제가 가끔씩 인터넷 전화나 영상 회의 솔루션 관련한 기사에 대해 몇 가지 첨언하거나 부연 설명하는 경우가 있습니다. 주로 잘못된 기사 내용에 대한 지적질이 전부인데 이번 기사는 시작에서 끝까지 얼토망토 않은 내용으로 써진 것입니다. 한 문장 한 문장 깔려다가 큰 것만 골라서 깐 후에 나중에 총평으로 다시 까겠습니다.
이 기사는 "구더기 무서워서 장 못 담근다."와 "굼벵이 잡으려다 초가삼간 다 태운다"에 적합한 기사로 억지 주장이 무엇인지에 대해 살펴보겠습니다. 왠만하면 그냥 넘어갈려고 했는 데... 쩝
2013년 3월 20일 인터넷 보안 위협 발생하다
2013년 3월 20일 전방위적인 인터넷 보안 공격이 발생하여 약 3만여대의 PC가 악성 코드에 감염되었으며, 신한은행과 제주은행의 전산망 마비와 MBC, KBS, YTN 등의 방송사가 피해를 입었습니다. 인터넷 상에 보안 위협이 발생하면 어김없이 등장하는 것이 정확한 원인 규명과 사후 대책을 논의하고 대안을 마련하는 것이 일반적인 IT 기자들의 태도입니다.
이런 사건의 발생 과정과 대안을 마련하기 위해 조언하는 기사들이 넘쳐나는 가운데 엉뚱한 곳으로 불꽃을 튕기는 기사가 있었습니다. 며칠전 생뚱맞은 기사가 떠서 한참 동안 웃었습니다. 물론 많은 IT 기사들이 이익집단의 의견을 대변하기는 하지만, 노골적이지는 않으면서 기자로써의 태도를 견지합니다. 이 글은 예외적인 경우이니 혹시 IT 기자님들이 글을 보시고 짜증내지 마시기 바랍니다.
아시아 경제의 "3.20 대란에 이어 '청와대 핫라인'뚤리나"라는 제목의 기사로 심나영 기자님이 쓰신 글입니다.
"http://view.asiae.co.kr/news/view.htm?idxno=2013032211094505133&nvr=Y"
위의 글은 기사 내용 중에 마지막 부분을 발췌한 것입니다. 우선은 자극적인 내용과 검증되지 않은 내용을 전제로 하여 시작하여 정해진 결론을 낸 글로 자신의 아마추어적인 실력을 그대로 드러낸 것입니다. 결론적으로 글의 내용으로 지목된 원인은 인터넷 전화 뿐만 아니라 인터넷 뱅킹 심지어 인터넷까지 해당되는 것으로 위험하니 사용하지 말자거나 재검토하자입니다.
이 글은 거의 모든 각 문단이 잘못된 내용으로 되어 있는 특이한 글입니다. 도입부는 그나마 사실을 나열하고, 관련된 우려를 설명하고 있습니다. 발췌한 부분부터는 너무 나가서 주체를 하지 못하는 문장들을 살펴보겠습니다.
- "인터넷 전화는 디도스, 악성코드 등 사이버 공격으로 통신망이 마비될 뿐만 아니라 해킹을 통해 원격도청까지 당할 수 있다. 극단적으로 표현하면 대통령의 통화도 언제든 도청당할 수 있다"
보안 관계자의 말을 빌린 것으로 인터넷 전화의 극단적인 위험성을 표헌한 것입니다. 이를 인터넷 전화가 아닌 인터넷으로 주어를 바꾸어도 마찬가지입니다. 이 표현은 네트워크로 연결된 모든 기기들에 해당하는 것으로 스마트폰, 스마트 TV, 컴퓨터 등 극단적으로 표현했을 때 해당하지 않는 것이 없으며, 이 표현에서 인터넷 전화가 더 위험하거나 덜 위험하다고 할 수 없습니다. 자동차나 헬기는 언제든지 사고나 날 수 있으므로 극단적으로 표현하면 대통령은 언제든 사고의 위험에 노출될 수 있습니다. 기사 제목을 "고속도로 10중 추돌사고에 이어 대통령까지 사고나"로 쓰면 말이 않되듯이 이런 표현 자체가 문제입니다.
기술적으로 기존 유선 전화의 경우 국가 기관이 공식적으로 영장만 있으면 모든 통신을 전화국에서 직접 도감청할 수 있습니다. 사용자는 모르게 "태핑" 또는 "브릿징"이라는 방법으로 기존 전화라인에 선 하나 더 거는 것으로 일반 가정집에서 흔히 쓰는 방법입니다. 이는 아무런 기술도 필요없이 전화기만 있으면 도감청이 가능한 기존 유선 전화는 극단적으로 표현하면 항상 도청당하고 있는지도 모릅니다. 쩝 - "정부는 인터넷전화에 암호화 기술을 도입해 안전하다고 주장하지만 유선전화보다는 위험하다는 것이 상식이다"
기존의 유선전화와 인터넷 전화를 비교해 봅시다. 유선 전화는 암호화하지 않으며 "브릿지" 또는 "태핑" 기술을 통해 통화중인 호에 전화기만 같다 대면 바로 들을 수 있습니다. 특히, 각 빌딩의 전화선이 모이는 MDF 구간 또는 전화국에만 있어도 모든 통화를 감청할수 있습니다. 그러면, 청와대만 물리적으로 접근하지 않으면 안전하다고 생각하겠지만, 유선 전화는 청와대 내에서만 쓰는 것이 아니라 전국으로 연결됩니다. 청와대에서 전화국까지 가는 모든 라인을 물리적으로 지키지 않으면 보안이 되지 않습니다.
