차세대 통신시장에 새로운 바람을 몰고 올 인터넷전화(이하 VoIP)는 그 편리성과 비용절감 측면 등 많은 장점이 있음에도 불구하고 아직까지 시범사업 수준을 벗어나지 못하고 있다.

KT는 지난 2~3년간 VoIP 사업 활성화를 위해 많은 노력을 기울여 왔지만 아직까지 큰 성과를 내지 못하고 있는 실정이다.

하나로통신도 현재 인터넷전화 51만 명을 확보하며 유선 3사 중에서 잰걸음 행보를 하고 있지만 여전히 인터넷전화가 주력이라고는 할 수 없는 상황이다.

뿐만 아니라 LG데이콤, LG파워콤이 5∼6월 중에 인터넷전화 서비스를 본격 런칭하겠다는 입장이지만, 시내외 전화 사업이 주력제품이고 인터넷전화는 뒤로 밀려난 상황이다.

이처럼 VoIP가 확산되지 못하는 이유에는 그동안 제기돼 왔던 ‘보안성’ 문제도 한 몫을 하고 있다. VoIP가 인터넷망을 사용하기 때문에 필연적으로 보안 문제가 대두되지 않을 수 없고 이에 대한 근본적인 해결방안이 없다면 VoIP 확산은 힘든 실정이다. 

최근 정보통신부는 VoIP 보안 강화를 위해 VoIP 정보보호 조치사항을 포함하는 ‘VoIP 정보보호 가이드라인’을 발표하고 공청회를 가진바 있다.

가이드라인에서 제시하는 VoIP 사업자들의 정보보호 대책으로는 안전한 네트워크 및 시스템 구축, 침입대응 및 모니터링 실시, 이용자 인증 정책 수립, 제어 및 미디어 신호 등 트래픽 보호, VoIP 스팸대응책 마련, 응용ㆍ부가서비스 보호 이용자 개인정보보호 대책 수립, VoIP 서비스 정보보호관리체계 마련 등이 있다.

이번에 발표된 VoIP 정보보호 가이드라인을 준비한 원유재 한국정보보호진흥원 IT기반보호단 응용기술팀장을 만나 가이드라인 발표 배경과 현재 VoIP 보안 현황에 대해 들어봤다. 

Interview

원유재 KISA IT기반보호단 응용기술팀장

 

VoIP 정보보호 가이드라인을 만들게 된 배경은 무엇인가

최근 인터넷전화(VoIP) 서비스는 국내뿐만 아니라 전 세계적으로 매우 빠르게 확산되고 있으며, 향후 기존의 일반전화를 대체하는 보편적 서비스로 자리잡을 것으로 예상한다. 하지만 VoIP 서비스는 인터넷망을 활용하는 특성상 해킹 등 기존 인터넷에서 발생하는 보안위협에 노출될 수 있으며, 음성통화에 대한 도청 및 불법 스팸발송 수단으로 악용되는 등 다양한 역기능에 대한 의견이 제기되어 왔다. 현재 상용화 초기단계인 국내 VoIP 서비스가 다양한 정보보호 역기능으로 인해 서비스 정착 및 활성화에 장애가 될 수 있다는 위기의식에, 사용자의 신뢰를 확보하고 원활하게 서비스가 확산될 수 있도록 사업자가 자발적으로 정보보호 역기능 예방을 위해 취하여야할 조치사항들을 제시하는 VoIP 정보보호가이드라인을 마련하였다.

현재 국내 VoIP 서비스의 보안 수준은 어느 정도인가

2006년 초기 상황은 거의 보안을 고려하지 않은 상태로 서비스를 제공하고 있었으며, 기본적인 인증 메커니즘 및 접근제어 기능조차 준비되지 않은 경우도 있었다. 현재는 기본적인 인증 메커니즘 및 접근제어 기능은 적용되어 있으며 VoIP 서비스 제공과 관련된 중요 서버들을 보호하기 위해 IPS와 같은 기존의 보안 장비들을 적용하고 있다. 하지만 도청 및 스팸 등에 대한 조치는 아직 미비한 상황이며, 시장이 커짐에 따라 VoIP 서비스 보호를 위해 필요한 제품들이 개발될 것으로 예상된다. 또 향후 VoIP 서비스에 특화된 IPS, 보안 폰, 스팸대응시스템 등도 적용할 것으로 예상한다.

국내 VoIP 서비스 업체 현업 종사자의 보안 수준은 어느 정도인가

VoIP 정보보호 추진대책 및 정보보호 가이드라인을 개발하기 위해 사업자 및 산ㆍ학ㆍ연 전문가들이 참여하는 정보보호 추진기획반을 구성하였다. 여기서 VoIP 서비스 현황 분석, 위협 및 취약성 분석, 대응방안 도출 등 일련의 과정을 통해 VoIP 정보보호 추진기획반에 참여한 사업자의 경우 많은 부분 정보보호에 대한 인식이 개선되었다고 볼 수 있다. 그리고 정보보호 기간사업자를 대상으로 VoIP 정보보호 교육 등을 통해 그 수준은 어느 정도 올라간 상태다. 하지만 사업자의 인식이 높아지고 있는데 반하여 정보보호 전문업체의 수준은 서비스 업체 현업 종사자 수준을 따라가지 못하고 있다고 사업자들은 토로하고 있는 것으로 알고 있다.

최근 VoIP 해킹에 대한 실제 사례는 어떤 것들이 있는가

2005년 국내 인터넷전화사업자 중 하나가 9월, 11월 두 차례에 걸쳐 공격을 당하였으며, 이를 통해 불법 국제전화 사용으로 피해를 본 사례가 있다. 이를 제외하고 공식적으로 보고된 해킹사례는 없다. 하지만 070 전화 스팸에 대한 사용자 신고 등이 점차 증가하고 있는 것으로 파악되고 있으며 서비스 확산에 따라서 다양한 공격시도가 증가할 것으로 예상한다.

가이드라인에 대해서 현업의 반응은 어떤가

VoIP 서비스가 본격적으로 확산되기 이전에, 사전에 대비한다는 관점에서 VoIP 정보보호 가이드라인의 마련은 시기적절하다고 평가를 하고 있다. 특히 사업자 산ㆍ학ㆍ연 전문가 의견을 반영할 수 있는 추진체계를 통해 개발된 점과 VoIP 사업자 및 정보보호 업체의 현황을 고려하여 권고형식의 가이드라인으로 만든 점에 대해서 크게 공감하고 있는 상황이다. 특히 지난 4월에 개최된 APEC TEL 35차 회의에서 호주와 공동으로 ‘VoIP(인터넷전화) 정보보호 가이드라인’을 개발하기로 결정했다. 호주가 우리의 가이드라인을 중심으로 프로젝트를 추진하기로 함에 따라서 국제적으로도 긍정적인 평가를 받았다고 판단한다.

향후 가이드라인이 법제화가 될 경우 문제점은 없는가

VoIP 서비스가 본격적으로 확산되고 보안 기술들이 준비되었음에도 불구하고, 정보보호 조치사항이 미비할 경우에는 법제화 하는 것을 검토할 필요가 있다고 생각한다. 그 이유는 단순한 인터넷 서비스가 아닌 음성통화라는 보편적 서비스 관점에서 필히 보호되어야 할 중요 서비스이기 때문이다. 법제화하는 경우에는 시장 활성화에 장애가 되지 않도록 하고 이용자들의 편리성을 해치지 않도록 하는데 가장 신경을 써야할 것이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>