀 자제를 할 때가 되지 않았나 하는 생각까지 듭니다. 아예 하려면 시내 나가서 Live 해킹을 하면서 한번에 빵 터뜨리면 모를까...
3. VoIP 서버 취약점
여기에서 "서버"라고 함은 다양한 VoIP와 관련된 장비를 통들여 얘기하겠습니다. IP-PBX, SIP Proxy, Registrar Server, VoIP Gateway, 등등등... 앗, 전문 용어가 나오네요? ㅎㅎ 어쩔 수 없습니다, 쉽게 설명하기가 어렵고 일반인들이 알 필요는 없는 것들입니다. 얼마전에 이와 관련된 해킹 사건이 보도되었습니다. Gateway를 해킹하여 유령전화를 야기시켜 한번도 걸지 않았던 전화 요금이 업체에 부과된 사건입니다. 참, 아쉽지만 어쩔 수 없습니다. 장비 관리를 제대로 하지 않은 업체의 책임이죠. KISA 등을 통해 관련 취약점을 정리하여 업체에 홍보를 하는 노력이 필요할 것 같습니다. 한마디로 "일반인들은 don't care"
결론
1, 2, 3 번 구분 좀 합시다. 전문가들에서부터 언론까지 1, 2, 3번 짬뽕을 해서 엉뚱한 원인을 얘기하고 엉뚱한 결론을 추론합니다. Cain&Abel 시연(2번)하면서 무단 접속(1번) 취약점 강조하나거, 또는 서버 취약점(3번) 강조하거나...
한두번이라면 모를까, 자꾸 보다 보니 이제는 잘못된 정보를 국민들에게 주입시키는게 관행이 되어 버리지 않나 하는 우려마저 듭니다. 제대로 된 정보에 입각하여 원인과 결과를 올바로 산출해 낼 수 있는 노력을 하도록 합시다.
언론 오류의 전형적인 예를 보여 주는 기사네요.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=025&aid=0002047852
교환기를 해킹당해서 부당한 전화 요금이 나온 사건을 가지고 제목으로 적으면서(3번), 정작 기사의 내용은 도청(2번)을 가지고 얘기하고 있습니다. 원인과 결과를 다르게 얘기하고 있는 전형적인 언론의 오류입니다.
도청에 대해서 또 얘기를 해 보겠습니다. 인터넷 전화 도청의 위험이 있는 것은 사실이나, 이는 안방에서 전화하는 내용을 거실에서도 들을 수 있는 기존의 유선전화에서도 똑같은 취약점이 존재합니다. 이를 전문 용어로 wire tapping이라고 합니다. 해킹 축에도 끼지 못하는 취약점이죠(사람들이 위험하다고 생각하지 않는다는 것임). 안타까운 것은 인터넷 전화의 도청의 위협은 수도 없이 강조하면서 유선전화의 도청(안방-거실 태핑)은 아무도 이의를 제기하지 않는다는 거죠. 둘 다 똑같은데 말입니다.
거듭 강조해서 얘기를 하는데 인터넷전화 도청의 위협은 일반인들이 주의할 수 있는 것은 아무것도 없습니다. 도청을 막을 수 있는 것은 암호화이고, 암호화는(표준 정립, 제품 구현) 정부나 업체의 몫입니다. 바라건데 일반인들에게 불안감만 조성하는 기사는 자제를 해 줬으면 좋겠습니다.
Cain&Abel 해킹 시연(2번)을 하면서 결론은 무단접속 방지(1번)를 촉구하는 어느 의원님의 주장.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=001&oid=214&aid=0000119923
국회의원들의 전문성 결여 문제는 어제 오늘의 일이 아니죠.
국정감사에서의 보안 이슈 제기는 의원님들께서 너무 우려 먹어서 이제 국물이 다 쫄아 버린 상태.
아줌마, 여기 육수 추가요~
그냥 웃고 넘기시길... ^^
보안업체 관계자는 “인터넷 전화기의 보안 암호는 초기에 일괄적으로 설정되는데, 사용자들이 존재 자체를 잘 몰라 바꿔놓지 않는 경우가 다반사”라며 “통신사별 비밀번호만 알면 해킹은 식은 죽 먹기”라고 말했다.
http://itview.joins.com/article/itview/article.asp?total_id=3915319&ctg=16
"인터넷 전화기의 보안 암호"가 아니라 "무선 AP"의 암호입니다. (1)번 취약점을 (2)번 취약점이라고 오보하는 사례.
종합선물세트입니다.
http://www.cbs.co.kr/nocut/Show.asp?IDX=1344011
서비스업체 역시 이러한 보안 취약성을 알고 있지만 현재로서는 단순히 아이디나 비밀번호를 복잡하게 구성하는 것 외에 별다른 대책을 내놓지 못하고 있다.
말이 안나오는군요. 유령전화 사건은 암호를 길고 복잡하게 사용하지 않았을 때 당할 수 있는 문제입니다. 아무리 비싼 보안 장비를 들여 놓아도 단순한 암호를 사용하게 되면 무용지물입니다. 복잡한 비밀번호를 사용하는 것이 얼마나 강력한 보안 수단인지를 잘 모르는 모양이네요.
경찰청 사이버테러대응센터 정석화 수사팀장은 “인터넷전화가 복제와 도청 등 보안상에 취약점이 있다는 점은 어제 오늘의 일이 아니지만 비용문제로 보안강화가 잘 이뤄지지 않고 있는 것으로 알고있다”고 설명했다.
그간의 일련의 VoIP 해킹 사건들은 비싼 비용의 장비를 도입하지 않아서 당한 것이 아닙니다. 관리, 정책상의 문제입니다. 장비의 문제가 아니라 사람의 부주의에 인해서 발생한 사건이라는 거죠.
상콤(?)한 취약점 하나 나와 주셨습니다.
와이파이 패스워드, “34달러, 20분이면 크랙”
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=60446
brute force attack이 아니고 dictionary attack 기법입니다. 클라우딩 기반의.
제가 보기에는 취약점으로 보이는데 서비스라는 용어를 사용하네요. ㅎㅎ
우리나라에서 저런 서비스를 하면 대번에 잡아 갈 듯 합니다. ^^
아, 이 이야기는 위 1번(무선랜 취약점)에 해당하는 사항입니다. ~~