일부 KT 인터넷 전화 단말기, 전화 콜 메시지 검증 못해  본지 SIPVicious 툴 제작자 인터뷰...“범죄자에게 악용되고 있어”
KT 측 “요금 폭탄은 아냐, 7일 보안패치 배포 예정”
[보안뉴스 호애진] 최근 각종 온라인 커뮤니티 게시판에는 이상한 전화를 받았다는 글들이 잇달아 게재되고 있다. 이는 KT 인터넷 전화를 이용하는 사용자만 해당되는데, 이 전화를 받으면 수초내 자동으로 끊긴다. 발신번호는 숫자가 아니라 영문으로, SIPVicious라고 뜬다.

KT 고객들이 포털 사이트에 SIPvicious라는 문구가 뜬 전화에 대해 여러 가지 궁금증을 남기고 있다.  보안뉴스ⓒ

SIPVicious가 해킹 툴 이름이라는 것이 알려지면서 ‘해킹된 것이다’, ‘전화를 받으면 정보가 유출된다’, ‘요금 폭탄을 맞을 수 있다’ 등의 근거없는 루머가 돌고 있다. 현재 KT 공식 트위터에 이를 문의하는 글이 많이 올라오고 있지만, KT 측도 구체적인 대답을 하지 못하고 있다.

KT는 처음 ‘전산 오류’라고 안내했지만, 현재 ‘정확한 목적은 알 수 없으나 고객의 인터넷 전화번호를 불법적으로 파악하기 위해 무작위로 통화 시도를 하는 것으로 파악된다’고 답변하고 있다.



고객이 SIPvicious와 관련해 문의한 데 대한 KT 측의 트위터 답변. KT 측은 이러한 문제를 인지하고도 적절히 대응조치를 취하지 않은 것으로 드러나 비판이 제기되고 있다. 보안뉴스ⓒ

이에 본지는 SIPVicious 툴을 제작한 것으로 알려진 산드로 가우치(Sandro Gauci)와 단독으로 인터뷰를 진행했다. SIPVicious는 SIP 기반의 VoIP 감사도구다. 모의 해킹(침투 테스트)에 이용되는 툴로, 이는 시스템의 허점을 보완해 해킹 위험을 차단하기 위한 것이다. 악의적인 해킹과는 구분된다.

모의해킹을 수행하는 보안전문가인 산드로 가우치는 한국에서 발생하는 이러한 현상을 이미 알고 있었다. 자신이 제작한 툴이 악용되고 있다는 사실에 우려를 표명했다.

가우치는 “이번 사건은 (svwar.py를 통해) INVITE 스캔을 통해 전수조사를 실시하는 한편, REGISTER에 대한 전수조사 제한을 우회할 수 있다는 사실을 누군가가 알게 돼 발생한 것으로 판단된다”면서 “다만 이 공격을 시행하고 있는 자가 누구든 그는 아마 대상이 전화기인지 아니면 PBX인지를 구분하지 못하고 있을 것”이라고 지적했다.

정상적인 경우, SIPVicious 코드는 전화기를 호출하지 않으며, 모든 보안 테스트를 조용히 진행한다. 그에 따르면, 이 툴이 사이버 범죄자들에 의해 악용된 이후 PBX 소프트웨어 공급업체들은 이와 같은 스캔을 허용하지 않도록 자신들의 소프트웨어를 업데이트 했다.

이번 사건의 경우 ‘호출(call)’ 명령(INVITE 스캔)의 전달을 통해 스캔을 실행하도록 SIPVicious 툴을 설정하면 여전히 PBX 소프트웨어를 공격할 수 있다는 사실을 누군가가 알아낸 것이다. 이와 같은 방법으로 PBX 공급업체들이 구현한 보호조치를 우회해 단말기를 직접 공격하고 있다.

원래 이들이 PBX 시스템을 목표로 하는 이유는 암호가 취약한 전화선을 찾아내기 위해서다. 암호를 알아낸 이들은 해당 전화선을 통해 국제전화번호나 프리미엄 번호에 ‘무료’로 전화를 거는 것이다. 비용은 모두 사용자에게 전가되므로 이들은 부당 이득을 취하게 된다.

하지만 이번 사건은 상황이 약간 다르게 전개됐다. 취약한 PBX 시스템에 대해 INVITE 스캔을 개시하는 것이 범죄자에게 유용할 수도 있겠지만, IP 폰(또는 VoIP 폰)에 동일한 명령을 실행하면 벨만 울린다. 이는 잘못된 전화번호인 경우에도 ‘호출’ 명령이 전달됐을 때 전화기 벨이 울리도록 설정됐는지의 여부에 의해 결정된다.

범죄자들은 전화기의 벨이 울리게 했지만, 이것이 바로 그들의 실수인 것으로 보인다. 이들이 전화기와 PBX 시스템을 구분하지 못했기 때문이다.

따라서 사용자가 우려하고 있는 요금 폭탄 이슈에 대해 가우치는 “전화를 받더라도 사용자가 이에 대한 요금을 지불하게 되지는 않을 것”이라고 전했다.

하지만, 사용자가 지금 당장 피해를 입지 않는다 해도 이러한 전화가 계속 걸려 온다는 것은 향후 심각한 문제로 이어질 수 있다.

가우치는 “KT는 자사 네트워크 뿐만 아니라 단말기에서도 인터넷 SIP 패킷의 필터링을 실시해야 한다”고 강조했다.

즉, 이러한 현상이 발생하지 않도록 VoIP 서비스 공급자는 범죄자들이 전화 단말기에 접근하는 것을 막고, 전화 단말기 공급업체 역시 유효한 번호가 호출된 경우에만 벨이 울리도록 해야 할 것이라고 그는 설명했다.
 
이번 사건과 관련해 KT 측은 취약한 인터넷 전화 단말기에 대한 보안패치를 7일 배포할 예정이라고 밝혔다.
 
KT 관계자는 “10월초 문제를 인지해 중순께 보안 패치 개발에 착수했다”면서 “이후 일부 지역에 보안패치를 시범 적용했고, 현재 업데이트와 관련한 안내를 하고 있는 중”이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>