VoIP 활용한 서비스 셋, 러시아 범죄자 포럼 통해 확산되기 시작
음성 인증 빈도수 낮춰주는 기능...트래픽 다량으로 발생시켜 일부 기능 마비시키기도

[보안뉴스 문가용 기자] 사이버 범죄자들에게는 고민이 한 가지 있었다. 여러 가지 난관을 뚫고 계정을 탈취하고 불법 거래나 송금을 하려는데, 가끔씩 ‘음성을 통한 본인 확인을 해야겠다’는 청천벽력과 같은 안내 멘트가 뜨는 경우다. 비밀번호는 어떻게 훔치거나 돈 주고 구매할 수는 있어도 음성까지 얻어내는 건 대단히 어렵다. 그래서 점점 더 많은 금융 기관들이 이러한 인증 시스템을 도입하고 있다.


그런데 러시아 지하 시장에서 이러한 인증 시스템을 무너트리는 방법이 최근 등장해 각광받고 있다는 사실을 보안 업체인 플래시포인트(FlashPoint)가 발견해 보안 커뮤니티에 알려 왔다. 이들이 사용하는 건 ‘인터넷 전화’ 혹은 ‘인터넷 프로토콜을 통한 음성 서비스’라고 불리는 VoIP 기술이다. 특히 나라야나(Narayana), SIP24, SIP 킬러(SIP Killer)라는 서비스가 인기를 끌고 있다고 한다.

나라야나는 원래 개인용 VoIP 서비스였으며, 산스크리트어로 ‘안식이 되는 사람’이라는 뜻이다. 나라야나가 처음 지하 암시장에 등장한 것은 2017년 1사분기 때의 일로 당시 광고에 따르면 다음과 같은 기능을 가지고 있다.

1) 세션 시작 프로토콜(SIP) : IP 네트워크를 통해 이뤄지는 전화 통화와 멀티미디어 통신 세션의 요소들을 정의하는 프로토콜이다.
2) 거의 모든 나라에서 통용되는 GSM 표준에 기반을 둔 SIM 카드 : 이것만 있으면 전화 통화와 인터넷 사용이 모두 가능하게 된다.
3) 사용자들마다 배정되는 고유의 iNum 번호. 무료 서비스다. iNum은 네트워크 내 존재하는 번호들 간 무료 국제 전화를 가능하게 해준다.
4) 10개가 넘는 국가에서 전화나 문자를 받는 데 사용될 수 있는 가상의 전화번호를 생성한다.
5) DID(내선 직접 호출)를 통한 인바운드 호출 라우팅
6) 사용자의 음성을 바꿔주는 ‘피치 시프팅(pitch shifting)’
7) 재버(Jabber : 실시간 메시지 송수신 프로토콜)를 통해 들어오는 SMS 메시지를 우회시키거나 메시지에 대한 대응(답장 등)을 가능하게 해주는 기능.
8) 로밍 파트너 등 제3자의 통화 정보 열람 방지 기능
9) 러시아에서 미국으로 저렴하게 전화를 걸게 해주는 기능 : 탈취한 혹은 침해당한 지불 정보로 거래나 송금을 진행할 경우 음성 인증 과정의 빈도수를 낮춰준다.
10) SIP 호출 시 강제된 TLS/SRTP 암호화 지원 : 트래픽 가로채기를 막는다.

나라야나는 위 세 가지 VoIP 솔루션들 중에서도 특히 인기가 많은데, 그 이유는 사용성이 좋고, 가격이 저렴하기 때문이다. 나라야나 웹사이트를 통해 사용자 등록을 하면 고유 전화번호와 SIP 서버 로그인 크리덴셜이 할당된다. 이는 사용자 설정을 통해 변경이 가능하다. 사용료는 정액제로 내게 되는데 한 달 기준 10유로부터 시작된다. 국제 SIM 카드는 30유로에 구매가 가능하다.

SIP24는 러시아 사이버 범죄 포럼 중에서도 꽤나 수준이 높은 곳에 2016년 6월 처음 등장했다. 기능은 나라야나와 비슷하다. 차이점이 있다면 SIP24는 오로지 초대를 받은 사용자만을 등록시킨다는 것이다. 즉 현재까지 사용자층이 그리 광대하지 않다. 몇몇 후기들을 통해 유추하건데, 음질이 나라야나보다 뛰어나며 사용자의 보안을 위한 기능이 좀 더 강력한 것으로 보인다. SIP24 판매자들은 조이퍼(Zoiper)라는 무료 앱과 함께 사용하면 보안성이 훨씬 높아진다고 권장한다.

마지막 VoIP 서비스는 SIP 킬러다. 지난 수년 동안 다양한 러시아 사이버 범죄 포럼에서 이따금씩 모습을 드러냈다가 사라지기를 반복했다. 얼마 전 폐쇄된 알파베이(AlphaBay)에서도 거래된 적이 있었다. SIP 킬러는 이른바 콜플러딩(call flooding)이라는 기능을 발휘하는 툴이었다. 콜플러딩이란 다량의 통화 트래픽을 VoIP 서비스를 통해 전송해 특정 통화 서비스(이를 테면 음성 인증 서비스)가 작동하지 않도록 만드는 방법을 말한다. 2016년 12월, 러시아어를 쓰는 해킹 포럼에서 SIP 킬러 사용법에 대한 강좌가 인기를 끈 적이 있다.

플래시포인트는 블로그를 통해 “온라인 거래에 대한 사이버 범죄자들의 관심은 역사도 깊고 참으로 집요하다”며 “음성 인증 보안 기능도 이젠 얼마든지 우회하는 게 가능해진 세상”이라고 이번 발견에 대한 의의를 짚었다. “이제 범죄자들은 가상의 전화번호를 얼마든지 생성하고 어느 국가에서나 통용되는 가짜 SIM 카드를 구매할 수도 있게 되었습니다. 공격 표적도 많아졌고, 신분을 숨길 방법도 늘어났다는 겁니다. 앞으로 음성 인증 기능에 의존하고 있던 금융 기업이나 온라인 쇼핑몰은 또 다른 인증 서비스를 도입할 수 있도록 준비를 시작해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>