• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국과 영국의 정보기관, 심카드 암호화 키 탈취 의혹 2015.02.23

NSA와 GCHQ, 세계 최대 심카드 제조업체 해킹해 암호화 키 훔쳐

키 탈취로 단지 통신 내용 뿐 아니라 추가 피해 입히는 것도 가능


[보안뉴스 문가용] 미국 국가안전보장국(이하 NSA)과 영국의 정보통신본부(이하 GCHQ)가 젬알토(Gemalto)가 제조하는 심카드의 암호화 키를 훔쳤다는 주장이 나왔다. 가뜩이나 인터넷 검열 논란의 주범으로 자주 등장하고 정보기관으로서는 세계 최대 규모를 자랑하는 두 기관에서 또 비슷한 사안으로 의혹을 받으니 논란은 계속해서 가중되고 있다.


먼저 젬알토는 네덜란드의 회사로 AT&T, 버라이즌, 티모바일, 스프린트 등의 메이저 통신사를 비롯, 전 세계 400여개의 무선 통신 서비스 제공업체들에 심카드 칩을 판매하고 있다. 젬알토의 칩은 은행카드, 각종 출입통제카드, 여권, 신분증에도 사용되는 등 단순히 모바일 기기용만은 아니다.


이런 젬알토의 칩에 들어가는 암호화 키를 훔쳤다는 건 모바일 전화기를 통해 발생하는 커뮤니케이션을 별도의 영장이나 도청 기술 없이도 감시할 수 있다는 뜻이고, 그러므로 흔적도 남지 않는 완벽한 방법이다. 또한 관련 심카드로 과거에 암호화된 커뮤니케이션을 복호화시키는 것도 가능해진다. 저장만 해둔 과거의 자료들까지도 공개된다는 것이다.


젬알토 측은 자사로 침투해 들어온 해커의 존재를 전혀 알아채지 못하고 있었다. 이번에 前 NSA 직원인 스노우든이 유출한 문서에 의하면 GCHQ는 NSA의 도움을 받아 젬알토 및 여러 장소에서 일반 사용자들의 사적인 대화 내용을 ‘캐내’ 자신들이 원하는 정보에 접근한 것으로 나타났다.


GCHQ는 젬알토 네트워크에 멀웨어를 심어 원격에서 완벽한 조정이 가능하도록 했으며 특히 네트워크 엔지니어들이 사용하는 시스템을 노린 것으로 드러났다. 또한 젬알토 말고도 다른 무선 관련 업체의 영업부서 및 마케팅팀들의 네트워크에도 비슷한 조작을 감행했다. 여럿 전기통신 업체들의 인증서버에도 침투해 특정 개인의 음성 통신과 정보를 복호화하기도 했다. 특정 개인에 접근하는 과정 중 수많은 관련 인물들의 이메일과 페이스북 계정을 해킹한 것까지 드러났다.


심카드 암호화 키의 역할은 쉽게 말해 통신사들이 자신의 통신망에 접속하는 개별 기기들을 인증하는 한 가지 방법을 제공해주는 도구다. 젬알토와 같은 심카드 제조업자들은 모바일 사용자들에게 이 암호화 키의 복제본을 제공해주는 것이고, 사용자들은 이 복제본을 가지고 각자의 모바일을 통신망으로부터 인증을 받게 된다. 기기가 통신망 혹은 네트워크에 접속하면 복제본 키가 통신사의 키와 커뮤니케이션을 시작하는 것.


GCHQ는 NSA와 파트너를 맺고 모바일 기기 익스플로잇 팀(Mobile Handset Exploitation Team : MHET)까지 2010년에 신설해 모바일 기술에서 공략이 가능한 취약점들을 적극 찾아 나섰다. 이 MHET 팀의 미션 중 한 가지가 젬알토와 같은 무선 서비스 제공업체에 침투해 암호화 키를 훔쳐내는 것이었다고 한다. 아마도 국제법 혹은 여러 가지 다양한 법을 피해가며 모바일 통신을 감시하기에 이보다 편한 방법이 없었을 것으로 분석된다.


스텔스비츠 테크놀로지(STEALTHbits Technologies)의 전략 및 연구 담당인 조나단 샌더(Jonathan Sander)는 이런 수법이 흔히들 범죄의 영역에 있는 것으로 여겨지는 해커들의 그것과 전혀 다를 바가 없다고 주장한다. 하지만 동시에 이 두 기관의 정보수집 활동으로 이득을 보고 있는 정부가 많아 사실상 이 의혹은 소리소문 없이 묻힐 가능성이 다분히 높을 것으로 내다봤다.


“이득을 보지 않고 피해를 보는 정부더라도 사실 뭘 할 수 있겠습니까. 상대가 미국과 영국인데요. 현재 정보기술 산업의 구조는 그 기반 자체가 너무 취약하고 불안해서 아직까지는 돈이 많은 사람이 강자로 군림하고 있습니다. 자금도 튼튼한데 공격에 대한 의지까지 강하면 아무도 못 말리죠. 미국이 바로 그런 예입니다.”


이렇게 키가 도난당한 경우 통신의 불법 복호화만 발생하는 게 아니다. 악성 자바 애플릿을 배포하거나 가짜 SMS 메시지를 발송하는 것도 가능해진다. 이에 대해 트립와이어(Tripwire)의 수석 보안담당자인 크레이그 영(Craig Young)은 “심카드의 보안 키를 악용할 때의 결과는 참으로 방대하고 다양합니다. 왜냐하면 심카드는 그 자체로 여러 애플리케이션을 돌리고 있는 하나의 컴퓨터나 다름없기 때문입니다”라고 말한다. 즉 이 키에 대한 통제권만 가지고 가면 보통의 PC들을 공격하듯 여러 가지 공격이 가능해지는 것이다.


제레미 린든(Jeremy Linden)은 룩아웃(Lookout)의 제품관리책임자로 “이러니 단말간 암호화가 꼭 필요하다는 소리가 나온다”며 “여러 암호화 메시지 앱을 활용하는 게 이런 감시자의 눈에서 벗어날 수 있는 최소한의 방법”이라고 조언했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>