VoIP 보안 “이것만은 꼭 알아두자!”

2010-04-02 15:56
  • 카카오톡
  • 네이버 블로그
  • url
+ -

안전한 인터넷전화 사용을 위한 보안 대책은? 이동통신과 인터넷전화간 결합의 유무선통합(FMC)서비스 등이 화두가 되는 등 인터넷전화 서비스가 차세대 통신 서비스의 주류로 자리매김할 것으로 예상되는 가운데 보안에 대한 관심도 높아지고 있다. 특히 개인과 기업에서 안전한 인터넷전화(VoIP) 사용을 위해 보안위협과 대응방법에 관심을 갖고 주의를 기울여야 한다.

국내에서 서비스를 시작한지 10년이 지난 인터넷전화(VoIP)는 지난해 말 가입자 600만명을 넘겨 올해 상반기 중 1,000만 가입자를 넘어설 것이 예상될 만큼 빠르게 PSTN을 대체하고 있다. IP전화 전용번호 도입으로 일반전화와 인터넷전화간의 통화가 가능해지고 통화품질이 개선되면서 기업들이 TCO 절감을 위해 잇따라 도입하였고 데이터망과의 통합과 더불어 다양한 부가 서비스 이용이 가능하다는 장점들이 인터넷전화 시장의 확장에 큰 기여를 했다. 이동통신과 인터넷전화간 결합의 유무선통합(FMC)서비스 등이 화두가 되는 등 인터넷전화 서비스가 차세대 통신 서비스의 주류로 자리매김할 것이라는 예상 속에 지난해 인터넷전화 게이트웨이 IP 해킹으로 약 1억원 이상의 요금이 사용자 측에 청구되는 보안사고가 발생하는 등 시장성숙과 맞물려 그 어느때 보다 VoIP보안에 관한 관심이 높아진 상황이다. 개인과 기업에서 안전한 인터넷전화(VoIP) 사용을 위한 보안위협과 대응방법에 대해 고려해야 할 사항들을 알아보고자 한다.

VoIP 서비스 보안 위협과 대책
VoIP 서비스는 IP 망으로 음성과 데이터의 통합서비스를 제공하기 때문에 데이터 망만을 보호하기 위한 노력과 비용에 비해 음성 데이터의 보호까지 고려해야 하므로 상대적으로 복잡하다. 안전한 VoIP 서비스 제공을 위해서는 VoIP 프로토콜의 보안 특성과 IP 기반 환경에서 현재 알려진 취약점 및 잠재적인 보안 위협 유형을 이해하는 것이 중요하다. 이와 관련하여 VoIP 기술의 종합적인 정보보호 요구사항을 도출하고 그 보호대책을 수립ㆍ이행하는 것이 필요하다. VoIP 서비스 환경은 IP 기반 망에서 발생할 수 있는 위협을 모두 고려할 수 있지만 그 중에서도 가장 문제가 될 수 있는 주요 보안 위협들은 표 1과 같다.
VoIP 정보보호 요구사항은 VoIP 프로토콜의 보안 특성과 IP 기반 환경에서 현재 알려진 취약점 및 잠재적인 보안위협 유형을 이해하여 서비스 제공에 앞서 고려해야 하는 정보보호 목표라고 할 수 있다. 안전한 망 설계 방안과 장비 및 트래픽 보호, 각종 서비스 보안 위협에 대한 대책, 관리적 대책 등이 중요하며 더불어 본격적인 서비스 상용화를 대비하여 예상할 수 있는 역기능을 최소화하기 위한 노력이 강구되어야 한다.

안전한 망 설계
사설 IP 주소 분리
데이터망과 구분하여 VoIP 구성요소들에 RFC1918 Address Allocation for Private Internets에 정의된 사설 IP 대역(10.x.x.x, 172.16.x.x, 192.168.x.x)의 주소를 할당하거나 별도의 주소대역을 가지는 논리적인 서브넷에 할당하도록 한다. 사설 IP 주소 할당은 외부로부터 내부망을 숨길 수 있어 보안 효과를 기대할 수 있다. 그러나 종단 간 전화통화를 위해 VoIP 패킷의 송수신 IP 주소를 적절하게 변환할 수 있는 NAT 오버헤드가 존재한다. 주소할당을 위해 DHCP 서버를 운영하는 환경에서는 음성망과 데이터망 각각 DHCP 서버를 운영하여 하도록 한다.

