이를 미국의 탐사보도 온라인 매체인 더 인터셉트(The Intercept)가 보도한 바 있다. 젬알토사의 경우 27억 달러 규모의 심카드 칩을 AT&T, 버라이어존, 스프린트, 티모바일 등과 같은 대형 통신사에 납품하고 400개 이상의 무선 통신업체들에게 판매하고 있다. 뿐만 아니라 해당 칩은 은행카드, 여권, 신분증 등 다양한 용도로 쓰이고 있다. 이에 대해 젬알토(Gemalto)사가 별도의 조사를 벌여 이는 신빙성이 없다는 증명에 나섰다. 

도난당했다는 암호화 키가 스파이 에이전시의 손으로 넘어가게 되면 스마트 기기에서 이뤄지는 모든 대화 내용을 도정장치 없이도 감시할 수 있게 된다. 해당 심카드로 예전 대화들을 복호화시키는 것까지도 가능하다.

젬알토 측은 먼저 더 인터셉트의 보도 내용에 대해 ‘시기적인 의문’을 제기했다. 보도에 나온 공격은 2010년과 2011년에 젬알토가 받았던 공격과 유사한 형태라는 것. 젬알토에 따르면 해당 공격은 “NSA과 GCHQ가 합동하여 추진하는 비공식적인 작전과 연관이 있을 것이다”라는 메시지에 불과하다.

젬알토는 “당시 발생했던 해킹은 가해자가 누군지 정확히 밝혀지지 않았다. 지금 와서 보니 NSA와 GCHQ의 합동 작전과 연관이 있을 수도 있겠다”며 “그런데 당시 해당 공격으로는 오직 사무 네트워크로만 침입이 가능했다. 해킹 당한 사무 네트워크는 외부와 연결된 일반 사무실의 네트워크와 다를 바 없고 심카드 암호화 키나 고객 정보들이 저장되어 있던 네트워크가 아니다”라고 밝혔다. 이어서 젬알토의 네트워크는 상당히 “세분화”되어 독립적으로 운영되고 있다고 덧붙였다.

이 같은 젬알토의 해명(?)에 대해 보안 전문가이자 브루스 슈나이어(Bruce Schneier) Co3 시스템사의 CTO는 신뢰하기 어렵다고 주장했다. 해당 공격을 면밀히 살펴보기 위해서는 족히 몇 주는 걸려야 하는데 이를 단 몇 일만에 전부 살펴봤다는 것이 현실성이 없다는 것이다.  “젬알토가 NSA의 해킹 여부를 증명하는 것을 하루 이틀 안에 했다는 건 말이 안 된다. NSA가 젬알토의 보안 기술보다 더 우위에 있다”고 슈나이어는 설명했다. 

한편 스모우든이 폭로한 문서에는 어떻게 NSA와 GCHQ가 젬알토의 직원들과 내통했는지, 영국의 스파이 에이전시가 심카드 벤더들의 시스템에 원격 출입을 하기 위해 어떻게 젬알토의 네트워크에 멀웨어를 심어놨는지에 대해 상세히 나와 있다.

도대체 젬알토가 어떤 공격을 받았기에?
지난 2010년 6월경 젬알토는 프랑스 사이트에서 “수상한 움직임”을 감지했다. 누군가가 회사 네트워크를 감시하고 있는 정황을 포착한 것. 젬알토는 “당시 해당 움직임을 바로 퇴거 조치했다”고 말했다.

그로부터 한 달 뒤인 7월, 젬알토의 보안팀은 가짜 젬알토 계정 이메일을 통해 고객에게 악성 바이러스가 뿌려지는 것을 알게 됐다. 젬알토는 바로 고객들에게 이 사실을 알리고 해당 바이러스가 한 달 전에 발생했던 해킹 사건에 쓰였던 멀웨어와 연관성이 있다는 사실까지 알아냈다고 밝혔다.

특히 해당 공격은 고객들을 직접 상대하는 직원들의 컴퓨터를 노렸다고 한다. “해당 공격 유형이 위협적이긴 했으나, 사무 네트워크 이상 넘어가지는 못했다. 당사 네트워크 구조는 매우 복잡하고 독립적으로 구성되어 있기 때문에 한 네트워크가 공격 받았다고 해서 다른 네트워크로 전염될 수 없는 구조다. 따라서 심 기록이나 은행카드, 신분증, 전자여권 등을 관리하는 네트워크들은 외부와 연결되는 네트워크와는 완전 차단되어 있다”고 설명했다.

2010년 젬알토의 발표 내용에 따르면 고객과 회사 사이에는 “보안 전송 시스템”이 설정되어 있어 그 둘만의 네트워크로 형성되어 있다. 따라서 해당 네트워크가 해킹을 당해도 유출된 정보는 그게 다라는 뜻이라고 한다. 또한 알고 보니 해킹당한 네트워크는 2G 모바일용 네트워크였기에 3G와 4G 사용자들은 해당 사항이 아니라는 것. “해킹 당한 네트워크 외에 다른 제품까지 전파되지 않았다”고 젬알토는 말했다.

“어마어마한 양의 심카드를 일일이 따로 원격조정 한다는 것은 거의 불가능해 보인다. 우리 네트워크 구성이 상당히 복잡하게 구성되어 있다는 사실은 스노우든의 문서를 통해서도 알 수 있다. 정보 서비스 부서가 아닌 모바일 사용자들과 공급자들 사이를 노린 이유가 우리의 네트워크 구성이 독립적이고 복잡한 구조임을 인정한 꼴이다”라는 것이 젬알토 측의 입장이다.

이어서 젬알토측은 유출된 정보는 NSA와 GCHQ가 노릴만한 것은 아니라고 설명했다. 또한 해당시간에는 심카드를 일본, 콜롬비아, 이탈리아에서 따로 독립적으로 관리했다고 덧붙였다.

“그럼에도 국가기관이 마음먹고 연합전선을 펼쳤을 때 얼마나 강력해질 수 있는지, 우리 같은 개인 기업들이 얼마나 무력해질 수 있는지에 대해서는 인지하고 있다. 국가기관이기 때문에 자금도 많고 법적인 배경도 든든할 수밖에 없다. 이번 사건에서처럼 NSA와 GCHQ가 얼마든지 그런 일을 벌일 수 있다는 사실에 대해서는 우리 역시 염려가 많다”고 회사측은 밝혔다.

젬알토는 암호화 관련 정보는 따로 저장해두어서 필요할 때 그때그때 옮겨 사용하는 것이 최고로 안전하다고 설명했다. 또한 심카드 관련 기술은 항상 최신 것을 사용하고 모바일 통신사들마다 독특한 알고리즘을 적용하는 것 역시 보안 향상을 위한 노하우라고 밝혔다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>