티스토리 뷰



예전에 제가 보안뉴스에 기고한 글입니다. 불펌에 대한 이의 없으시길 바랍니다 ^^;;;;


VoIP의 위협과 대응

지난 호에 간략하게 소개한 VoIP의 내용을 다시 되짚어보면 VoIP는 인터넷기반의 전화이고 기존의 회선을 이용해 저렴하고 뛰어난 성능으로 전화를 할 수 있는 이점 때문에 급속도로 증가하고 있는 신종 서비스다. 그러나 인터넷기반이기 때문에 인터넷 웹상에서 존재하였던, 또는 전화기를 이용한 피싱 등 기존의 취약점들을 그대로 안고 있는 문제점들이 우려되었다. 그렇다면 실제로 어떤 공격을 당하게 되는지 구체적인 공격기법들을 통해서 VoIP의 취약점들을 살펴보도록 한다.


Voip 취약점의 범주는 스팸, DoS, 통화방해, 위변조 등 크게 4가지 정도로 분류 시킬 수 있다.

우선 “스팸=광고”, “스팸=junk”라는 공식이 성립하는데는 미국의 식품회사에서 스팸햄의 홍보를 위해 과도한 광고를 했다는 데에서 유래한 설과 또는 TV프로에서 스팸햄을 통해 당시 사회적 풍자에 사용했다는 데에서 유래 등 여러 가지 설이 있다.

국내에서는 대부분 이메일, 휴대폰 등을 통한 무단광고, 홍보를 하는 경우 스팸이라고 지칭하고 있으며 이를 VoIP 등에 빗대어 볼 때 VoIP에게 있어서 스팸이란 기존과 마찬가지로 각종 음성광고, 메시지 광고 등이 이에 속할 수 있다.

VoIP가 메시지 또는 음성통화 등의 기능을 모두 가지고 있기 때문에 기존의 스팸공격에 모두 포함될 수 있으며 VoIP만을 이용한 신종 스팸도 발생될 우려가 있다.


VoIP와 스팸과 방어대책

VoIP의 스팸에 있어서 가장 중요한 포인트는 노출된다는 점이라 할 수 있겠다. 휴대폰처럼 액정을 가지고 있는 SIP폰의 경우 벨과 동시에 액정에 사용자 정보가 뜨게 된다. 소프트웨어폰의 경우 팝업창도 발생한다. 여기에서 우리가 의도하지 않은 부분의 스팸성 광고가 등장하게 된다. SIP의 메시지 중에서 유저네임헤더를 광고메시지로 바꾸고 불특정 다수에게 전화를 걸게 되면 받는 사람의 입장에서는 화면에 광고문구가 발생되면서 벨이 울린다. 자연스레 그쪽으로 주목을 할 수 밖에 없게 되는 신종 메신저 스팸이 아닐 수 없다. 스패머한테는 반가운 소식이지만 사용자 입장에서는 아주 골칫거리가 아닐 수 없다.

VoIP에서 스팸은 또한 보이스피싱 공격에서도 에서도 악용될 수 있다. ‘엄마’, ‘아빠’와 같은 이름으로 걸려와 받았더니 갑자기 광고가 나온다던지, 아래와 같이 이름을 바꾸어 마치 진짜 경찰청에서 걸려오는 것처럼 당할 수도 있다. 이전의 피싱보다 훨씬 지능적인 방법들의 발생할 것으로 예상되는 것도 이 때문이다.

이에 대해 다음과 같은 방어대책들이 있을 수 있다.


① 알려진 변조 툴의 차단.

현재까지는 대부분 중간에서 툴을 사용해 변조를 하기 때문에 툴 사용을 원천적으로 차단하면 공격방어를 할 수 있다. 알려진 툴로 사용을 할 경우에는 SIP 헤더 중 User-agent에 사용 중인 툴의 신분을 밝히기 때문에 이런 툴의 패턴이 사전에 보안장비에 탑재되어있다면 알려진 공격은 어느 정도 차단이 가능하다.

② 자동화된 프로그램의 차단

대량 스팸의 경우들은 대부분 특정 툴에 의존해서 보내어진다. 즉, 봇넷(botnet)을 통해서 짜여진 메시지 패턴들이 전송되어지는데 스패머들은 과금적인 우려도 하기 때문에 콜링후 일정 시간후 콜을 끊어 세션을 종료시킴으로서 메시지만 보내고 종료를 시키는 행동을 취한다. 이러한 것들은 보안장비를 통해서 임계치를 사용, 특정시간 이내에 바로 끊어지는 콜 세션은 바로 drop시키면서 블랙리스트로 등재되어야 한다.