랜(VLAN, Virtual LAN)
● 음성 VLAN : VLAN 기술은 시스템의 물리적 위치와 무관하게 같은 네트워크 주소공간을 공유하는 시스템들을 효율적으로 그룹핑 하는 기술이다. 같은 VLAN에 속한 호스트들은 2계층 스위칭 통신을 하고 다른 VLAN에 속한 호스트들은 3계층 라우팅 통신을 하며 필터링도 설정 할 수 있다.
모든 VoIP 단말과 서버들을 음성(VLAN27)으로 구성할 경우 데이터망에서 발생할 수 있는 과도한 브로드캐스트에 의한 대역폭 점유로 품질이 저하되거나 또는 데이터망으로 유입되거나 발생되는 악성 트래픽 보안 위협이 어느 정도 차단될 수 있다는 장점이 있다. 음성 VLAN과 데이터 VLAN 사이의 트래픽은 방화벽이나 접근제어리스트로 적절한 필터링 정책을 설정하도록 한다.
● Voice VLAN 접근 : 일단 단말을 포함한 장치들이 망에 연결되었을 경우 사용자 및 단말이 VLAN에 접속할 권한이 있는지 여부를 점검한 후 적절한 VLAN을 할당해야 한다. 이를 지원하는 기술은 ‘물리적 포트 지정(물리적인 스위치 포트를 고정 MAC에 할당하는 경우), IEEE 802.X 포트 인증 기술’ 등이 있다. 물리적 포트 지정은 2계층에서 사용자나 단말의 권한을 검사하고 MAC 플러딩 공격이나 MAC 스푸핑 등의 위협을 예방하기 위해 스위치의 Port security 기능을 설정한다. Port security는 대부분의 스위치에서 제공하는 기능으로 스위치의 각 포트별로 MAC 주소를 정적으로 설정하며 설정된 MAC 주소만 해당포트를 통해 통신을 허용하거나 반대로 필터링하게 된다.
각 포트별로 허용 가능한 MAC 주소 수를 지정하여 이 수치를 초과할 경우 MAC 주소는 더 이상 통신이 되지 않도록 차단하거나 해당포트를 아예 일정시간동안 또는 영원히 셧다운(shutdown) 하도록 설정할 수 있다. 또한 802.1x 포트 인증은 802.1x를 통한 인증검사는 클라이언트 ID와 ID별 접근권한이 담긴 프로파일을 기반으로 망 접속을 제한한다. 그러나 현재 IP전화기는 802.1x 기술을 지원하지 않고 있다. 그래서 IP전화기 및 단말 사용자에 대한 802.1x 인증 방식은 적용할 수 없지만 데이터 VLAN의 PC로부터 데이터 흐름과 그 사용자는 인증 서버를 통해 스위치에서 인증할 수 있다.

방화벽 및 접근제어 리스트
음성겣?謙?VLAN 사이의 트래픽 필터링을 위해 VoIP 트래픽을 검사할 수 있는 방화벽을 설치하거나 접근 제어 리스트를 설정하도록 한다. 이때 관리 트래픽 및 이메일 서버와 음성 메일 서버간 데이터 트래픽도 필터링 정책에 따라 제어하도록 한다.

장비 보호
VoIP 서버 보호
VoIP 서비스를 제공하기 위한 주요 서버 시스템, IP PBX, 게이트웨이, 게이트키퍼, 프락시 서버, 등록 서버 등은 VoIP 단말과 구분, 별도의 물리적 공간을 할당하여 논리적 그룹핑을 통해 망을 구성하고 방화벽 등으로 내부를 보호하여 다른 VLAN과의 통신을 제어하도록 한다. 보안성을 강화하기 위하여 허브 시스템 같은 공유 매체는 사용하지 않으며 스니핑 도구 설치의 피해 효과를 최소화하기 위하여 스위치 장비를 사용한다.
그리고 VoIP 서비스와 관련된 민감한 정보를 다루고 저장하는 VoIP 서버 및 단말은 OS 및 시스템 소프트웨어, 응용 프로그램 등에 존재할 수 있는 취약점을 시스템·네트워크 취약점 점검도구와 해당 OS 및 시스템 소프트웨어, 응용 프로그램별 보안 체크리스트를 활용하여 주기적으로 점검하도록 한다. VoIP 서버 기능 이외의 목적으로는 활용하지 않도록 주의하며 전화서비스 특성상 중요한 VoIP 서버군은 항상 전원 공급이 되도록 UPS를 적용하며 IP PBX 및 호 처리기 같은 중요 서버들은 백업체제를 유지하는 등 서비스 가용성을 보장하도록 한다.

