공공기관 인터넷전화에 대한 국가정보원 요구사항을 파악하면 VoIP에서 필수적으로 이뤄져야 하는 보안 수준을 가늠할 수 있다.
국정원 인터넷전화 보안가이드에 따르면 인터넷전화(IPT, VoIP)를 도입하는 행정기관은 △강력한 인증·암호화 구현 △외부망과 분리 △인터넷전화망과 전산망의 분리 △전용 보안장비 도입 △백업 체계 구축 △인터넷 전화 시스템 관리 등을 갖춰야 한다.
이 중 통신사 VoIP 서비스에 가장 부족한 것은 암호화 구현이다. 국정원은 보안점검 항목에도 국정원이 제시하는 암호화 규격을 적용했는지 여부를 파악하도록 했다.
최근 국가정보통신망 차원에서 구축된 행정 VoIP 망(일명 C그룹)은 이 같은 관리 하에 시그널 TLS, 미디어 SRTP 암호화를 필수 적용하고 백업망을 갖췄다.
이 외에도 가입자 구간, 사업자 구간 모두에 VIPS(VoIP Intrusion Prevention System, 포괄적 VoIP 위협 방지 시스템)를 도입하는 등 보안 수준을 높였다.
통신사는 C그룹에 도입된 이 같은 보안 시스템을 기업용 상품에서는 적용을 하지 않거나 고객 선택 사항으로 남겨 놨다.
국정원에 따르면 인터넷전화 도입에 따라 △서비스거부(DDos) 공격 △통화내용 도청 △불법 무료통화 △호 가로채기 △스팸 등 위협이 생긴다.
전화망이 일시에 다운되거나 중요한 통화내용이 도청되는 것은 물론이고 정부기관을 사칭한 스팸이나 사용자 등록을 위조해 불법으로 무료통화를 시도하는 등 범죄에 악용될 소지도 높은 것이다.
국정원은 가이드라인에서 ‘(IPT, VoIP는) 물리적 접근없이 원격 도청 등 해킹이 가능하고 사이버테러시 망이 일시에 모두 마비되는 등 위험성과 사회적 파급효과가 크다’고 밝혔다.
이미 IPT를 통한 불법 무료전화 피해는 빈번하게 발생하고 있다. 한국수자원공사에서는 2012년 일명 ‘프로드콜’ 피해로 평상시 100만원 정도 나오던 IPT 통화비가 2000만원 가까이 청구되는 사건이 벌어졌다. 도감청은 물론이고 금전적 피해가 우려되는 상황이다.
알려지지 않았지만 소규모 사업장을 대상으로 한 이 같은 피해 규모는 파악된 것보다 훨씬 많을 것으로 추산된다.
통신업계 관계자는 “VoIP 보안 강화는 이미 현실적인 문제”라며 “피해가 발생하지 않은 것이 아니라 모르거나 파악을 못하는 것”이라고 경고했다.
김시소기자 siso@etnews.com
-
김시소 기자기사 더보기