사실 청와대에서 전화국까지는 Layer 1 레벨 (전기신호)에서 암호화를 하긴 하지만, 발신자와 수신자사이의 모든 물리적 전화선에 대해 암호화를 할 수 없습니다. 즉, 기존 전화환경은 암호화조차 어려운 환경입니다. 그래서 미국방성이나 해외 주요 국가기관은 이미 인터넷 전화를 도입하였습니다.
즉, "인터넷 전화가 유선전화 보다 는 위험하다는 것이 상식이다"는 완전 잘못된 것입니다. 다음은 실제 미군과 정부에서 사용하는 사례입니다. - 지난해 7월 발생한 국내 모 여행사의 인터넷 전화기가 해킹당하면서 여행사가 쓰지도 않은 수천만원의 국제 전화 비용을 부과한 사례
실제 인터넷 전화를 사용할 경우에 가끔 발생하는 과대과금 사고입니다. 문제는 과대 과금이 대표적인 인터넷 전화 보안의 암호화가 부실해서 발생하는 사고인가 하는 점입니다. 이것은 해킹에 의해 발생할 수 있는 가능성이 있지만, 실제 사례의 경우에는 인터넷 전화 시스템에 대한 기본적인 보안 설정만으로도 막을 수 있는 초보적인 단계의 보안을 하지 않은 경우에 발생합니다. 물론, 발생한 사이트들은 암호화를 적용하지 않았습니다.
또한, 이 것이 비단 인터넷 전화만의 문제이며 기존 유선 전화에서는 발생하지 않는 문제인가입니다. 기존 전화 교환 시스템인 PBX 는 DISA (Direct Inward System Access) 기능 및 음성 사서함과 유지보수를 위한 원격 접속 포트를 이용한 과대과금 사례가 여러차례 기사화되었습니다. 특히 DISA는 매우 흔한 사고패턴입니다. DISA는 회사 외부에서 직원이 특정 번호로 접속한 후에 권한코드를 획득하여 전화를 거는 방식으로 이 코드가 여러 경로로 유출될 경우에 발생합니다.
기존 유선 전화 시스템에서의 해킹 사례와 이에 대한 방어 방법에 대한 기사가 있으니 참조하시기 바랍니다.
http://www.tdsbusiness.com/resources/additional-resources-beware-of-phone-system-fraud.pdf
즉, 암호화 모듈의 문제로 인한 사고가 아니므로 잘못된 예입니다. - 정부기관에서 인터넷 전화를 보급하면서 국정원에서 개발한 암호화 모듈을 실었지만 해킹 위험은 존재하고, 외교나 국방을 제외한 다른 분야는 미국 시스코의 암호화 모듈을 실었지만 한때 도청되는 것으로 알려지기도 했다
"국정원에서 개발한 암호화 모듈"은 ARIA를 의미하는 것으로 (Academy (학계), Research Institute (연구소), Agency (정부기관)의 앞자를 딴 줄임말로, 국제표준인 AES의 표준을 따르도록 설계되었습니다. ARIA를 한국형 암호화 모듈이라고도 합니다.
"미국 시스코의 암호화 모듈"은 AES (Advanced Encryption Standard)로 현재 전세계에서 인정받고 있는 암호화 모듈이며 현존하는 암호화기법 중에 가장 복잡한 알고리즘으로 알려져 있습니다. 여기서 미국 시스코의 암호화 모듈이라는 표현은 잘못된 것으로 NIST에서 제정한 표준 암호화 알고리즘으로 전 세계에서 사용되는 암호화 방식으로 라이센스가 없는 것이 특징입니다.
AES는 학계에 의해 끊임없이 해킹 가능성에 대한 연구가 이루어지고 있으며, 문제가 보고되면 수정 보완되고 있습니다. 그러나, ARIA는 국내 학계에 의해 해킹 가능성에 대한 연구가 있느 지도 의문이며, 전 세계에서 연구하는 것과 국내에서 연구하는 것의 차이는 분명 존재합니다.
AES가 도청이나 해킹된 사례는 아직까지 없지만, 낮은 수준의 암호화에서는 해킹의 위험성이 존재하므로 높은 수준의 암호화인 128비트이상을 사용합니다. 영화에서 보듯이 손쉽게 해킹할 수 있는 방식은 현실에서 존재하지 않습니다. 따라서 주로 암호화 키값을 획득하기 위한 방향으로 진화하지만, 공개키 기반 구조를 이용하므로 안전하다고 할 수 있습니다.
