• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[전문가대담] VoIP 보안...문제점과 해결책은? 2010.03.21

윤석웅 선임연구원

한국인터넷진흥원 융합보호R&D팀

“VoIP 환경상 아직은  시기상조에요!”

 

이경문 보안전문가

네트워크랩 대표

“SIP계정 정보 이용자에게 알려주세요!”

 

최근 별정 인터넷 전화(이하 VoIP 전화:Voice over Internet Protocol) 사업자의 교환장비가 해킹을 당해 1억원 이상의 피해를 입은 사고가 언론을 통해 보도되면서 그동안 이슈가 되어왔던 VoIP 통신의 보안 취약성과 이에 대한 보안 대책이 올해 화두로 떠오르고 있다. 이에 VoIP 전화 등 IP 보안 취약점과 보안 대책을 연구하는 이경문 네트워크랩 대표와 한국인터넷진흥원에서 VoIP 보안을 연구하는 윤석웅 선임연구원이 만나 VoIP 전화의 보안에 대한 현실적인 문제와 해결책에 대한 의견을 나눴다.


윤석웅 이경문 씨의 홈페이지 www.gilgil.net에 자주 들러서 보고 있는데 보안문제에 관련한 솔직한 이야기들과 문제점 지적에 대한 내용을 많이 쓰고 있어 잘 보고 있다. 특히 최근 별정 통신사업자의 VoIP 전화 해킹 사건에 관련해서 문제점을 지적하고 이와 관련 정부정책에 대한 쓴 소리도 솔직하게 쓴 것을 봤다. 

그런데 이번 인터넷 전화 해킹 사건은 별정 통신사업자가 접근제어를 하지 않은 것이 문제가 돼서 해킹을 당한 것이다. 이에 이 사건에 대한 분석 내용과 보안을 위해 가장 기초적인 접근제어의 설정 등이 합리적인 방법이라고 판단해 관련 사업자들에게 이러한 내용의 공문을 발송한 것인데 이경문 씨가 오해를 한 부분이 있다.


“사건분석과 대응방안, 공유 좀 합시다”

이경문 특별한 소속이 없으니까 편하고 솔직하게 이야기 할 수 있는 것 같다. 비판적인 글을 많이 올렸는데 직접 만나보니 무안하다. 이번 사건과 관련해서 구체적으로 기술관련 사항이 공개가 되지 않아 VoIP 엔지니어들이 나름대로 그들만의 생각과 추측으로 테스트 베드를 만들어 취약점을 예측하고 그에 대한 대응 방안을 스스로 판단하는 경우를 보았다.

이를 보고 이번 사건에서 정확하게 무엇이 취약한지를 알 수 있는 방법이 없으니 답답하다. 방송통신위원회에서 공문 형식으로 일부 별정 업체에게만 정보를 제공하기 보다는 이번 사건의 경위에 대해서 공개하고 이를 통해 많은 사람들에게 도움이 될 수 있도록 하는 것이 바람직하다고 본다.


윤석웅 이 사건은 한 별정 통신사업자가 접근제어 설정을 하지 않고 교환기를 운영하다가 악성해커에 의해서 해킹을 당해 전화요금이 과다 발생해 금전적인 피해를 입은 사건이라고 볼 수 있다. 그래서 이에 대한 대응으로 사업자들에게 스스로 접근제어 설정이나 패스워드를 강화하도록 공문을 보낸 것이다. 외부에서는 이 공문을 공개해서 기술적으로 무엇이 문제고 어떤 조치를 해야 하는지에 대해 연구할 수 있도록 공개해야 하는데 왜 공개를 하지 않고 관련사업자들에게만 공문을 보낸 것에 대해 지적하는 것 같다.  