VoIP 단말 보호
● 단말 등록 : 기존 아날로그 전화기의 경우 초기에 전화 서비스를 받기 위해서는 물리적으로 공중전화망 회선에 연결하는 작업을 사람의 손에 의해 수동적으로 했기 때문에 Tapping 등의 위험이 존재해왔다. 그러나 VoIP 서비스의 경우 단말이나 서버를 망에 등록할 때 VoIP 서버 등으로부터 시스템의 설정정보를 자동으로 다운로드 받을 수 있다. 이런 환경에서 주의할 점은 권한 없는 단말이 망에 등록되어 설정정보를 다운로드 받지 않도록 단말에 대한 사전 권한 검사를 실행해야 한다.

단말의 설정정보 보호
임의의 사용자가 접근하기 쉬운 VoIP 단말기를 설정하는 화면에는 반드시 패스워드를 설정하도록 한다. 또한 단말기의 설정정보 접속 및 디스플레이에 대한 화면보호기 패스워드는 시스템 관리자에게만 알리고 정기적으로 변경하도록 한다.

IP전화기 통신포트 설정
IP전화기의 경우 보통 PC나 워크스테이션 등에 연결할 수 있는 여분의 데이터 포트가 제공된다. 만약 802.1Q VLAN Tagging 기능을 지원하는 IP전화기라면 스위치와 IP전화기 사이의 연결링크는 트렁크링크 타입으로 음성과 데이터 정보를 구분할 수 있다. 그러나 액세스 링크 타입이라면 음성과 데이터 구분 없이 전달된다. 따라서 멀티포트를 지원하는 IP전화기의 경우 802.1Q를 지원하거나 기능이 없다면 데이터 포트를 연결하지 않거나 데이터 포트 비활성화를 한다.

소프트폰 보안
소프트폰은 PC 등에 직접 연결되므로 PC 뿐만 아니라 PC가 직접 연결된 망 전체를 목표로 한 공격에 노출되어 있다고 할 수 있다. 예를 들어 전화를 걸거나 받을 때마다 VoIP 서버의 호 제어 서비스가 필요하게 되므로 소프트폰을 통해 웜이나 스파이웨어 등이 음성 VLAN에 전파될 수 있다. 따라서 소프트폰 사용은 특별한 경우를 제외하고 가급적 지양할 것 을 권고한다.
그러나 소프트폰의 휴대 편리성 등 장점으로 사용이 꼭 필요한 환경이라면 사용 전에 관리자의 승인을 받을 수 있도록 보안정책을 수립하고 설치될 호스트는 802.1Q(VLAN tagging)와 802.1P (Priority tagging)가 지원되는 네트워크 인터페이스(NIC:Network Interface Card)를 사용하여 음성과 데이터를 각각의 인터페이스에 할당하여 궁극적으로 음성과 데이터 트래픽이 구분될 수 있도록 한다.

트래픽 보호
트래픽 제어
● VLAN간 통신 보호 : 음성 VLAN과 데이터 VLAN간 통신은 특정한 경우를 제외하고는 트래픽 흐름이 없도록 한다. 예를 들어 데이터 VLAN에 설치된 소프트 폰이 운영 목적으로 VoIP 서버에 접근할 경우나 음성 VLAN 내 IP전화기가 데이터 VLAN 내 메시지 서버에 접근할 경우이다. 이런 경우 음성ㆍ데이터 VLAN 간 주고 받는 트래픽은 3계층 스위치의 ACL이나 방화벽 등으로 최소한의 필터링을 설정해야 한다. 그리고 음성 VLAN과 데이터 VLAN간 트래픽은 권한 있는 장치의 포트, 프로토콜, 서비스에 제한하여 허가하도록 한다.
음성 VLAN에서 데이터 VLAN으로 향하는 트래픽의 양은 적은 편이므로 라우터나 스위치에 대한 ACL을 설정하여 필터링 하는 것이 비용과 효율 측면에서 효과적이다. 반면에 데이터 VLAN에서 음성 VLAN으로 향하는 트래픽, 예를 들어 데이터 VLAN 내에서 사용이 허가된 소프트폰에서 음성 VLAN으로 향하는 트래픽은 VoIP 트래픽 분석이 가능한 방화벽 설치를 통해 필터링 할 것을 권장한다. 망 경계부분의 라우터나 방화벽 시스템의 주소를 출발 주소로 갖고 음성 VLAN IP 주소 공간으로 전달되는 트래픽 및 음성 VLAN 주소대역을 출발지로 하는 트래픽은 주소 스푸핑 위험이 있으므로 모두 차단하도록 설정한다.
● WAN대 LAN 통신 보호 : VoIP 트래픽은 보통 4개의 포트를 열어 통신하게 된다. 제어신호 교환용 2개(call setup, teardown)와 미디어 트래픽 교환을 위해 2개 포트(transmit, receive)를 활용하고 1024~65535 범위의 포트를 사용하기 때문에 방화벽에서 이들 트래픽을 관리하는 것은 까다로운 문제가 된다. 따라서 LAN 환경을 넘어서 WAN을 거쳐 다른 VoIP 망과 안전한 통신을 위해 VoIP 트래픽 분석이 가능한 방화벽을 해당 구간에 설치하여 이입되는 트래픽을 필터링 하도록 한다.

