우리나라 유무선 인터넷전화(VoIP)에 암호화가 전혀 이뤄지지 않아 사실상 해킹에 무방비 상태인 것으로 나타났다. 유선 인터넷전화에 이어 최근 무선 통화도 인터넷 기반 음성 롱텀에벌루션(VoLTE)으로 급속히 전환 중이어서 통화 해킹 사고가 급증할 것으로 우려됐다. 세계 어느 나라보다 통신의 IP화가 빠르게 진행되고 있지만 보안 수준은 후진성을 면치 못하고 있다는 지적이다.
2일 전자신문이 SK텔레콤, KT, LG유플러스, SK브로드밴드 등 통신 4사를 대상으로 조사를 실시한 결과, 이들 통신사는 VoLTE와 IPT 망에 ‘IPSec’ ‘TLS’ ‘sRTP’ 등 별도 암호처리를 하지 않는 것으로 파악됐다. 암호화 처리를 하지 않는다는 것은 통화 내용, 번호 입력, 수발신 현황을 그대로 들여다볼 수 있다는 의미다.
이통 3사에 따르면 LTE 데이터는 단말과 기지국 사이 무선 구간에서 기본적인 암호 처리가 이뤄지지만 이를 코어망(유선)으로 전달할 때는 암호를 풀어 전송한다. 통신사 유무선 망 중 휴대폰에서 기지국으로 전송되는 구간을 제외하면 내용이 가려지지 않는 셈이다.
통신업계는 “기본적으로 LTE나 인터넷 회선은 폐쇄망으로 운영해 위협이 없다”는 시각이지만 전문가들은 대체로 문제가 있다고 지적했다.
최준균 한국과학기술원(KAIST) 교수는 “암호화 처리가 되지 않는다는 것은 언제든지 누군가 들여다볼 위험이 있는 것”이라며 “폐쇄망이기 때문에 함부로 볼 수 없다는 것을 감안해도 이미 많은 정보들이 흘러다니는 망에 보안 취약점이 있다는 것은 문제”라고 말했다.
통신업계는 통화 시 가입자를 확인하는 VoLTE 인증에서도 보안 수준을 올리지 않았다. 통신 3사는 최근 VoLTE 인증 방식을 IMS-AKA로 업그레이드했지만 후속 업그레이드를 하지 않아 반쪽짜리로 운영 중이다.
IMS-AKA는 통신사와 사용자가 서로를 양방향으로 확인하는 인증방식으로 세계이동통신사업협회 권고사항이다. 심(SIM) 카드에 저장된 아이디와 비밀번호를 이용해 통신사가 사용자를 단방향으로 인증하던 옛 방식(다이제스트)보다 보안 수준이 높다.
국내 통신사들은 이 같은 방식을 채택하고도 인증 단계에서 중요한 키를 전달하는 ‘IPsec’ 솔루션을 VoLTE에 적용하지 않았다. 통신사 사정에 정통한 통신장비 업체 한 관계자는 “AKA 인증은 IPsec과 페어링되지 않으면 의미가 없다”고 지적했다. 현재 유럽 주요국 통신사들은 모두 IPsec을 적용하고 있다.
통신사가 IP망을 늘리면서도 보안을 강화하지 않는 것은 결국 투자비 부족과 예산절감 이슈 때문이다. 과도한 자신감도 보안 불감증을 키우는 요소로 꼽혔다.
익명을 요구한 통신사 관계자는 “내부적으로 폐쇄망에 운용에 대한 자신감이 크고 그동안 치명적인 문제가 터지지 않아 보안은 망 투자에서 크게 중요하게 다뤄지지 않는 경향이 있다”고 설명했다.
최 교수는 “일부 통신사는 굉장히 복잡하고 거대한 망 구조를 가지고 있어 보안을 제대로 적용하려면 막대한 투자비가 필요하다”며 “보안 예산이 후순위로 밀리면서 IP망 고도화 속도를 따라잡지 못하는 것”이라고 분석했다.
김시소기자 siso@etnews.com
-
김시소 기자기사 더보기