이경문 항상 한국인터넷진흥원에 취약점에 대한 분석이 올라왔었는데 이번 사건에 대한 분석 자료가 올라오지 않고 별정업체에 공문형식으로만 전달됐다는 것이 문제라고 생각한다. 그리고 최근에 독일의 악성해커에 의한 인터넷 전화 해킹과 복제폰 관련 사건이 있었는데 이에 대해 좀 더 자세한 정보를 알 수 있는가?


윤석웅 이번 사건과 관련한 언론 보도는 개인적으로 추측된 부분도 좀 있다고 생각된다. 이 사건은 그리 복잡한 것이 아니며 단순하게 아이디와 패스워드만 알고 있으면 소프트 폰을 이용해서 인터넷 전화를 사용할 수 있다는 점을 이용한 것으로 볼 수 있다. 복제 폰 등으로 조금 확대된 부분이 있었다. 인터넷전화 하드웨어 폰의 복제는 현실적으로 어렵기 때문에 복제 자체가 말이 되지 않는다.


이경문 일반 웹사이트의 경우 아이디와 패스워드가 있는 것처럼 인터넷전화에서 사용되는 SIP(Session Initiation Protocol) 계정에도 사용자 이름과  패스워드가 있다. 이 사건의 내용을 언론에 보도된 신문 기사만 보고 판단했을 때 이는 VoIP 단말기의 SIP 계정 획득 정보를 독일 악성해커가 빼낸 것으로 추측된다.

그리고 이를 통해 SIP 기반의 소프트 폰으로 아무 곳에서나 인터넷 전화를 사용할 수 있도록 한 것이다. 내 홈페이지에도 이와 관련된 글을 썼지만 이것은 악성해커가 서비스 업체의 DB를 해킹한 것이 아니고 장비를 만드는 업체에 침입해서 기술 자료와 SIP와 관련된 자료를 빼내갔다는 것으로 볼 수 있다. 그리고 이 계정 정보가 그렇게 큰 금액을 요구하면서 협박할 만큼의 중요한 정보인지 궁금하고 이 해킹 사건이 단말기 특유의 SIP 계정 정보를 획득하는 기법이 누출된 것은 아닌지 궁금하다.


윤석웅 이 독일 악성해커는 인터넷에 접속해 피해 기업의 내부 인트라넷을 통해 회사 내부의 중요 정보를 가져간 것이다. 그런데 그 파일 안에 회사 직원들의 아이디와 패스워드가 있었을 것으로 추정된다. 그 회사는 내부적으로 인터넷 전화를 사용하고 있었고 그 계정 정보를 악성해커가 보고 소프트 폰을 세팅해서 사용한 것으로 본다. 그리고 이 악성해커는 인터넷 전화의 계정 정보를 가지고 협박한 것이 아니라 내부의 중요 기술 자료를 갖고 협박한 것으로 추정된다. 이제 다른 이야기를 하자. 예전에 이경문 씨는 인터넷 전화의 보안 취약점을 많이 공개했었다. 이러한 것들을 공개할 당시에 어려운 점은 없었나?



“올해는 무선랜과 결합한 VoIP가 화두”

이경문 발표 내용에 대한 수위 조절을 했기 때문에 큰 어려움은 없었다. 지난 POC 2008에서 VoIP 해킹과 보안 취약점에 대해 공개했을 때 SIP 계정을 알아낼 수 있는 프로그램을 만들어서 테스트를 했었는데 주위에서 별 어려움 없이 익명의 SIP 계정 정보를 획득할 수 있었다(이를 이용해 나쁜 짓은 하지 않았다).

공격자의 입장에서 이러한 것을 연구하는 것은 매우 흥미로운 일이다. 공격자의 마인드에서 생각해 보고 그러한 공격 기법을 있는 그대로 얘기하고 대책을 마련하는 것이 보안 분야에 많은 도움이 될 수가 있는데 100% 있는 그 자체를 공개하는 것은 현실적으로 어려운 일이다.


