확산되는 인터넷전화 …보안은 허술
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
A부장은 최근 경쟁사인 B사가 자신의 회사에서 인터넷전화를 통해 고객기업과 논의한 대외비 전략사업과 거의 동일한 사업내용을 전격 발표해 기겁을 했다.
사연은 이렇다.
A부장의 PC에 해킹 툴을 심어놓고 통화내역을 도청한 범죄자가 경쟁사 B사에 사례금을 받고 팔아 넘긴 것.수사결과 범죄자의 해킹은 중국으로부터 시작된 것으로 밝혀졌다.
인터넷전화를 사용하는 기업들 중 보안조치가 미흡한 곳은 앞으로 이런 일을 당할지도 모른다.
인터넷전화는 기존 회선교환망이 아닌 인터넷망(IP 네트워크)을 통해 음성데이터를 데이터 패킷(packet)단위로 변환 전송해 통화권 구분 없이 음성을 송수신할 수 있는 전화서비스다.
하지만 기존 IP망을 사용하기 때문에 인터넷 망에서 생길 수 있는 보안 취약점이 그대로 존재한다.
과연 인터넷전화는 안전할까.
◆네트워크 보안 취약점 그대로 발생할 수 있어
정보통신정책연구원(KISDI)은 인터넷전화의 가입자 수는 내년에 기업과 개인을 포함해 230만명, 2010년에는 600만명으로 급속히 늘어날 것으로 예상했다.
KISDI에 따르면 인터넷전화 시장의 매출 규모는 2008년 4000억원, 2010년에는 1조원 규모로 지속적으로 증가할 전망이다.
하지만 전문가들은 네트워크상의 보안 취약점이 그대로 발생할 수 있어 보안 대책이 시급히 마련돼야 한다고 지적한다.
최근 한국정보보호진흥원(KISA)이 주최한 'VoIP 보안기술 설명회'에서는 인터넷전화에 대한 다양한 해킹 위협들이 소개됐다.
도청, 서비스거부공격(DoS), 분산서비스거부공격(DDoS), 요금사기, VoIP 스팸, 통화변조 등 다양하다.
◆VoIP 스니핑
인터넷전화 서비스가 이용하는 근거리통신망(LAN)과 광역통신망(WAN)구간을 통해 도청할 수 있다.
ARP 스니핑(sniffing)기법을 이용하면 인터넷전화가 도청될 수 있다는 것이다.
스니핑은'코를 킁킁거리며 냄새를 맡다'라는 사전적 의미에서 알 수 있듯이 네트워크 트래픽을 엿보는 해킹 기법을 말한다.
패킷이 송수신될 때 패킷은 여러 개의 라우터(중계기)를 거쳐 지나가게 된다.
이때 중간 ISP 라우터에 대한 접근 권한을 가지면 이 패킷을 잡아낼 수 있다.
즉 네트워크 경로를 잘 파악하고 있는 해커가 해킹을 통해 공격 대상 시스템이나 중간 ISP 장비에 대해 관리자 권한을 얻어낸 후 스니핑 도구를 설치하면 패킷을 엿볼 수 있다.
이 원리는 인터넷전화 네트워크에도 적용된다.
PC는 IP주소를 통해 특정 네트워크에 연결되는 데 이때 IP주소와 네트워크 카드 주소를 대응시키는 ARP 캐시 테이블을 거친다.
이 테이블을 찾아 정보를 위조하면 사용자 PC와 서버 사이의 트래픽을 자신의 PC로 우회시키면서 통화내용을 도청하거나 가로채거나 변조할 수 있다.
이른바 인터넷전화와 피싱(사용자를 진짜 홈페이지와 유사한 엉뚱한 홈페이지로 유도해 개인정보를 빼내는 것)의 결합판인 비싱(Vishing:VoIP+Phishing)이다.
전문가들은 이를 막기 위해 LAN 접속 시 보안 강화, 보안 프로토콜을 적용해 음성 시그널 및 음성 패킷을 암호화해야 한다고 말한다.
