안녕하세요. SecurityPlus입니다.

미국 와싱턴 DC에서 열린 블랫햇 DC 2010에서 “인터넷 도청을 위한 합법적 감청
인프라에 대한 공격(Exploiting Lawful Intercept to Wiretap the Internet)이란
제목으로 IBM X-Force 연구소의 톰 크로스가 발표했습니다.

이 발표에서 톰 크로스는 많은 정부 기관에서 인터넷 상의 정보 흐름을 모니터링
하기 위한 인터페이스를 제공하도록 통신회사에 요구하고 있지만, 이러한
인터페이스가 보안적으로 안전하지 않게 설계, 구현, 관리된다면 법적 권한 없이
악의적인 공격자에 의해 개인의 프라이버시를 감시할 수 있는 백도어로 악용될
수 있다고 경고했습니다.

톰 크로스는 감청 기술에 대한 보안적인 관심은 감청 대상자가 감시 받고 있음을
알아차리는 것을 막을 수 있는지, 감청 대상자가 감시를 조작하는 것을 막을 수
있는지, 그리고 감청 인터페이스가 권한없는 불법적인 사용자로부터 보호받을
수 있는지 여부에 대해 공개되어 있는 시스코의 합법적 감청 기술의 핵심
아키텍처에 대해 검토하였습니다..

그 결과, 흔적을 남기지 않고, 감청 인터페이스에 접속하여 인터넷 통신을 도청
할 수 있는 아래와 같은 다양한 설계상의 취약점을 발표했습니다.

- SNMP v3 상의 순차 대입에 의한 인증 정보 노출 취약점
- SNMP v3 상의 패스워드 구현의 취약점
- 감사 기능의 부족
- 감청 데이터 전송 주소에 대한 임의 변경 가능 취약점
- 패킷 속임(Spoofing)에 대한 인터페이스의 탐지 취약
- 암호화 요구 사항에 대한 부족

또한, 이번 분석을 통해 톰 크로스는 많은 감청 장비 회사들이 보안에 대한
부족한 인식으로 인해 SNMP v3의 IP ACL(Access Control List)이나 적절한
암호화를 구현하지 않은 것에 대해 경고했습니다.

톰 크로스는 이러한 보안 위험을 완화하기 위해 감청 인터페이스 상에 구현
해야 할 보안 권장 사항에 대해 아래와 같이 제시했습니다.

- SNMP 인증과 같은 보안 계층의 재설계가 권장
- 스푸핑 위험을 완화하기 위해 SNMP over TCP를 사용하라
- IPSec과 같은 적절한 암호화를 사용하라
- 감청 인터페이스의 접근을 차단하기 위해 IP ACL(Access Control List)를
사용하라
- 해킹과 새로운 공격을 차단하기 위해 네트워크 방어 인프라를 구축하라

이 발표와 관련하여, 블랫햇 발표가 시사하는 것처럼 국내에서도 지난해
국정 감사를 통해 국가정보원에서 31대의 패킷 감청 장비를 갖추고 인터넷
감청을 수행하고 있는 것으로 확인됐습니다.
또한, 통신비밀보호법 개정을 통해 전기통신사업자는 검사·사법경찰관 또는
정보수사 기관의 장의 통신제한조치 집행에 필요한 장비·시설·기술 및
기능을 갖추어야 한다는 내용을 추가하고 수집된 정보의 활용 제한 장치에
대해 현재로써는 논란이 많습니다.

정치적으로 옳다 그르다를 말하기 이전에, 이러한 합법적 감청 인프라가
적절히 관리되고 보호되지 않는다면 개인의 프라이버시 손상을 포함한 국내
모든 중요 정보에 대한 유출도 가능하니 보안에 대한 중요성은 매우 크다고
하겠습니다.

현재 국가정보원의 감청장비가 어떤 것인지는 알 수 없지만, 보안적으로
설계, 구현, 관리되고 있는지 다시 한 번 점검이 필요합니다.