보다 빠르게, 보다 많은 사람이 이용하는 것을 목표로 빠르게 달려온 대한민국의 통신시장은 양적인 측면에서 큰 성장을 이뤄왔다. 그러나 수년 전부터 외쳐온 IP중심의 변화에 비해 보안 수준은 아직도 뒤쳐져 있다는 의견이 지배적이다.
최근 조사 자료에 의하면, 모바일 데이터망을 통한 VoLTE뿐 아니라 유선인터넷 망을 통한 인터넷전화(VoIP) 또한 많은 장비들이 최소한의 보안기능조차 적용되지 않아 사실상 해킹에 노출돼 있고, 실제로 이러한 장비를 사용하던 기업들이 수백만 원에서 수억 원에 이르는 요금폭탄을 맞는 사례가 발생한 바 있어 대책 마련이 시급한 것으로 나타났다.
요금폭탄의 대표적인 피해사례로는 국제전화다. 해킹을 당한 인터넷전화 교환기를 통해 요금이 비싼 국가들로 다량의 콜을 발신을 하는 방식으로, 수십분 내에 수백에서 수천만원의 비용을 발생시킬 수 있다.
에스비인터랙티브 유희훈 대표는 “이러한 해킹 사고들은 주로 관리가 되지 않는 구형 IP-PBX에서 발생하고 있다”며 “문제가 되는 장비들의 제조사가 파산한 경우가 많아 피해의 책임이 고스란히 가입자에게 전가될 수밖에 없는 상황이다”고 지적했다.
특히 국내 인터넷전화 가입자는 1200만 명을 넘어 꾸준히 성장하고 있지만, 일반 시장에 유통되고 있는 인터넷전화 장비 대부분이 최소한의 보안기능도 없는 상태로 출시되고 있어 해커의 공격 대상이 되고 있는 실정이다.
이와 관련 최준균 한국과학기술원(KAIST) 교수는 “암호화 처리 없이 패킷통신을 한다는 것은 누군가가 언제든 통신내용을 들여다 볼 수 있는 것과 같다”고 말했다.
통신업계에서도 “VoIP 보안문제는 이미 현실이다”며 “피해가 발생하지 않은 것이 아니라 무관심에 의해 인지하지 못했거나 피해사실을 파악조차 하지 못하는 경우가 대부분이다”고 전했다.
이에 인터넷전화 보안 강화를 위해서 국가정보원에서는 인터넷전화 보안가이드를 마련해 보안인증 평가 기관인 한국정보통신기술협회(TTA)에서 인터넷전화 시스템에 대해 보안 인증 제도를 시행하고 있다. 해당 인증 제도의 대표적인 내용은 통화 보안을 위해 TLS와 sRTP, RSA 키관리를 통한 sRTP 암호화 알고리즘으로 AES/ARIA를 적용하도록 하고 있다.
한편 에스비인터랙티브는 이러한 인터넷전화 보안 피해에 대응하기 위해 지난 8월 자사의 IP PBX 솔루션인 XPBX-300에 대해 ‘TTA Verified Ver3’를 취득해 TLS1.2, sRTP, RSA 키관리 등의 보안 기능을 제공하고 있다. 또한 기업 고객의 내부 통화뿐 아니라 자사 인터넷전화 서비스를 사용하는 개인 고객들에게도 보안이 한층 강화된 통신 서비스를 제공할 예정이다.
