티스토리 뷰



예전에 제가 보안뉴스에 기고한 글입니다. 불펌에 대한 이의 없으시길 바랍니다 ^^;;;;


VoIP의 위협과 분석 ① VoIP on the web

2004년 10월 1일, 인터넷전화 역무고시 제정으로 국내에서도 ‘인터넷전화’라는 새로운 서비스가 본격적인 기지개를 폈다. 인터넷전화, 즉 VoIP는 Voice over Internet Protocol 의 줄임말로써 우리가 일반적으로 사용하는 IP위에 음성을 전송하는 기술을 입힌 것이다. 패킷전송방식이기 때문에 상대적으로 저렴한 요금에 기존의 인터넷 선을 활용하여 구축비용도 절감되며 사용하며 또한 ip 프로토콜을 사용하기 때문에 음성뿐만 아니라 데이터까지 전송하는 VoIP의 매력은 새로운 디지털 컨버전스 서비스로 태동했다. 여기에 더해져 작년 10월 말경 시작된 인터넷전화 번호 이동제를 통해서 소비자들은 기존의 PSTN망에서 VoIP망으로 빠르게 움직이고 있다.


5년째를 맞이하는 지금 대한민국은 전국에 깔려있는 인터넷  망을 이용하여 빠른 속도로 VoIP서비스를 가속화 시켜나가고 있다. 이러한 여러 가지의 훈풍 속에 VoIP는 정보바다의 수면위에서 과연 잔잔하게 항해를 지속하고 있는 것인가 생각을 해본다.

국내에 이렇다할 이슈로 공식보고 된 것은 없지만 컨버전스 되어있는 제품들은 대부분 고질적인 취약점들을 고스란히 안고 가기 마련이다.

VoIP 역시 인터넷 웹의 취약점과 전화기의 특성을 이용한 취약성들이 엄연히 존재하고 있고 VoIP의 특성을 이용한 취약점들도 이미 수차례 경고된 적이 있다. 인터넷을 통한 전화라면 분명 어딘가에는 개인의 전화가입정보를 담은 개인정보가 담겨 있을 것이고 누군가는 이 시간에도 이러한 정보를 득하려 해킹 시도를 하고 있을 것이다. 또 누군가는 아마 과금우회를 시도를 열심히 하고 있을 것이다.

‘인터넷+전화’의 단점만을 지적해볼 때 인터넷해킹과 전화 피싱 등 기존의 고질적인 공격에 노출될 뿐만 아니라 인터넷전화의 특성을 노린 다양한 공격에까지 노출되어질 수 있다.

현재 많은 사업자들이 내놓은 다양한 보안계획과 대응방안을 통해 이를 보완해나가고 있고, 또한 국내에 아직까지 보고 된 커다란 이슈가 없다는 것은 분명 반가운 일이 아닐 수 없다. 하지만 해외에서는 이미 다양한 보안사고들이 끊임없이 발생되고 있는 것을 볼 때 우리나라 역시 공격자의 해킹을 완벽히 방어해낼 수 있을지는 아직 미지수다.

VoIP가 취약점을 이용한 공격의 대상이 되는 이유

그렇다면 왜 VoIP는 공격의 대상이 되는 것일까? 그 이유는 인터넷이라는 개방성에 일조한다. 열려있는 공간인 인터넷의 기술을 그대로 활용하기 때문에 VoIP는 이러한 고질병을 그대로 안고 있다.

우선 VoIP의 구조부터 분석해볼 필요가 있다. VoIP프로토콜은 기존의 인터넷 프로토콜인 HTTP와 많이 닮았다.


[VolP = SIP +RTP]


VoIP의 프로토콜은 미디어 세션을 형성하기 위해 양단간의 교섭을 담당하는 SIP(Session Initiation Protocol)와 음성이나 영상의 전송을 담당하는 RTP(Real-time Transport Protocol)로 되어있다. 이 중 SIP는 기존의 HTTP와 매우 흡사한 텍스트 기반의 프로토콜을 사용하고 있기 때문에 눈으로 보이는 영역에서 손쉽게 변조나 삽입 등이 가능하다.

SIP 메시지는 HTTP와 매우 흡사하다그러나 SIP는 HTTP와 닮았지만 다르다. 기술적으로 SIP는 HTTP처럼 80 포트를 사용하는 것이 아니라 5060 포트를 사용한다. 또한 RTP는 랜덤한 숫자의 포트를 사용하기 때문에 특정대역은 포트가 오픈 될 수밖에 없는 상황이다. 이러한 Open 된 포트를 통해서 각종 공격 등이 발생할 수 있다. 이와 관련해 기존에 알려져 있는 VoIP의 공격 등을 가지고 이를 취합하여 실례로 접근해보고 몇 가지 사례를 통해 VoIP의 취약가능성과 새로 생겨날 이슈 등을 미리 짚어보겠다.


사례로 짚어보는 VoIP의 취약점들

[사례1] 중국에서 유학하고 있는 M군은 한국에서 나올 당시 VoIP폰을 가입하여 유학길에 올랐었다. 이미 유학생들 사이에서는 널리 알려진 방법으로 동일가입자망끼리는 공짜라는 점을 이용하여 한국에 있는 친구와 VoIP폰으로 대화를 하곤 한다.

VoIP폰은 해외에 가지고 나가더라도 VoIP 계정이 등록되어 있는 서버는 VoIP폰이 한국에 있다고 판단한다. 해외의 IP를 사용하여 접속한다고 해도 해외 IP를 보는 것이 아니라 대상을 보고 과금을 결정하기 때문에 무료로 통화를 즐길 수 있다. 단순히 과금적인 문제를 뛰어넘어 이는 각종 사이버 범죄에 악용될 수 있으며 대포폰 및 알리바이 등에 악용되어질 수 있다.

