제너시스템즈 기업블로그입니다. ::

'보안이야기'에 해당되는 글 2건

2009/11/19 인터넷전화 보안이야기 2탄 - 대응이 궁금해! (2)
2009/11/17 인터넷전화 보안이야기 1탄 - 내 귀에 보안 (3)

인터넷전화 보안이야기 2탄 - 대응이 궁금해!

인터넷전화 뒤집어 보기 2009/11/19 08:42

2009/11/17 - [이도경의 인터넷전화 이야기] - 인터넷전화 보안이야기 1탄 - 내 귀에 보안

전편에서는 인터넷전화의 다양한 보안 위협에 대해 알아보았습니다. 그러면, 이러한 위협에 대해 어떤 대응을 하고 있는지, 또 어떻게 해야 하는지에 대해 알아보도록 하겠습니다.

“인터넷전화는 IP망 기반이고, IP망에서는 십여 년 이상 보안에 대응하면서 발전했기 때문에 그것을 같이 활용하면 되는 것 아니냐? 즉, 특별히 인터넷전화 보안이라는 측면을 따로 다루어야 하는가? “

결론부터 이야기하자면, 같은 부분도 분명히 있지만 전체적으로는 다르다
고 이야기를 해야 할 것 같습니다.

기업의 입장에서 생각해볼까요?
데이터 서비스는 기업 내부의 직원이 외부에 서버를 접속하는 형태로 이루어집니다. 이 때 방화벽은 외부에서 먼저 들어오도록 하는 것 중 사전에 확인된 것이 아니면 기본적으로 막는 역할을 합니다. 즉, 기업 내부의 방화벽 trust zone에서 외부의 untrust zone으로 먼저 시도를 하기 때문에 해당 포트만 열어주고 서비스를 사용하게 하고, 60초~180초 동안 아무런 사용이 없으면 해당 포트를 닫아 버리면서 보안을 수행하고 있습니다.

그러나, 전화는 어떻습니까?

기업 내부에서 항상 열어두고 기다려야 합니다.ㅜ.ㅠ

누가 언제 나한테 전화한다고 약속하고 전화를 걸지는 않습니다. 항상 수신할 수 있도록 열어두어야 통신이 된다는 것입니다. 그리고, 사용하는 포트가 딱히 정해지지 않았다는 것입니다. 서버 측에서는 서비스별로 예약되어 있는 포트(well-known port)가 일부 있지만, 원활한 서비스를 위해서는 임의적으로 할당되는 많은 UDP 포트를 방화벽에서 개방해야 정상적으로 서비스를 제공할 수 있습니다.

방화벽 외에 주로 IT 보안으로 사용하는 장비인 IDS(침입 탐지 시스템 : Intrusion Detection System), IPS(침입 방지 시스템 : Intrusion Protection System)는 어떻습니까?

방화벽이 막을 수 없거나 차단에 실패한 공격을 탐지/보호하는 장비인 IDS/IPS 장비는 애플리케이션별 특화된 공격의 신호(signature) 분석을 수행하여 트래픽 정상/비정상의 여부를 판단하여 차단합니다.
그러나 현재 상용중인 대부분의 장비들이 데이터 서비스 위주(웹 애플리케이션, FTP, DNS 등)의 신호(signature) 분석에 대해서만 특화 되어 있으며, 인터넷전화에서 사용하는 양방향 프로토콜인 SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol)에 대해서는 미비한 상태입니다. 또한 IDS/IPS 장비 자체적으로 오탐지(잘못된 탐지 동작)라는 문제점을 내재하고 있으므로 함부로 적용하다가는 역으로 서비스에 심각한 문제를 야기할 수 있습니다. 해당 장비들이 전화 서비스의 특성을 완벽하게 분석하여 적용하려면 또 다른 많은 연구와 개발이 필요합니다.

정리하자면, 언제든지 수신이 되어야 하는 전화의 특성과 실시간 서비스의 전화 특성으로 인해 기존의 방화벽이나, IPS/IDS와 같은 장비로는 방어가 불가능하다는 것이 현재의 결론인 것입니다.