인가된 송신자와 수신자만이 대화를 할 수 있도록 데이터 교환 과정에서 암호화 작업이 이뤄져야 한다는 것이다.
◆DoS(서비스거부공격),DDoS(분산서비스거부공격)위협에도 노출
시스템 회선 및 자원을 고갈시켜 서비스를 못하게 하는 DoS(서비스거부공격), 그리고 DoS가 진화한 DDoS(분산서비스거부공격)의 가능성도 존재한다.
보통 봇(Bot:사용자 PC를 해커의 조종에 따라 움직이게 하는'좀비 PC'로 만드는 악성코드)에 감염된 PC들로부터 과다 트래픽을 특정 네트워크로 쏟아부어 네트워크를 마비시키는 방식인데 이는 인터넷전화 네트워크에도 그대로 적용된다.
A와 B간에 인터넷전화를 하려면 서로간에 접속 설정 프로토콜(SIP:Session Initiation Protocol)이 적당하게 설정돼야 한다.
A가 B하고 인터넷전화를 하려면 A의 PC가 초대(invite)를 하고 B는 이것을 받고 수락(accept)하는 등 일련의 교환과정이 있다.
그런데 이 SIP패킷을 무차별로 흘러보내거나 중간에 끼어들어 이 패킷을 취소해 버리는 식으로 인터넷전화 서비스를 마비시킬 수 있다.
즉 DoS,DDoS 공격에 당하면 통화가 끊기거나 음질이 엉망이 된다.
이를 막기 위해 SIP 필터링 기능이 강화된 인터넷전화 전용 침입방지시스템(IPS)도입이 거론되고 있다.
인증 시스템의 취약점을 이용한 공격도 있다.
초대하거나 수락하는 세션을 가로채 인가를 받지 않은 접속을 한 뒤 통화를 마음대로 한 후 요금을 멋대로 부과해버릴 수도 있고, 스팸 전화를 날릴 수도 있다.
한국정보보호진흥원(KISA)관계자는"네트워크,시스템 장비,서비스 세 부분에서 보안패치와 인증 및 암호화 강화 등 적절한 보안대책이 강구돼야 한다"고 말했다.
이해성 기자 ihs@hankyung.com
ADVERTISEMENT
-
1
"한때는 폐인 소리도 들었지만"…3년 사이에 무슨 일이 [테크로그]
# 한때 주변에서 '게임 폐인'으로 불릴 정도로 게임을 즐겼던 소프트웨어 개발자 A(32)씨는 요즘 퇴근 후 자연스럽게 유튜브 쇼츠나 인스타그램 릴스로 손이 간다. 그는 "밥 먹을 땐 유튜브를 보면서 먹고, 잠들 때는 인스타를 보는 게 일상이 된 지 꽤 됐다"고 했다.국내 게임 이용률이 역대 최저치로 떨어졌다. 게임을 떠난 이용자들의 '대체 여가' 1위는 온라인동영상서비스(OTT)·영화·소셜미디어(SNS) 등 '영상 시청'이었다. 인스타그램·틱톡 등으로 대표되는 영상 숏폼 플랫폼이 게임이 파고들 공간인 여가 시간을 빠르게 잠식하고 있다는 분석이 나온다.이용률 3년 만에 74%→50%로 급락5일 한국콘텐츠진흥원(KOCCA) '2025 게임이용자 실태조사'에 따르면 지난해 국내 전체 게임 이용률은 50.2%로 집계됐다. 2022년 74.4%로 정점을 찍은 뒤 3년 연속 내리막을 걸어 24%포인트 넘게 급락한 수치다. 2024년(59.9%)와 비교해도 1년 새 9.7%포인트가 빠졌다.더 주목할 부분은 이탈 이유다. 게임을 이용하지 않는 이유로 '이용 시간 부족'(44.0%)이 1위를 차지했고, '게임 흥미 감소'(36.0%)에 이유 '대체 여가 발견'(34.9%)이 3위에 올랐다. 