"인터넷전화는 해커 놀이터" [전자신문]

"인터넷전화는 해커 놀이터"

전자신문 | 입력 2009.04.14 07:43

 

인터넷전화(VoIP)가 보안에 취약하다는 지적이 나왔다.

　보안업체 시큐어사이언스에 따르면 스카이프, 구글보이스 같은 대표적인 인터넷전화를 쉽게 해킹해 개인 정보 유출, 도·감청하는 것이 가능하다고 13일 PC월드가 전했다.

　'비싱(Vishing:인터넷전화를 이용하여 불특정 다수에게 전화를 걸어 개인정보를 빼내는 피싱기법)'으로 불리는 새로운 사기 방식에 사용자가 노출될 수 있어 주의가 요구된다는 것이다. 비싱은 인터넷전화(VoIP)와 전화사기(Phishing)를 결합한 말이다.

　◇봇넷, 감청의 천국=시큐어사이언스의 공동 창업자 랜스 제임스는 "스카이프와 구글의 인터넷전화 구글보이스를 해킹해 승인받지 않은 전화를 걸거나, 가입자 몰래 전화를 감청하는 것이 매우 쉽다"고 밝혔다.

　시큐어사이언스의 연구 결과 해커는 사용자의 계정을 통해 사설 교환기(PBX) 프로그램으로 수천 건의 전화를 거는 것이 가능했다.

　랜스 제임스는 "스카이프 계정을 훔쳐낸 뒤 불특정 다수에게 마구 전화를 거는 가상 스카이프 봇넷(사용자 몰래 바이러스를 침투시켜 스팸 정보를 뿌리는 PC)을 만드는 것이 가능하다"고 말했다.

　이 같은 방법으로 자동 송수신 시스템을 만들어 가입자의 개인 정보를 빼낼 수도 있었다. 수신인에게 금융 계좌 정보를 업데이트하라는 음성을 녹음한 전화를 걸어 수신인이 입력하는 정보를 빼내는 식이다. 이런 전화는 실질적으로 추적이 불가능하다.

　걸려오는 전화를 가로채는 것도 가능했다. 방법은 단순하다. 계정에 다른 전화번호를 등록해 전화를 받을 수 있게 만드는 임시전화착신 서비스를 이용하면 된다. 애스터리스크(Asterisk) 같은 소프트웨어를 이용하면 사용자의 전화에 벨이 울리기 전에 착신 번호로 전화가 온다. 해커가 전화를 받고나서 전화기의 별표(*)를 누르면 사용자의 전화기가 울린다. 사용자가 전화 상에서 나누는 내용을 엿들을 수 있다.

　◇발신 번호 조작도 예삿일=인터넷전화의 발신 번호를 마음대로 조작하는 것도 가능했다. 스프푸카드(spoofcard) 같은 온라인 서비스를 이용하면 된다. 이 프로그램은 주로 음성사서함에 접근하기 위해 사용됐지만 이를 인터넷전화에 이용해 발신번호를 조작하는 것으로 드러났다.

　시큐어사이언스는 스카이프와 구글보이스를 해킹하는 방법이 약간 차이가 있지만 음성사서함에 들어갈 때 비밀번호를 요구하지 않기 때문에 비슷하다고 설명했다.

　구글도 이를 인정했다. 구글은 "단, 여러가지 조건이 동시에 충족돼야 사용자 계정에 부정하게 접근하는 것이 가능하다"며 "아직까지 사용자들로부터 보안 문제가 제기된 적은 없다"고 밝혔다. 구글은 또 "시큐어사이언스가 제기한 문제를 해결할 수 있도록 음성사서함에 비밀번호를 등록하는 등 몇몇 시스템을 개선했다"고 밝혔다.

　스카이프는 아직 보안 문제를 해결하기 위한 입장을 밝히지 않았다. 랜드 제임스는 "인터넷전화를 엉망으로 만드는 것이 얼마나 쉬운지 증명됐다"며 "스카이프·구글보이스 및 다른 인터넷전화도 마찬가지"라고 밝혔다.

차윤주기자 chayj@etnews.co.kr