[사례2] A군은 미국과 전화회의를 통해 사업에 관련된 논의를 하기로 하였다. 장기간 통화를 해야 하기 때문에 평소 저렴한 요금의 인터넷전화를 자주 사용한다. 한참 전화회의를 통해 거래가 성사되려고 하는 무렵 갑자기 감도가 멀어지기 시작했다. 급기야 혼선과 잡음으로 인해서 회의는 더 이상 불가하였고 결국 거래는 성사되지 못하였다. 며칠 후 경쟁업체에서 자사와 동일한 조건으로 미국과 거래를 하였다는 것을 알게 되었다. 결국 A군은 경쟁업체에서 고용한 해커가 중간에 통화를 방해하였고 도청까지 하였다는 것을 알게 되었다.

사용자와 사용자간의 통화는 언제나 실시간으로 이루어진다. 이런 특성은 전화품질에 매우 민감해지게 되며 이는 DOS나 패킷손실, 패킷지연이 발생시 통화가 끊기는 것처럼 들리거나 감도가 매우 먼 것처럼 들릴 수 있다.

실시간 대화이기 때문에 이를 방해하거나 spam을 날리는 경우도 발생할 수 있으며 SIP Flooding DOS 공격, SIP 서비스 오용공격, SIP Fuzzing 공격, SIP 세션 가로채기 공격, SIP 통화방해/중단공격, VoIP 스팸 등의 공격을 당할 우려가 있다.

[사례3] 연예인 A씨는 평소 절친하게 지내고 있는 연예인 B씨와는 사실 오래된 연인관계이다. 비밀리 연애를 하고 있는 이 둘의 데이트는 주로 각자 집에서 인터넷전화를 통해 이루어진다. 어느 날 같은 아파트에 사는 해커 C씨는 SIP 패킷을 분석중 이 둘의 대화를 도청하게 되고 흥미를 느낀 C씨는 이를 MP3로 변환하여 인터넷에 유포하기 시작했다.

VoIP는 IP기반으로 통신을 하기 때문에 공개, 혹은 상요 프로그램들을 통해 패킷을 캡쳐할 수 있으며 해킹 툴들을 이용한 스니핑을 통해 wav와 같은 파일로 녹음을 할 수 있다.

[사례4] 평소 VoIP 해킹에 관심이 많은 대학생 A씨는 수업시간에 인터넷 폰을 통해 교내망 인터넷에 접속한 뒤 INVITEFLOOD 공격을 하였다. 그 결과 교내 사무실에 있는 전화들이 끊임없이 울리게 되었고 결국 수업은 중단되었다.

이메일 스팸공격은 메일을 열람하지 않고 삭제하거나 스패머솔루션을 통해 거부할 수 있다. 그러나 전화벨이 울릴 경우 우리는 일단 받게 된다. 이러한 특성을 이용해 보이스피싱 메시지를 전달하거나, 끊임없이 calling 메시지를 보내서 업무를 방해, 또는 SIP에 메시지를 전달시켜 화면에 광고성 메시지를 보여줄 수도 있다.

[사례5] 어느 날 고지서를 받은 S군은 눈이 휘둥그레졌다. 이번 달은 분명 많이 사용하지도 않았는데 수천만 원의 요금이 결제되어 온 것이다. 이미 S군뿐만 아니라 여러 피해자들도 동일한 증상으로 피해사고를 접수한 상태였다.

인터넷에서 자신을 증명하는 방법은 가입되어있는 아이디와 패스워드를 통해 이를 증명한다. 반면 VoIP는 로그인 없이 번호만 누르면 바로 걸린다. 그러나 사실상 이는 VoIP폰이 계정등록서버에서 이미 자동으로 로그인 정보를 받아온 후 해당 정보를 가지고 전화를 걸기 때문에 증명이 없는 것처럼 보인다.

SIP는 인터넷과 유사하게 username과 response라는 부분을 통해 인증을 한다. 만약 이를 탈취 시에는 해당 유저로 접속하여 통화를 하게 되어진다


소 잃기 전에 외양간 고치자

우리는 인터넷을 항해하면서 SPAM, Fishing 등을 수없이 보게 된다. 최근에는 전화를 통해서도 스팸문자나 보이스피싱이 성행하고 있다. 이러한 인터넷과 전화를 결합한 VoIP 역시 동일한 취약점을 이용한 다양한 공격이 예상되고 있다.

FBI와 연방 화이트칼라범죄국, 연방 검찰청 등의 세 기관이 만든 인터넷 범죄 접수처(The Internet Crime Complaint Center : IC3, www.ic3.gov)에서는 Voice Phishing, 혹은 “Vishing”(VoIP+Phishing)이라고 불리는 이러한 공격을 경계해야 할 범죄로 정해놓고 있다. 또한 SANS 등 여러 기관에서 VoIP 와 관련된 취약점들을 카테고리 범주 안에 포함시켜 넣고 있다. 국내에서는 정부기관과 각종 사설기관에서도 국내실정에 맞게 이를 취약점으로 분류하여 권고하고 있는 상태다.

인터넷 강국 대한민국이 VoIP 분야에서도 강국이 될 수 있도록 끊임없이 white paper가 발행되고 교류되었으면 하는 바램이 있다. 이와 관련해 다음 연재에서는 실제 시연과 이에 대한 방어책을 구사해 VoIP의 취약점들을 부각시킴으로써 내일의 보안에 다시 한 번 점검해보는 계기를 마련해 보고자 한다.

<글 : 서용호 모니터랩 위협분석팀장(yhseo@monitorapp.com)>

원문링크 : http://www.boannews.com/media/view.asp?page=1&idx=16631

댓글