트래픽 암호화
공중 인터넷 구간은 암호화 하도록 한다. 암호화 방식은 종단간 암호화 방식과 구간별 암호화 방식으로 나뉜다. 전자의 방식은 단말에서 암호화와 복호화를 처리해야 하므로 단말의 프로세싱 능력이 보장되어야 하고 단말시스템에 암호화 모듈이 포함되어야 한다. VoIP 프로토콜에 따라 표준화된 암호화 기술을 제공하고 있다.
시그널링 트래픽을 암호화하는 표준기술은 H.323에서는 H.235를, SIP에서는 TLS 및 IPsec 기반의 암호화 기술을 정의한다. MGCP와 MEGACO/H.248의 암호화 기술은 네트워크 계층의 IPsec 기술의 적용을 권고하고 있다. H.323과 SIP 표준에서는 미디어 전송 프로토콜인 RTP에 대한 암호화 기술로 SRTP를 정의하고 있다. 미디어 암호화는 종단간 암호화 방식으로 단말의 프로세싱 능력이 보장되어야 지원이 가능하다. SRTP는 키 관리 시스템에 독립적인 모듈로 구현이 가능하지만 SRTP에 최적화된 키 관리 메커니즘으로 MIKEY가 표준화 진행 중이다.

기타
VoIP 스팸 대응
● 컨텐츠 필터링 : 기존 이메일에 적용하는 컨텐츠 필터링을 Voice 스팸에도 적용하는 방식으로 컨텐츠 분석 도구를 활용하여 음성과 비디오 정보를 검색하여 특정 컨텐츠를 필터링하는 작업은 데이터 대상 분석보다 비효율적이며 호 스팸 보다는 IM 스팸에 보다 효과적인 대책이다.
● 블랙 리스트(Black Llists) : 사용자 이름이나 전체 도메인 이름 등을 스팸 발송자 목록으로 관리하여 스팸 필터링에 활용하는 방식으로서 주소 정보는 매우 다양하며 이메일 주소는 쉽게 스푸핑이 가능하므로 위조된 거짓 주소를 가진 이메일과 SIP 스팸에는 효과가 크지 않다.
● 화이트 리스트(White Lists) : 블랙 리스트의 반대 개념으로 정당한 송신자의 호와 메시지만 걸러서 수신하는 방식으로서 리스트 내 주소의 스푸핑 여부를 검증할 강력한 인증 메커니즘과 함께 사용하는 것이 가장 좋은 예방 형태이며 처음 대면하는 상대의 주소정보가 정당한 송신자로 인정받을 수 있는 방법이 가장 문제가 된다(Introduction Problem). 특히 IM 스팸에 효과적이다.
● 튜링 테스트(Turing Test) : 자동으로 녹음되는 호 스팸을 예방하기 위한 방법으로서 오직 사람만이 대답할 수 있는 질문(예를 들어 이미지 안의 숫자나 단어의 나열을 맞추는 것 등)을 주어 맞출 경우 화이트 리스트로 간주하여 녹음을 허용하는 방식이다.
● Consent Framework
화이트ㆍ블랙 리스트를 함께 적용하는 방법으로서 리스트에 존재하지 않는 A가 B에게 연결을 요청하면(consent), B는 나중에 A의 연결을 승낙하거나 거부하게 된다. 이는 IM 스팸 및 Presence 스팸에 적용하며 인증 메커니즘과 함께 사용한다.
● SIP 메시지의 스팸 예방을 위한 프레임워크 : 스팸 예방을 위한 단일솔루션은 현재 존재하지 않으며 다양한 기술의 접목이 필요하다.
- 신원 확인을 위한 강력한 인증 기술 : HTTP Digest Authentication, TLS, RFC3325, Draft-ietf-sip-identity-05
- 화이트 리스트 : introduction problem 발생
- Consent framework : Draft-ietf-sipping-consent-framework-01, introduction problem을 해결
이와 같이 VoIP 스팸은 제도적겚茱珦?대책이 복합적으로 뒷받침되어 기관의 특성에 맞도록 적절한 대책을 강구해야 한다.