윤석웅 KISA에서도 실태조사를 해보니 예전만큼 계정정보를 빼내기가 쉽지 않도록 서비스 제공 업체들의 보안이 많이 개선됐다는 것을 알 수 있었다. 특히 대기업 같은 곳은 상당히 높은 수준의 보안을 하고 있다. 하지만 올해는 무선랜과 결합한 VoIP, 즉 FMC폰(Fixed Mobile Convergence:무선랜 기술을 이용한 인터넷 전화와 이동 전화를 동시에 사용할 수 있는 서비스)이 화두가 될 것이므로 보안에 안심할 수 없다. 그렇다면 VoIP 보안을 위해서는 기업의 역할뿐만 아니라 사용자의 역할도 중요하다. 사용자가 보안을 위해서 주의해야 할 것들은 어떤 것들이 있는가?


이경문 사용자 입장에서 VoIP 보안에 대처할 수 있는 일은 별로 없다. VoIP 네트워크 트래픽을 분석하는 똑같은 프로그램이라도 VoIP 트래픽의 문제점을 알아내는데 사용될 수 있고 반대로 일반인들에게는 도청 프로그램으로 간주될 수도 있는 것이 현실이다. VoIP 자체에 대한 대처보다는 VoIP 서비스를 이용하기 위해 관련된 장치들에 대한 보안 대책이 사용자의 입장에서 중요할 것이다.


윤석웅 나도 집에서 무선 인터넷을 사용하고 있지만 보안을 위해 암호화를 설정할 경우 속도가 느려짐을 체감할 수 있었다. 그래서 암호화 대신에 접근제어를 설정했더니 빠른 속도를 유지할 수 있었다. 이와 같이 안전하게 서비스를 이용하기 위해서 암호화나 접근제어와 같은 보안 조치는 사용자들이 기본적으로 해야 할 것이다. 최근 노트북이 널리 보급되고 인터넷 사용도 매우 편리해진 만큼 보안 관련 사고가 나면 기업과 사용자 모두 책임이 있다고 본다. 사고발생시 모든 것을 정부와 기업의 책임으로만 돌리는 것은 문제가 있다고 생각한다.


이경문 어떻게 보면 서비스 제공자의 잘못이 더 크다고 볼 수 있다. 제공자쪽에서 좀 더 신경을 써야 한다. 보안 취약점의 발견은 실력이 뛰어난 사람도 할 수 있고 중학생이나 고등학생도 발견할 수 있다. 즉 우연히 나올 수도 있고 노력해서 나올 수도 있다. 하지만 우리나라의 문화는 이러한 취약점 발견에 대해 수용하고 받아들이지 않는 문화다. 바로 이런 점이 문제다.


“VoIP 보안 취약점 연구 활발히 진행해야”

윤석웅 VoIP는 인터넷망을 기반으로 하고 있기 때문에 본질적으로 보안에 취약하다. 기존에 알려진 취약점 이외에 새로운 취약점을 발굴하고 대비하기 위해서는 화이트 해커들이 많은 활동을 하고 정책적으로도 많은 지원이 필요하다고 생각한다. 이들이 한국인터넷진흥원보다 더 다양하게 많은 문제점에 대해 잘 알 수 있기 때문이다. 더욱 다양한 해킹 기법들이 많은데 이러한 것들은 화이트 해커들이 연구하도록 정책이나 환경적인 지원이 필요하다. 개인적으로 좀 더 깊게 연구를 해보는 것도 좋을 것 같다.