게임 자체에 대한 불만이 아니라, 게임 대신 쓸 다른 무언가가 생겼다는 얘기다.그 '다른 무언가'는 영상이었다. 게임을 그만둔 뒤 어떤 여가를 즐기느냐는 질문에 응답자의 86.3%가 'OTT·영화·TV·애니메이션 등 시청 중심 감상 활동'을 꼽았다. 2위인 운동(40.3%)을 두 배 이상 앞지르는 압도적인 수치다. 김정태 동양대 게임학부 교수는 "최근 몇 년 만에 유튜브 쇼츠 등이 게임의 대체재로 자리 잡고 있다"
!["한때는 폐인 소리도 들었지만"…3년 사이에 무슨 일이 [테크로그]](https://img.hankyung.com/photo/202603/99.20954669.3.jpg)
-
2
"제니인 줄 알았는데"…영상에 찍힌 '진짜' 정체에 발칵 [이슈+]
한 남성의 얼굴에 블랙핑크 제니·로제·지수, 아이브 장원영, 있지 유나, 스트레이키즈 현진 등 K팝 스타의 얼굴을 차례로 합성한 인공지능(AI) 영상이 사회관계망서비스(SNS)에서 빠르게 확산하며 논란이 커지고 있다.단순히 얼굴 이미지를 덧씌우는 수준을 넘어 표정과 조명까지 자연스럽게 반영되는 듯한 기술이 시연되면서 연예인뿐 아니라 일반인의 얼굴까지 악용될 수 있다는 우려도 함께 제기되고 있다.◇한 남성 얼굴에 제니·장원영·유나 번갈아 합성5일 각종 온라인커뮤니티에는 '딥페이크보다 더 위험한 AI 기술'이라는 제목으로 해당 영상이 빠르게 퍼지고 있다. 영상에는 블랙핑크 제니·로제·지수를 비롯해 아이브 장원영, 있지 유나, 아일릿 모카, 스트레이키즈 현진 등 다양한 K팝 아이돌 얼굴이 등장한다. 한 남성의 얼굴을 기반으로 여러 아이돌의 얼굴이 번갈아 합성되는 방식이다.해당 기술은 기존 딥페이크와 다른 방식이라는 평가도 나온다. 과거 딥페이크가 얼굴 이미지를 단순히 덧씌우는 방식이었다면, 최근 공개된 영상은 웃거나 찡그리는 미세한 표정 변화와 얼굴 방향, 조명까지 반영되는 것처럼 보인다.관련 영상을 제작한 개발자로 알려진 'UBC AI MAN'은 자신의 SNS 계정을 통해 합성 영상을 지속해서 게시하고 있다. 그는 게시물에서 "곧 출시할 앱을 팔로우해 달라"며 기술을 홍보하는 한편, 관련 기술을 배우고 싶다는 요청이 많아 대응에 시간이 걸리고 있다는 취지의 안내 글도 올렸다.현재 계정에 올라온 아이돌 얼굴 합성 영상은 30여 개가 넘는 것으로 알려졌다. 이 가운데 엔하이픈 성훈을 합성한 영상은 5일 기준 조회수 220만 회,
!["제니인 줄 알았는데"…영상에 찍힌 '진짜' 정체에 발칵 [이슈+]](https://img.hankyung.com/photo/202603/01.43502105.3.jpg)
-
3
국립암센터는 김영우 보건 인공지능(AI)학과 교수(사진)가 세계보건기구(WHO) 산하 국제암연구소(IARC)의 학술위원회 위원장으로 선출됐다고 5일 밝혔다. 한국인이 IARC 학술위원회 위원장을 맡은 것은 이번이 처음이다. IARC 학술위원회는 기구의 연구 활동을 평가하고 상설 연구의 방향성을 제시하는 의사결정 기구다.
ADVERTISEMENT