폰뱅킹 이용시 정보, 크래커 손에 고스란히 넘어갈 수도...

VoIP, 표준프로토콜 공개로 이를 이용한 ┖전화피싱┖ 공격 가능

암호화된 ‘시큐어 프로토콜’ 도입해야 해킹 막을 수 있다!

IP의 시대가 오고 있다. 특히, 통신분야는 인터넷 전화(VoIP)가 등장하면서 현재까지는 크게 대중화를 이루지 못하고 있지만, 전문가들은 현재의 전화시대는 물러가고 VoIP의 시대가 올 것이라고 예견하고 있다. 미국 전문가들은 2~3년 안에 VoIP와 IPTV가 통신과 방송 분야를 잠식할 것이라고까지 말했다. 국내 상황 또한 시기가 문제지 IP가 대세라는 것은 확실하다.

지난 22일부터 24일까지 코엑스에서 열린 ‘VoIP/IP 멀티미디어월드’ 행사는 VoIP(인터넷 전화)의 우수성을 대중에게 알리고 인터넷 TV(IPTV) 관련 산업의 활성화를 열수 있는 좋은 장이었다.

또 이날 행사에는 인터넷 전화의 통화품질을 직접 체험해볼 수 있는 공간도 있었고, 현재 VoIP/ IPTV 산업의 현주소를 한눈에 볼 수 있는 자리여서 뜻 깊은 행사였다.

한편, ‘인터넷 전화의 무선화’를 선언하며, 본격적인 시장경쟁에 뛰어든 ‘스카이프’를 비롯한 주요 업체들의 무선랜 기반 휴대전화도 큰 인기를 끌었다. 스카이프 외에도 글로벌 협력사인 넷기어, 보피어, 벨킨 등이 PC 없이도 자유롭게 유무선 환경에서 인터넷 전화를 사용할 수 있는 제품들을 선보였다. 이러한 제품들이 상용화된다면 우리는 컴퓨터 없이 휴대폰으로 저렴한 비용의 인터넷 전화를 사용할 수 있게 된다.

하지만 국내 VoIP는 치명적인 결함을 가지고 있다. 바로 보안 문제다. 더욱 답답한 것은 현재 업체들이 통일적으로 적용하고 있는 VoIP 표준이 문제가 되고 있다.

IP보안 전문가 ‘네트워크랩(NetworkLab)’ 이경문 대표는 “현재 국내 VoIP 제품들은 표준 프로토콜을 따르고 있다. 하지만 이러한 프로토콜들이 공개가 된 상태이기 때문에 공격자들로부터 해킹당할 위험성이 100%다”라고 경고했다.

아직까지 인터넷 전화와 인터넷 TV가 상용화되지 않아 실질적인 피해사례는 발생하지 않았지만, 만약 이러한 것들이 보편화 된다면 문제는 심각하다.

VoIP는 어떠한 공격들이 가능할까? 이경문 대표는 “우선 스니핑 공격(패킷 캡쳐링 공격)을 사용하면 음성내용 감청과 음성 변경, 전화번호 변경까지 가능하다. 또 전화피싱과 같은 공격도 가능하다”고 말했다.

그는 예를 들면서 “폰뱅킹 이용자가 자신이 거래하는 ○○은행의 폰뱅킹 전화번호를 눌러 통화를 시도한다. 그때 스니핑 해킹을 하고 있던 해커는 이용자가 은행으로 건 전화회선을 자신이 임의로 구축한 피싱 폰뱅킹쪽으로 끌어올 수 있다. 이용자는 그 사실도 까맣게 모르고 안내원이 시키는 대로 계좌번호와 주민번호, 비밀번호 등을 누르게 된다. 그러면 게임 아웃이다. 해커는 이 정보를 이용해 손쉽게 계좌이체를 통해 자신의 대포통장으로 돈을 빼내갈 수 있게 된다”고 말했다.

피싱이 웹상에서만 가능한 것이 아니다. VoIP 해킹을 통해서도 가능하다는 것을 보여준다. 현재 국내 VoIP 제품들은 이러한 공격에 대해 무방비로 노출돼 있다.

이 대표는 “이러한 공격들을 방지하기 위해서는 현재 사용하는 표준프로토콜을 사용하면 안된다. 암호화된 ‘시큐어 프로토콜’을 빨리 표준안으로 도입해 적용해야 한다”고 강조했다.

한 보안 전문가는 “정보통신부와 KISA 등에서도 VoIP가 현재 얼마나 취약하다는 것을 알고 있다. 하지만 우선 구현이 중요하지 보안은 뒤에 생각하자는 분위기여서 조마조마한 심정”이라고 말했다.

또 인터넷 전화는 감청도 손쉽게 이루어질 수 있다. 이 또한 스니핑 공격을 통해 A와 B 간에 통화내용을 감청할 수 있고, 통화내용을 조작ㆍ변조까지도 가능하다고 한다.

이 대표는 “스니핑 기법은 아직 국내에 일반화 되어있지 않다. 또한, 지금 일부에서 사용하고 있는 스니핑 프로그램들은 외국에서 제작된 것들이다. 하지만 인터넷 전화와 TV가 상용화 된다면 금전을 노리는 크래커들이 자체 제작한 스니핑 프로그램으로 전화피싱을 하지 말라는 법은 없다. 언젠가는 그 위험성이 대두될 것”이라고 밝혔다.  

현재 인터넷 전화는 전체 시장의 10%도 안된다. 전화를 걸기 위해 PC를 켜야하고 프로그램을 작동해야 하는 번거로움이 있기 때문이다. 하지만 이러한 편리성을 위한 기술적인 문제는 시간이 지나면 해결될 전망이다. 편리성이 확보되면 저렴한 비용 때문에 보급이 더욱 확대될 것이고, 이를 노리는 크래커들의 등장도 불 보듯 뻔하다는 의견들이다.

협회차원에서든 정부차원에서든 인터넷 전화 에 대한 표준을 시큐어프로토콜로  채택하는 것이 시급한 관건이다. 이대로 방치하다간 폰뱅킹 피싱을 통한 대형 금융사고가 우려되는 상황이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>