아무리 강조해도 지나 치지 않는 것 - 보이스 피싱

해킹&보안 방면에 있어서 발생할 수 있는 법적인 피해에 대해서 언론이 해야 하는 가장 중요한 역할 중의 하나가 바로 위험성을 경고하고 그에 대해 일반 국민들이 올바로 대처하도록 이끌어 가는 일입니다. 가장 대표적인 사례가 바로 보이스 피싱과 메신저 피싱이 있습니다.


보이스 피싱이나 메신저 패싱은 사회공학적 해킹중의 가장 대표적인 예로써, 기술적인 취약점을 이용한 해킹 방식이 아닙니다. 따라서, 일반 국민들 스스로가 방어 능력을 기를 수 밖에 없습니다. 그 피해를 정부도, 기관도, 어느 회사라도 그 책임을 대신해 주지는 않습니다. 결국 중요한 것은 언론에 의한 계몽와 홍보이죠. 이러한 의미에서 언론의 역할은 매우 중요합니다.


안타까운 것은 젊은 사람들이나 인터넷에 대해서 잘 알고 있는 사람들은 이러한 언론 보도에 의해서 자기 방어 능력을 자연스럽게 갖출 수 있는 반면에 시골에 있는 어르신들은 정보 습득력이 상대적으로 떨어질 수 밖에 없기 때문에 아직도 이러한 피해가 없어지지 않고 있다는 것입니다. 그래도 어쩔 수 없습니다. 계속해서 언론 보도를 해서 국민 모두가 그러한 위험에 대처할 수 있도록 지속적인 언론의 보도가 필요합니다.





강조하면 할 수록 불안감만 조성하는 것 - VoIP 해킹

VoIP 얘기를 해 볼까 합니다. VoIP 취약점은 위에서 얘기한 보이스 피싱과는 전혀 정 반대의 성질을 가지고 있습니다. 언론에서 얘기하면 할 수록 오히려 더 부정적인 효과만들 가져 오게 된다는 얘기입니다. 왜그러한지, 지금부터 설명해 볼까 합니다.


사실 VoIP 취약점은 "종합선물세트"라고 할 수 있습니다. IP 기반의 모든 취약점, 음성 통화 특유의 취약점, 게다가 요즘 와서 대두되는 무선랜상의 취약점, 이런 저런 모든 취약점들이 복합적으로 합쳐 져서 "VoIP 보안"이라는 하나의 용어로 일컫어 지고 있습니다. 여기에서 큰 오류를 범할 수가 있습니다.





1. 무선랜 취약점

가정에서 사용하는 무선 공유기(AP)를 생각하시면 됩니다. 한달에 2만원 내고 집에서 엑스피드 인터넷 서비스를 받죠. 컴퓨터도 쓰고, 인터넷 전화기로도 쓰고, WiFi 기반 스마트폰에서도 쓰고, 2만원의 가치를 온 가족들이 모두 나누어 혜택을 누릴 수 있습니다. 여기에서 발생할 수 있는 문제가 바로 옆집에서 우리집의 인터넷을 사용하는 "무단 접속" 문제가 발생할 수 있다는 것입니다. 따라서, AP 접속 자체에 암호를 걸거나 WEP보다는 WPA 방식을 이용하여 외부(옆집)에서는 사용하지 못하도록 해야 합니다. 


반면에 이런 주의가 전혀 필요 없는 곳도 있습니다. 무선랜의 공유 정신에 입각하여 FON 공유기가 보급이 된 경우도 있구요,  커피숍, 공항, 학교 등에서 공개/공유를 기본으로 하는 경우도 있고... 이러한 경우에는 무단 접속 해킹이라는 용어를 써서는 안되겠죠.


결론을 내어 다음과 같이 얘기할 수 있습니다.

"혼자 쓰고 싶으면 AP 암호를 걸고 WPA방식을 사용하라. 단 공개하고 싶은 경우에는 해당 사항이 없다"


얼마전에는 공개하고 싶거나, 혼자 쓰고 싶거나의 선택의 권한을 AP 소유자한테 결정권을 주지 않고, 정치적인 판단에 입각하여 강제 의무 조항으로 만들려는 시도가 있었습니다. 아이폰 도입 시기와 맞물려 국감에서도 한창 대두되었었것 같은데 지금에 와서는 쑥~ 들어가 버린 얘기죠. 뭐, 이제는 신경쓰지 않아도 될 듯합니다. ^^





2. VoIP 단말기 취약점

여러가지 사항이 있겠지만 항상 뜨거운 감자, 바로 "도청"입니다.