결과적으로 인터넷전화 서비스는 위와 같은 문제점 때문에 다양한 공격(도청, DDOS, 불법호 시도, 통화방해, 스팸 등)들이 시도 될 수 있으며 사용자는 전화 서비스를 사용함에 있어서 많은 불편함과 곤란을 초래할 수 있습니다. 이러한 인터넷전화 서비스 보안 위협을 해결하기 위해서는 다음과 같은 작업을 수행해야 합니다.

1) 망 측면에서 보안을 수행해야 합니다.
2) 시스템에도 보안 적용을 강화해야 합니다.
3) 가입자 인증 체계를 강화해야 합니다. (인터넷전화 가입자를 말하겠죠?)
4) 통화 연결 정보 및 통화 내용의 암호화를 추진해야 합니다.

각각에 대해 좀 더 세부적으로 설명하겠습니다.(조금 어려울 수 있으니 차근차근 읽어보세요^^;)

첫째, 망 측면 보안이라고 함은 IT 보안 요소를 활용하여 외부 망과의 경계 지점에서 내부 망 및 망내 장비의 보호를 위한 방화벽(firewall 및 IDS/IPS를 기본적으로 필요로 하며, 인터넷전화 공격을 방어할 수 있는 전용 보안 장비도 추가적으로 필요하다는 것입니다. 아래의 좀(?) 어려운 설명을 보시죠.

인터넷전화 보안 장비로서 현재 시장에서 이야기되는 SBC(Session Border Controller)라는 장비가 있습니다.(SBS방송국 아닙니다..^^;) 기본적으로는 사설 주소망에 있는 가입자를 위해서 서비스를 하는 세션에 대한 처리를 지원하는 장비이지만, 일부 보안에 대한 기능이 들어 있어 네트워크를 숨기거나, SIP와 같은 인터넷전화 전용 프로토콜을 통해 대량의 트래픽을 보내는 DoS/DDos 형태의 공격으로 부터 서비스 시스템이 다운되지 않도록 방어를 합니다.

그렇지만, 제가 일부 보안 기능이라고 했듯이 완전한 전용 보안 장비로서의 위치는 확보하지 못하고 있는 것이 현실입니다. 그래서 최근 인터넷전화 전문 보안 장비라는 것이 시장에서 조금씩 모습을 보이고 있습니다. 최근 공공기관 도입을 목적으로 일부 시험 등을 진행한 바 있는 것으로 알고 있으며, 상용화하기에는 아직 부족하다는 결과가 나온 것으로 보입니다. 전화 트래픽은 다양한 부가서비스(컬러링, 호전환 등)가 적용될 경우 여러 가지 패턴이 나오기 때문에 이들을 충분히 이해하지 못하고 함부로 적용되면 전화가 안 되는 현상이 발생할 수 있습니다. 따라서 충분히 검증하여 개발해야 합니다.

나머지 더보기

갑자기 여러 가지 어려운 용어들이 나오니 이해하기 힘들 것입니다. 오늘은 좀 더 세부적으로 설명하기 보다는 암호화에 대한 기본 구조만을 설명하고 마칠까 합니다.

펼쳐주세요

보안은 조금만 더 깊이 들어가면 매우 어려운 내용입니다. 향후 조금 더 세부적인 기술에 대해 설명하는 기회를 가지도록 하겠습니다

2009년은 본격적으로 인터넷전화망에 보안을 적용하기 위한 준비 시기라고 할 수 있습니다. 암호화를 위한 개발, 시험 및 상용 적용을 진행하고 있으며, 망 보안을 위한 여러 가지 제품들이 출시되기 시작하는 시기라고도 볼 수 있습니다. 이러한 흐름을 바탕으로 본격적으로 보안이 적용되기 시작하는 시점은 2010년으로 볼 수 있으며, 2012년쯤이면 위에서 이야기한 다양한 기술들이 적용되어 안정된 보안 서비스를 제공할 수 있을 것입니다.

