▒▒▒▒▒ 이소컴 UTM서비스 페이지입니다. ▒▒▒▒▒

관리자 (posted by 2007-12-21)

VoIP(인터넷전화), 보안성 해결 후 도입해야

행자부 시범사업 완료, 취약한 보안문제는 그대로

내년부터 본격적으로 보급될 전망인 VoIP(Voice over Internet Protocol:인터넷 전화)가 취약한 보안성에도 불구하고 도입을 서두르고 있어 우려를 낳고 있다. 특히 행정자치부(이하 행자부)는 이미 각 자치단체의 인터넷 전화 시범사업을 완료하고 시스템 구축을 진행하고 있다.

인터넷 전화는 기존 전화망과 달리 음성신호를 프로토콜로 전환해 사용하기 때문에 통신료가 저렴하다는 장점이 있다. 그러나 프로토콜로 전환되는 시점에서 일반 인터넷과 같이 일정 언어를 받아들이기 때문에 감청이나 해킹이 가능하다. 이미 국내 뿐만 아니라 해외에서도 인터넷 전화의 보안 취약점에 대한 문제점이 발견되고 있다.

하지만 행자부는 보안성에 대해 ‘인터넷전화 도입시 고려사항’이라는 지침을 통해 ‘단계별로 보안 적합여부를 검토하겠다’는 방침만 내걸었다. 자치단체간 호환성이 우선이라는 것이다. 이처럼 정부에서 조차 인터넷 전화에 대한 보안성을 문제삼지 않으면서 일반 구매자들은 자신의 개인정보나 전화통화가 감청될까 노심초사 하고 있다.

한 인터넷전화 구매자는 “일반 전화보다 비용이 저렴해서 구입했는데 자주 끊김현상이 발생하는 등 아직 상용화 단계는 아닌 것 같다”며 “인터넷 해킹 수법이 다양해지고 있다는데 인터넷 전화도 보안에 대한 신뢰성을 정부가 먼저 보여햐 한다”고 지적했다.

시스코, 인터넷 전화 해킹시연 등 문제점 발견

전문가들은 인터넷 전화가 향후 새로운 통신시장의 핫 이슈로 부상할 것이라는 전망에 이견을 달지 않고 있다. 그러나 보안업계에서는 다양한 해킹 시연을 통해 문제점을 지적하고 꾸준한 개선을 요구하고 있다.

지난 10월 미국 샌디에이고에서 열린 ‘ToorCon9 컨퍼런스’에서 선보인 시스코의 VoIP 해킹 시연은 이를 반증해주고 있다. 시스코의 두 명의 보안 전문가들은 자사의 VoIP를 이용해 호텔 기업 네트워크를 해킹해 보였다.

이들은 VoIP로 호텔재정 및 기업 네트워크에 접근해 다른 통화들을 기록할 수 있었다고 전했다. 또 호텔 전화 대신 PC를 이용해 VoIP가 구동되는 네트워크 내부에서 VoIP Hopper라고 불리는 툴로 만들어진 침투 테스트를 사용했는데 이것은 3분 간격으로 발송되는 시스코의 데이터 패킷을 흉내 내 새로운 이더넷 인터페이스를 이용했다. 특히 시스코는 VoIP 전화를 사용하는 원거리 대화가 도청될 수 있다는 것을 인정했다.

시스코 관계자는 “유효한 확장 이동성 인증 증명을 지닌 공격자는 실시간 트랜스포트 프로토콜 오디오 스트림을 전송하거나 수신하는 확장 이동성 피처를 사용토록 설정된 시스코 단일 IP 전화의 원인이 됐다”고 말했다. 이밖에 국가정보원에서도 내년 보호프로파일에 VoIP를 추가하는 등 인터넷 전화의 보안 적합성에 대한 취약 여부를 간과해서는 안된다고 강조했다.