여기에서 중요한 것은 이놈(도청)을 해킹으로 봐야 하느냐 그렇지 않느냐를 구분해야 한다는 것입니다. 예를 들면 소방서, 경찰서, 콜센터, 여행사는 의무적으로 통화 녹취를 합니다. 인터넷 전화/일반 유선 전화의 구분 없이 예전부터 그래 왔었고 앞으로고 계속 그렇게 해야 합니다. 이러한 경우에는 "도청"이라는 단어를 사용하지 않고 "녹취"라는 단어를 사용하고 있죠.


기술적으로는 도청이나 녹취나 다를 바가 없습니다. SIP 메세지를 분석하고 RTP 패킷을 잡아 음성 파일로 만들고... 같은 기술을 어떻게 쓰느냐에 따라서 불법이 될 수도 있고 합법이 될 수도 있기 때문에 기술 그 자체만을 가지고는 합법과 불법을 구분하면 안됩니다. 이 기술 자체만을 가지고 나쁜 쪽으로만 해석을 하려고 있으니, VoIP 개발자 입장에서 답답할 때가 간혹 있습니다.


일단 도청이라는 개념만을 생각하면서 얘기해 보겠습니다. 도청을 방지하기 위해서는 어떤 작업을 해야 할까요? 바로 암호화를 해야 합니다. 인터넷상으로 송수신되는 패킷을 암호화하면 해커(도청을 하려고 하는)가 그 패킷을 잡아도 해석을 못하도록 하는 거죠.


여기에서 재미있는 현상이 있는데, 이러한 VoIP 도청은 언론의 단골 메뉴라는 것입니다. 특급 단골 메뉴죠, 써 먹은 거 또 써 먹고, 또 써 먹고, 10번도 더 본 것 같습니다.  시나리오는 뻔하죠. 알바나 촬영 스탭들중에 2명을 골라 전화를 하게 하고 중간에서 해커가 이를 도청하고 있고 나중에 가서 대화 내용을 들을 수 있는 시연. 문제는 언론에서 아무리 이러한 도청의 위협성을 강조한다 하더라도 보안의 발전에 별 도움이 되지 않는다는 것입니다. 왜냐? 일반인들이 대처할 수 있는 일은 아무것도 없기 때문이거든요. 도청 문제는 기술(암호화)로써 해결을 해야 하기 때문입니다. 


오늘 MBC 방송사로부터 VoIP 도청에 대한 시연을 의뢰한다는 문의가 아는 사람을 통해 또 들어 왔습니다. 물론 거절했죠. 지겹기도 하고, 얼굴 모자이크 처리할 것이냐 물어 볼 것이고, 시연해 봤자 도움이 되지 않는다는 것을 잘 알기 때문입니다. 언론에서의 이러한 시연(도청 시연)은 하면 할수록 국민적인 불안감만을 조성할 뿐입니다. 이제는 좀 자제를 할 때가 되지 않았나 하는 생각까지 듭니다. 아예 하려면 시내 나가서 Live 해킹을 하면서 한번에 빵 터뜨리면 모를까...





3. VoIP 서버 취약점

여기에서 "서버"라고 함은 다양한 VoIP와 관련된 장비를 통들여 얘기하겠습니다. IP-PBX, SIP Proxy, Registrar Server, VoIP Gateway, 등등등... 앗, 전문 용어가 나오네요? ㅎㅎ 어쩔 수 없습니다, 쉽게 설명하기가 어렵고 일반인들이 알 필요는 없는 것들입니다. 얼마전에 이와 관련된 해킹 사건이 보도되었습니다. Gateway를 해킹하여 유령전화를 야기시켜 한번도 걸지 않았던 전화 요금이 업체에 부과된 사건입니다. 참, 아쉽지만 어쩔 수 없습니다. 장비 관리를 제대로 하지 않은 업체의 책임이죠. KISA 등을 통해 관련 취약점을 정리하여 업체에 홍보를 하는 노력이 필요할 것 같습니다. 한마디로 "일반인들은 don't care"





결론

1, 2, 3 번 구분 좀 합시다. 전문가들에서부터 언론까지 1, 2, 3번 짬뽕을 해서 엉뚱한 원인을 얘기하고 엉뚱한 결론을 추론합니다. Cain&Abel 시연(2번)하면서 무단 접속(1번) 취약점 강조하나거, 또는 서버 취약점(3번) 강조하거나...


한두번이라면 모를까, 자꾸 보다 보니 이제는 잘못된 정보를 국민들에게 주입시키는게 관행이 되어 버리지 않나 하는 우려마저 듭니다. 제대로 된 정보에 입각하여 원인과 결과를 올바로 산출해 낼 수 있는 노력을 하도록 합시다.

You would..