서비스 거부 공격 대응
서비스 거부 공격의 예방을 위해 망 구축 시 아래 사항에 유의하도록 한다.
● 방화벽, IDS 등 보안 솔루션은 VoIP 트래픽, 또는 응용계층 프로토콜 분석이 가능한 시스템으로 설치하여 망 구간별 이입 트래픽을 필터링 할 것
● 주요 VoIP 서버는 방화벽 등 보안 솔루션으로 보호함
● 방화벽은 아래 기능을 충족해야 함 : RTP 미디어 스트림에 대한 동적 관리 가능, 메시지 상태 분석과 전이, 호 파라미터 추출, 호별 상태 관리, 끊김 없는 전화 서비스 제공
● SLA 기반 트래픽 대역 관리 제공
● 게이트웨이 장비는 스푸핑 등의 공격으로부터 보호되어야 함
● 응용계층의 보안 점검 제공 : 패킷 내 바이너리 정보 및 위법 문자(illegal character) 검토, 패킷의 헤더 필드별, 알려지지 않은 미디어 타입 제거, 주소로 부적절한 문자 제거,  HTTP, SMTP, FTP, SMB, DNS 등 응용 프로토콜별 트래픽 검사
● 라우팅 테이블에 포함된 송신자 트래픽만 접근할 수 있도록 uRPF(Unicast reverse-path forwarding)를 Trunk Gateway와 소프트스위치에 구현하여 외부망 접속에 대해 보호

서비스 거부 공격의 예방을 위해 VoIP 서버 및 단말의 OS, 시스템 소프트웨어, 응용 프로그램 설계시 에러 발생에 대한 예외 상황을 처리하여 서비스 거부 공격을 유발하는 버퍼 오버플로우 등을 예방하도록 한다.

관리적 대책
정보보호 관리체계 수립 및 이행
정보보호 관리체계 수립을 위한 대표적인 인증체계와 표준으로는 한국인터넷진흥원의 정보보호 관리체계 인증(Information Security Management System)과 ISO27001 등이 있다. 조직에 도입된 VoIP 기술에 대한 정보보호 정책과 절차, 지침을 수립하고 정보보호 단계별 점검과 그 결과 평가 등을 통해 비로소 VoIP 보안 대책은 실효성 있는 결과에 이를 수 있다. 가이드에서 언급된 대책들은 조직의 환경에 적절하게 문서화하여 정기적인 감사(audit)를 실시하도록 한다.
또한 VoIP 서비스를 제공하기 위한 시스템 및 네트워크 장비들은 VoIP 트래픽을 분석할 수 있는 방화벽이 설치된 격리된 위치에 보관해야 한다. 비단 서버룸이나 랙 같은 시설이 완벽하게 뒷받침되지 않더라도 외부인의 출입을 통제하고 인증받은 권한 있는 사람만 접근할 수 있도록 보안정책을 수립한다.
<글 : 황수익 팀장 | 시큐아이닷컴 전략마케팅팀 (suik.hwang@samsung.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

    • 가시

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 아이리스아이디

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • 프로브디지털

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 지오멕스소프트

    • HS효성인포메이션시스템

    • 인터엠

    • 위트콘

    • 성현시스템

    • 동양유니텍

    • 투윈스컴

    • 스피어AX

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 경인씨엔에스

    • 디비시스

    • 트루엔

    • 세연테크

    • 아이원코리아

    • 유니뷰

    • 포엠아이텍

    • 넥스트림

    • 아이닉스

    • 아이리스아이디

    • 펜타시큐리티

    • 셀파인네트웍스

    • 지코어코리아

    • 시큐아이

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엣지디엑스

    • 케이제이테크

    • 알에프코리아

    • (주)일산정밀

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 네티마시스템

    • 유투에스알

    • 주식회사 에스카

    • 한국아이티에스

    • 케비스전자

    • 레이어스

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 이스트컨트롤

    • 현대틸스
      팬틸트 / 카메라

    • 제네텍

    • 넥스텝

    • 티에스아이솔루션

    • 에이티앤넷

    • 구네보코리아주식회사

    • 엘림광통신

    • 한국씨텍

    • 포커스에이치앤에스

    • 이엘피케이뉴

    • 휴젠

    • 신화시스템

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기