* 참고문구

IDS(침입 탐지 시스템 : Intrusion Detection System)-->내용보기
IPS(침입 방지 시스템 : Intrusion Protection System)-->내용보기

글쓴이 : 이도경 제너시스템즈 기술전략실장

제너시스템즈의 인터넷전화 기술방향을 수립하고, 필드에서 발생하는 문제점에 대한 컨설팅을 수행하고 있습니다. 인터넷 전화 가입자 확대에 따라 망 진화, 기술 발전과 관련된 다양한 이슈들이 발생하고 있습니다. 인터넷전화의 성공적인 정착과 발전을 위해 효과적인 해법들을 제시하여 인터넷전화 성장에 도움이 되고자 합니다.

이 장소를 Daum지도에서 확인해보세요.

서울특별시 강남구 논현2동 | (주)제너시스템즈

도움말 Daum 지도

'인터넷전화 뒤집어 보기' 카테고리의 다른 글

TW(Technical Writer)가 말하는 제너시스템즈 플랫폼(XSP)과 붕어빵- 하편 (14)	2009/11/26
인터넷전화 품질 증좌를 보여드리겠사옵니다! 1편 (13)	2009/11/25
TW(Technical Writer)가 말하는 제너시스템즈 플랫폼(XSP)과 붕어빵- 상편 (23)	2009/11/24
인터넷전화 보안이야기 2탄 - 대응이 궁금해! (2)	2009/11/19
인터넷전화와 모바일 인터넷전화(mVoIP)시대의 도래 (2)	2009/11/17
인터넷전화 보안이야기 1탄 - 내 귀에 보안 (3)	2009/11/17
인터넷전화를 우리나라에 가입하고, 해외로 가져가면 전화가 될까요? (0)	2009/11/12
인터넷전화 어떻게 통화가 이루어질까요 ? (10)	2009/11/10

"xenerdo의 운영정책에 의해 포스팅 주제와 맞지 않는 댓글과 트랙백은 삭제될 수 있습니다."

Posted by 제너시스템즈

TAG DDoS, SBC(Session Border Controller), 보안이야기, 이도경, 인터넷전화, 인터넷전화보안, 인터넷전화보안장비, 인터넷전화이야기, 컬러링, 프로토콜, 행정안전부, 서울특별시 강남구 논현2동 | (주)제너시스템즈

트랙백 0개, 댓글 2개가 달렸습니다

트랙백 주소 : http://xenerdo.com/trackback/147

댓글을 달아 주세요

드자이너김군 2009/11/19 12:00 댓글주소 수정/삭제 댓글쓰기

저도 그냥 IP보안 관련해서 활용하면 될줄 알았더니.. 전체적으로 다른것 이었군요.
잘 모르고 넘어가기 쉽상이겠어요. 좋은글 감사합니다
- xenerdo 2009/11/19 14:15 댓글주소 수정/삭제
  쉽게 봐주셔서 감사합니다^^;
  보안 관련 이슈는 항상 관심사이다보니 다음편에는 더 좋은 글로 찾아뵙겠습니다. 드자이너김군 님^^;

인터넷전화 보안이야기 1탄 - 내 귀에 보안

인터넷전화 뒤집어 보기 2009/11/17 10:26

인터넷전화 활성화에 따라 “보안”이라는 이슈가 점점 중요한 문제로 떠오르고 있습니다.

DDoS 공격 두달, 네티즌ㆍ정부ㆍ기업은 지금… (기사보기)

기존 PSTN망에서는 발신과 착신을 하는 두 사람 간에 전용 통화로를 만들어 통신했기 때문에 크게 문제가 되지 않았지만, 인터넷전화는 보안이 항상 이슈가 되는 인터넷망을 기반으로 하다 보니 커다란 관심사항으로 보안이 부각되고 있습니다.

보안에 대해 이해하기 위해서는 기본적으로 어떤 공격이 있으며, 이것을 어떻게 방어하는지를 이해할 수 있어야 합니다.

