불법스팸·DDoS 공격 등에 무방비 노출
“인증 시스템을 해킹해 다른 사람이 전화요금을 낸 것처럼 꾸민다. 이런 일이 비일비재하면 사업자가 전화요금 제대로 청구할 수 없어진다. 또, 대량 발송된 스팸 전화가 끊임없이 사람들을 괴롭힐 수 있다. 분산서비스거부(DDoS) 공격을 통해 특정 기업의 전화선을 마비시킨다.…”
저렴하고 편리한 서비스로 각광받고 있는 인터넷전화(VoIP)가 보안에는 치명적인 취약점이 속속 제기되고 있다.
3일 관련업계에 따르면, VoIP가 불법스팸·트래픽공격·도청·과금 회피 등의 위험에 노출되어 있어 이를 막을 수 있는 기술과 장비 도입이 시급한 상황이다.
VoIP가 불법스팸의 도구로 이용될 경우에는 e메일 스팸처럼 대량 발송이 가능하기 때문에 엄청난 손실을 가져올 것으로 보인다.
일반 전화는 일일이 전화를 걸어야 해 SMS나 e메일에 비해 음성을 이용한 스팸피해는 적은 편었지만, VoIP는 대량발송이 가능하다.
한꺼번에 많은 이들이 접속함으로써 홈페이지를 다운시킬 염려가 있는 DDoS 공격도 VoIP에서 얼마든지 할 수 있다.
VoIP를 사용하는 기업이나 기관을 공격해 전화선을 마비시킬 수 있다. 또, 해킹을 통한 도청도 걱정되는 부분이다.
이러한 문제점은 VoIP가 태어나면서부터 제기됐으며, 이에 따라 관련 기술 개발도 활발히 진행됐다. 한국정보보호진흥원은 올 초 △보안통신이 가능한 인터넷전화기 △VoIP 스팸대응시스템 △ VoIP 보안세션제어시스템 등 세가지 기술을 개발하고 이중 VoIP 보안 세션제어 시스템 기술을 시큐아이닷컴에 이전했다.
나우콤은 국내 최초로 VoIP 전용 침입방지시스템을 선보여, VoIP와 네트워크보안을 동시에 해결할 수 있게 했다. 이렇듯 상용화된 제품까지 나오면서 이러한 우려를 해소할 수 있게 됐지만, 아직도 도입률은 현저히 낮은 상황인 것으로 파악됐다.
서비스 제공업체뿐 아니라 실제 사용하는 기업과 기관에서도 보안장비를 갖춰야 한다.
업체 관계자는 “인터넷전화사업자들이 보안 장비를 도입했지만 3∼4대 수준에 불과하며 이는 실제 수요의 1/10도 안되는 수준”이라며 “게다가 오래된 장비가 많아 보안 기능 또한 거의 갖춰지지 않았다”고 지적했다.
VoIP 도청을 막기 위해서는 통화내용 암복화가 필수적이지만, 통신사업자들간의 규격을 제정해야 해 이것도 어느 정도의 시간이 소요될 것으로 보인다.
원유재 한국정보보호진흥원 단장은 “도청을 막는 기술은 이미 개발된 상태이지만 통신사업자들 사이에서 음성을 어떻게 암복호화할 것인가에 대한 규격과 표준 논의가 필요하다”며 “이를 위해 사업자들이 논의를 시작했다”고 말했다.
문보경기자 okmun@etnews.co.kr