또한, 언급된 도청 사례는 시스코 7900 시리즈 낡은 전화기의 펌웨어를 해킹하여 도청이 가능함을 연구 발표한 것을 의미하는 듯하며, 이를 시스코는 패치하였습니다. 즉, AES의 문제가 아닌 낡은 버전의 펌웨어의 오류였습니다. 보안은 이렇게 해킹 가능성을 연구하고 이에 대한 대책을 마련하여 나쁜 의도의 공격을 차단하는 것입니다.
이외에도 모든 문장에 문제가 있지만, 넘어 가겠습니다. 쓰기도 힘듭니다.
황망한 결론 - "완벽한 보안이란 없으므로 인터넷 전화 도입을 원점에서 재검토 해야한다"
지금까지 언급한 기사의 모든 내용이 사실이고 올바른 가정이다고 믿을 지라도 마지막 결론은 황망합니다. 지금까지 이야기의 흐름에서 보았듯이 굼벵이 잡을려다 초가삼간을 태우는 꼴입니다. 지금까지 수많은 보안 사고가 발생하여도 인터넷 뱅킹을 하지 말자거나 인터넷은 하지 말자는 결론을 낸 기사를 본 적이 없습니다. 더 나은 보안 대책을 수립하여 해결하자가 기본적인 자세였습니다. 그러나, 유독 직접적인 원인도 아닌 인터넷 보안 사고로 인해 인터넷 전화 도입 자체를 재검토하자는 것은 너무 억지스러운 결론입니다. 이야기의 흐름과 결론은 다음과 같습니다.
- 3월 20일 보안 사고 발생
- 인터넷 전화 보안도 문제
- 극단적으로 표현하면 대통령 통화도 도청 가능
- 지난 7월 모 여행사에서 과대과금 사고 발생
- 인터넷 전화는 유선전화보다 더 위험하므로 특단의 대책 필요
- 국정원 개발 암호화 모듈을 보급 중이지만 보안 위험 상존
- 미국 AES표준을 따르는 전화기도 위험
- 국가 안보가 중요하므로 인터넷 전화 보급을 원점에서 재검토
읽어보면 아시겠지만, 처음과 끝이 전혀 상관관계가 없는 내용입니다. 지난 농협 사태와 같은 때에도 이런 결론은 없었습니다. 농협의 모든 ATM 및 인터넷 뱅킹을 원점에서 재검토하자거나 사용하지 말자거나 하는 결론을 내릴 수가 없습니다. 즉, 특정 결론을 상정하고 전문가의 입을 빌어 이야기를 엮은 것으로 다분히 의도가 있는 결말입니다. 의도는 여러분의 상상에 맞기기로 하겠습니다.
정말 "도청은 누워서 떡먹기?"인가
흔히들 인터넷에서 암호화는 무의미하다는 생각을 합니다. 일년에도 몇 번씩 보안 사고가 발생하고, 영화나 TV 프로그램의 해커는 못하는 짓이 없고 풀지 못하는 암호가 없기 때문입니다. 만일 영화와 같다면 우리는 인터넷 뱅킹도 스마트폰 뱅킹도 할 수 없으며, 전자 상거래는 불가능해야 합니다. 간혹 발생하는 인터넷 사고는 암호화나 기술의 문제가 아닌 사람에 의한 문제가 더 많습니다. 기억에 나는 뉴스를 생각해 보시면, 패스워드 분실, 잘못된 자료 폐기 등으로 인재에 의한 사고가 대부분으로 영화와 같은 일은 현실에서 발생하지 않습니다.
아래 링크는 인터넷상의 보안에 대한 기사로 암호화를 푸는 것이 얼마나 어려운 지를 잘 설명하고 있습니다.
http://www.zdnet.co.kr/news/news_view.asp?artice_id=00000039147140&type=det
IT 기자라면 위와 같은 글을 써야 합니다.
마치며
사실 이 분야의 전문가가 아니면 이런 기사의 문제점을 읽어내기란 쉽지 않습니다. 그냥 슬쩍 읽으시는 분들은 인터넷 전화가 보안에 문제가 많으니 도입을 하지 말아야 겠다는 생각을 할 것입니다. 보안이 중요한 곳일 수록 인터넷 전화를 사용하여 안정성 및 보안을 확보해야 하지만, 이런 기사로 인해 잘못된 인식을 가지게 될 수 있습니다. 새로운 기술이 대두면서 나오는 다양한 현상들이라고 하기엔 현 시점에서는 아니올시다 입니다. 현재 천만 가구가 넘게 인터넷 전화를 쓰고 있는 상황에서 아직도 이런 기사가 나온다는 것은 문제가 있습니다.
------------------------------------------------------------------------------
라인하트 (CCIEV #18487)
ucwana@gmail.com (라인하트의 구글 이메일)
http://twitter.com/ucwana (라인하트의 트위터 )
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항)
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스)
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들이 모인 구글 구룹스)
정리하고 보니 나도 디지털 네이티브 ___________________________________________________________