이경문 당연히 화이트 해커들이 하고 싶은 분야를 연구하고 공부할 수 있는 기반이 되면 좋은데 이러한 부분에 대해서 아직까지는 정책적으로 지원이 불가능한 것은 아쉽다. 특히 공격기법을 알아낸 사람을 지원한다는 것은 우리나라 정책상 어렵다. 공격자는 언제라도 공격을 할 수 있지만 방어자는 언제라도 방어를 해야만 한다. 따라서 근본적으로 공격자가 방어자보다 우위에 있을 수 밖에 없다. 그리고 방어의 입장에서는 항상 잘 하다가도 한번 잘못하면 좋지 않은 얘기를 듣는 것이 현실이다. 이를 위해서는 공격자의 입장과 방어자의 입장에서 동시에 생각을 해 봐야 한다. 올바른 보안의 정립을 위해서는 취약점 발견자에 대해서는 단순히 금전적인 지원보다는 보안 프로세스의 정립의 일원으로 역할을 할 수 있다는 긍정적 마인드를 고취시켜 줄 수 있도록 하는 것이 더 바람직하다. 취약점을 발표하는 것에 대해 나쁘다고만 말하지 말고 그 취약점에 대해서 어떻게 대처해야 하는지에 대해 많은 사람들이 함께 공감대를 형성할 수 있는 여건이 마련되었으면 좋겠다.


SIP 계정 “공개하라 vs 아직은 No!”

윤석웅 지금 얘기한 것과 같이 프로세스를 잘 정립하기 위해서 인터넷 전화 사업자들은 정책을 세우고 이를 실행할 보안 담당자를 고용해야 하며 직원들에 대한 보안 교육도 강화해야 한다. 큰 규모의 사업자들은 VoIP 보안 담당자도 있고 이들에 대한 교육도 잘 되어있다. 그러나 영세한 별정 사업자는 보안 담당자도 없고 보안에 대한 교육과 투자도 없는 실정이다. 그러나 보안 사고는 항상 보안이 취약한 작은 곳에서 생긴다. 큰 곳은 보안이 잘되어 있어 공격이 어렵지만 작은 곳은 보안이 되어 있지 않기 때문에 쉽게 공격할 수 있다. 우리나라 사업자들은 보안 투자나 교육에 대한 인식이 많이 부족하다. 요즘은 작은 곳에서 보안 사고가 많이 발생하기 때문에 소규모 사업자도 최소한의 정보보호가 중요하다. 또한 사용자들도 패스워드나 아이디 관리에 스스로 주의를 기울여야 한다. 복잡한 패스워드는 잘 잊어버리고 쉬운 것은 취약하기 때문에 이에 대한 관리를 철저히 해야 한다.

하드웨어 폰은 서비스 제공자가 패스워드를 입력하기 때문에 사용자는 이를 잘 모른다. 하지만 소프트 폰은 사용자가 스스로 패스워드를 관리해야 하기 때문에 대부분 쉽게 패스워드를 만든다. 하지만 쉬운 패스워드는 보안에 취약하기 때문에 주의가 필요하다.


이경문 인터넷 전화는 SIP 계정이 있어야 하는데 사용자들은 이를 모른다. 이 때문에 인터넷 전화를 사용하다가 단말기가 고장나면 다른 단말기로 대체하지 못한다. 즉 단말기를 교체하려면 SIP 계정을 알아야 하는데 이를 모르기 때문이다.


윤석웅 SIP 계정을 사용자가 알 수 없도록 하는 것은 외부의 공격에 안전한 방법이기는 하나 고장이 나거나 단말기를 교체해야 할 때 문제가 생길 수도 있다. 하지만 패스워드를 알려줬

을 때는 사용자들이 철저하게 패스워드를 관리해야 한다. 현재의 여건을 고려했을 때 아직은 시기상조라 생각한다. 인터넷은 자신의 정보가 유출되고 개인 프라이버시 침해의 문제이지만 인터넷 전화는 개인에게 요금이 과금되는 실질적인 금전적 피해가 발생하는 문제이기 때문에 차이가 있다.