③ 단어필터링

기존의 알려진 신뢰받지 못하는 광고문구 같은 것들(예 : 대출, 도박 등)은 사전에 전화기 등에 탑재되어 적절한 단어 필터가 이루어져야 한다.


DoS 공격

DoS 또는 DDoS 같은 공격은 1-1 또는 N-1 관계에서 순간적으로 시스템이 처리할 수 없는 방대한 양의 과다패킷을 전송시켜 속도지연, 성능저하, 서비스 마비 등을 불러일으키는 공격이다.

VoIP는 실시간 통화임을 감안할 때 서비스 방해공격에 노출이 되면 통화가 불통되거나 마치 미국과 통화를 하는듯한 지연현상, 잡음현상 등을 동반한다.

기존의 알려진 공격에는 SIP bombing(SIP 메시지를 보내서 내부 사용자의 전화기에 일괄적으로 전화가 울리는 공격), SIP-Cancel/Bye DoS(전화를 끊는 메소드를 지속적으로 보냄),  RTP 플러딩(RTP 패킷을 과다로 보내어 음성통화 방해) 등 여러 가지 공격들이 있다. DoS와 DDoS의 가장 큰 차이점은 DDoS의 경우 공격자와 정상 접속자의 분별이 모호하다는 것이다. 현재까지는 조기 탐지나 대응을 위한 장비인프라의 도입이 필요한 실정이다.


도청 및 감청 공격과 방어기법

VoIP는 네트워크 기반의 전화인 만큼 공격자가 게이트웨이로 나가는 IP패킷을 중간에 가로채기 하게 되면 서비스이용자의 통화내용을 도청 및 감청할 수 있게 된다.  공격자는 통화중인 패킷을 분석하여 카드결제 및 계좌번호/비밀번호 등의 중요한 개인정보를 빼내거나 통화내용 노출 등 개인 프라이버시 침해에 커다란 보안사고가 발생할 수 있다.

이를 위한 방어기법에서 가장 중요한 것은 패킷을 스니핑 하지 못하도록 물리적인 접점을 허용하지 않는 것이다. 또한 RTP 트래픽은 암호화키를 통해 암호화 처리되어야 한다.


위·변조 공격과 방어대책

위·변조 공격의 핵심 포인트는 상대방의 인증세션을 가로채는 것이다. 세션이 노출되게 되면 공격자가 피해자의 신분을 도용해서 통화를 한다던지 과금을 다른 사람에게 물리는 등 금전적인 손실을 입힐 수 있게 된다. 게다가 웹공격에 알려진 SQL Injection이나 XSS 등 장비별 취약점 또는 각종 프로그램들을 통한 ARP Spoofing 을 통해 관련된 공격들이 발생할 것으로 예상된다.

그림 3의 웹사이트와 같이 이미 인터넷상에서는 관련된 장비별 취약점들이 수십 개씩 공개되어 있고 현재까지 국산보다는 외산전화를 주로 사용 중인만큼 이러한 취약점들은 각별히 주의가 되고 있다.


이에 대한 방어대책은 다음과 같다.

① 벤더사별 취약점 시그니처로 인한 차단

알려진 공격은 패턴으로 차단이 가능하다. 보안장비에 해당 취약점으로 인한 공격이 탑재되어 방어가 가능하여야 한다.

② 기존 알려진 공격의 차단

SIP 메시지로 들어오는 malformat이나 injection 같은 공격의 패턴이 보안장비에 탑재되어 차단이 이루어져야 한다.

③ 인증 검사

1대의 전화기 에서는 하나의 계정이라는 가정 하에 MAC 또는 인증키 등의 검사를 수행하여 계정도용 등을 방지하여야 한다.


호사다마? 온고지신!

이제 막 기지개를 피는 서비스라 그런지 온갖 위험성들이 우려되고 있다. 그러나 기존의 취약점들은 이미 충분히 겪었고 대응되어왔던 취약점들이다. SIP도 HTTP와 비슷한 모습이기에 개념만 인지하고 있다면 쉽게 대응할 수 있을 것이라고 사료된다. 신규 취약점이라고 해도 결국은 기존의 취약점들의 조합이며 우리가 겪어왔던 취약점들만 잘 다루면 충분히 대응해 나갈 수 있는 대목들이다.

다음호에서는 우리나라 VoIP의 앞날을 제시하면서 VoIP 강국으로 한발자국 더 나가는 계기를 만들어보도록 한다.

<글 : 서용호 모니터랩 위협분석팀장(yhseo@monitorapp.com)>

댓글