이경문 세계적인 VoIP 서비스의 트렌드는 하나의 전화로 멀티 사용이 가능하다는 것이다. 이렇게 되려면 사용자가 SIP 계정을 알아야 한다. 현재 국내 VoIP 서비스로는 멀티 사용이 되지 않지만 앞으로 이러한 서비스가 제공돼야 한다. 즉 사용자의 요구가 늘어나면 언젠가는 SIP 계정 정보를 공개해야 한다고 본다. 그러기 위해서는 사용자의 교육도 필요하다. 현재의 서비스 제공은 장점일 수도 있는데 나중에는 단점이 된다. 세계적인 VoIP 트렌드는 개방형이다. 지금처럼 진행되면 이러한 서비스는 제공할 수 없다. 물론 현재의 제도가 장점일 수 있는데 미래를 위해서도 SIP 계정을 사용자들에게 공개해야 한다.


윤석웅 서비스 제공 기업들이 우려하는 부분도 패스워드의 분실이 문제가 된다. 즉 패스워드 분실로 인한 고객들의 문의가 많이 늘어날 것으로 예상된다. 하지만 이런 문제들이 사용자의 교육으로 충분한지는 알 수 없다. 사용자의 교육으로 어느 단계까지 책임을 부과할 것인지도 문제이고 기업이나 정부에게 과도한 책임을 부과하는 것도 문제다.


이경문 기업 스스로가 기업이나 정부에게 책임이 있다고 생각하고 국민들도 그렇게 생각하고 있다. 국내 인터넷 전화는 SIP, 단말기, VoIP 서비스 업체를 골라 사용할 권리가 있는데 서비스 제공자는 모든 것을 한 번에 제공해서 사용자의 선택권을 제한하고 있다. 또 서비스 제공업체는 SIP계정 정보를 알려주지 않고 있다.


윤석웅 SIP 계정 정보를 이용자에게 알려준다면 여러 가지 문제가 있다. 특히 폰에 대한 보안은 사용자가 해야 한다. 하지만 스마트폰 등의 보안문제를 VoIP 전화가 그대로 상속하기 때문에 보안이 취약하다. 때문에 아직은 신중하게 생각해야 할 필요가 있다. 즉 SIP 계정의 공개 문제는 관리상의 문제가 가장 크다. 사용자가 충분히 책임을 갖도록 구속력을 가져야 하는데 아직 이런 부분이 부족하다. 또한  어느 정도가 적정 수준인지에 대한 논의가 필요하다.


이경문 보안 위협이 두려워 인터넷 전화의 SIP 계정 정보를 오픈하지 않는 것보다는 이를 오픈해서 사용해봐야 더 큰 문제를 방지할 수 있다고 생각한다. 이러한 이유 때문에 SIP 계정 정보를 공개해야 한다.


윤석웅 만약에 그렇게 SIP 계정이 공개 된다면 오픈되는 패스워드를 사용자 스스로 관리해야 하니까 관리적인 문제가 발생한다. 예를 들어 SIP 계정 정보를 공개하지 않으면 패스워드 여섯자리의 취약점이 발견된다면 전체적으로 열두자리로 패스워드를 바꿀 수가 있다. 또 SIP 계정 정보를 알려주면 다른 방법으로 사용할 수도 있다. 기업 측면에서 보면 다른 문제도 유발될 수 있다.

물론 나도 SIP 계정 정보를 알려주는 것이 맞다고 생각하는데 사용자들에게 충분히 인식이 되어 있는 상태에서 이를 알려주고 개인의 책임을 구속력 있도록 부과해야 한다. 하지만 우리나라는 현재 정책적으로 이와 같이 하기가 어렵기 때문에 어느 정도 사회적 기반이 만들어지고 나서 공개해야 한다는 생각이다.


보안 프로토콜 탑재, 갑논을박

이경문 왜 이런 의견차이가 있는지 조금 생각해봤다. VoIP폰은 IP기반의 서비스인데 일반인들은 휴대폰의 대체품으로 생각하고 안전하다고 생각한다. 일반인들은 휴대폰이 쉽게 등록해서 사용할 수 있다고 생각하지만 VoIP폰은 기존 IP서비스의 연장선으로 생각하고 보안 위협에 대한 것도 생각해야 한다. 바로 이러한 것 때문에 의견 차이가 있다.


윤석웅 인터넷전화는 IP기반이기 때문에 세계 어디서나 조작이 가능하며 최근 들어 세계적으로 해킹 사고가 빈번하게 발생하고 있다. 또한 최근 전 세계적으로 활성화되고 있는 스마트폰에서 VoIP 전화를 사용할 경우 스마트폰을 대상으로 하는 침해사고가 인터넷전화로 전이될 수 있다. 특히 스마트폰은 앱스토어 등 여러 가지 경로를 통해서 애플리케이션을 다운로드 받을 수 있기 때문에 이를 통한 악성코드 감염도 우려되므로 인터넷전화 전용단말을 사용할 때 보다 보안에 각별한 주의가 필요하다고 생각한다.


이경문 스마트폰을 이용한 VoIP 서비스를 사용할 때 악성코드나 해킹을 통해 저장된 패스워드가 전송되는 경우도 있고 메모리 해킹 등으로 인해 중요 개인 정보가 빠져나갈 수도 있다. 그리고 VoIP 보안 통신을 하면 요금을 더 받겠다는 이야기도 있는데 이에 반대한다.


윤석웅 VoIP 보안통신을 위해서는 장비뿐만 아니라 단말기의 교체가 불가피하다. 현재 상황에서는 비용 문제 등으로 일괄 교체는 어렵기 때문에 단계적으로 적용해야 한다고 생각한다. 대다수의 서비스 제공 업체들은 아직까지 투자대비 수익은 저조한 편이기 때문에 현 시점에서 보안통신을 위해 장비를 모두 교체해야 한다면 업체 입장에서는 매우 부담이 된다. 그렇기 때문에 점진적으로 교체해 나가는 것이 가장 현실적인 대안이라고 생각한다. 다만 국내 전체 인터넷 전화 장비 전부가 보안 프로토콜이 탑재된 것으로 바뀌게 되는 시점이 언제가 될지는 모르기 때문에 그 이전까지 보안 통신이 필요한 사람들에게는 프리미엄 서비스 형태로 보안 통신 기능을 우선 제공할 수 있을 것이다. 이와 같이 보안 통신이 필요한 사람들에게 먼저 보안 서비스를 제공하고 전체 망이 업그레이드가 되면 모든 사용자가 보안 통신 서비스를 기존 가격으로 사용할 수 있을 것으로 생각한다. 

 

이경문 하지만 단순히 보안 프로토콜을 탑재했다는 이유로 요금을 더 많이 받는다는 것은 문제가 있다고 생각한다. 실제적으로 회사나 사용자들 모두에게 VoIP 서비스 보안 프로토콜을 도입할 수는 없다. 소방서, 경찰, 텔레마케팅, 여행사 등은 전화 녹취가 의무적으로 시행되어야 하는 곳은 보안 프로토콜을 탑재하지 않는다. 즉 보안 프로토콜의 도입 여부를 회사에서 선택할 수 있도록 하게 되어 있는데 보안 프로토콜을 탑재해서 전화 요금이 인상이 된다면 이를 반갑게 맞이할 수 있는 업체는 아무도 없을 것이다. 보안 프로토콜의 탑재로 자사의 전화 요금이 인상되었는데 바로 옆에 있는 다른 회사는 전화 요금의 변동이 없는 모습을 보게 된다면 어느 누가 보안 프로토콜을 도입하려 하겠는가? 


윤석웅 그래서 지금 당장 한 번에 모두 암호화 통신을 전환 하는 것 보다는 우선적으로 필요한 사용자들에게 보안 통신 서비스를 제공하고 점차 전체적으로 모든 사용자가 보안 통신 서비스를 사용하도록 해야 할 것이다.

<진행 : 길민권 기자(editor@boannews.com) | 정리, 사진 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>