인터넷전화는 IP망을 기반으로 하고 있기 때문에 IP망에서 이야기 되었던 위협들이 그대로 있으며, 추가적으로 인터넷전화 기술로 인해 나타나는 것들도 있습니다. 많은 종류들이 있지만, 오늘은 대표적인 위협에 대해 알아보도록 하겠습니다.

첫 번째는 여러분이 가장 잘 알고 있는 내용인 도청입니다. (바로 내 귀에 도청~~~~^^:)
내가 통화하고 있는 것을 누군가가 몰래 엿듣는 것입니다. 실제로 이런 것을 하기 위해서는 LAN 구간에 스니핑 도구가 설치된 컴퓨터를 같은 LAN에 접속시켜야 합니다. 이렇게 되면 LAN에 접속된 모든 사용자의 통화 관련 정보를 도청할 수 있습니다.

WAN 구간에서는 인터넷전화 호처리 시스템(소프트스위치와 같은 시스템)-->(여기서 모든 음성과 영상이 압축이 되지요^^:)을 해킹하여 통화 내용이 공격 시스템을 경유하도록 지정함으로써 도청할 수 있습니다. 이렇게 되면 호처리 시스템의 모든 가입자가 도청의 대상이 될 수 있으며, 실질적으로 발생하는 경우 모든 가입자에게 직∙간접적으로 피해를 줄 수 있습니다. 그러나 이러한 공격은 난이도가 높고, 실익이 크지 않으므로 발생할 가능성은 낮아 보입니다.

스니핑(Sniffing)이란 ‘코를 킁킁거리다’, ‘냄새를 맡다’ 등의 뜻으로 네트워크 상에서 자신이 아닌 상대방의 패킷 교환을 엿듣는 것을 의미합니다.(전화를 엿듣는 다고 생각하시면 됩니다^^;) 간단히 말하여 네트워크 트래픽을 도청(eavesdropping)하는 과정을 스니핑이라고 할 수 있습니다. 이런 스니핑을 할 수 있도록 하는 도구를 스니퍼(Sniffer)라고 하며 스니퍼를 설치하는 과정은 전화기 도청 장치를 설치하는 과정에 비유될 수 있습니다.

자, 그럼 이런 도청은 어떻게 막나요?
도청을 막는 방법은 통화하는 정보를 암호화하는 것입니다. 전화를 걸기 시작하면서부터 발생되는 신호와 통화하는 내용까지 모든 내용을 암호화하여 송수신하는 것입니다. 그래서 누가 내용을 가로채도 이상한 문자로 되어 있어 알아 볼 수가 없도록 만드는 것입니다.

두 번째로 DOS(Denial of Service: 서비스 거부), DDOS(Distribute DOS: 분산서비스 거부)입니다.
DDOS는 2009년 7월 7일 대한민국과 미국의 주요 공공기관, 포털, 은행 등에 공격해 서비스를 일시적으로 마비시켜 일반인들에게 알려진 공격입니다. 이 공격은 서비스를 제공하는 시스템을 마비시켜 정상적인 서비스를 하지 못하게 하거나, 시스템으로 들어오는 회선을 모두 사용하여 서비스를 하지 못하게 하는 공격입니다.

시스템은 처리할 수 있는 용량이 정해져 있습니다. 정상적인 트래픽을 고려하여 얼마나 처리할지를 산정하고, 이에 대한 투자를 하는 것입니다. 그런데 순식간에 시스템 처리용량을 넘어서는 대량의 트래픽을 보내면 어떻게 될까요? 시스템이 다운되어 아예 서비스가 중단되거나, 살아는 있지만 위협 트래픽이 너무 많아 정상적인 트래픽을 처리할 수 없는 상태가 됩니다. 가끔씩 신문에 특정 웹사이트의 접속자가 많아져서 시스템이 접속이 안되거나 다운되었다는 이야기를 듣지요? 이처럼 의도적으로 짧은 시간에 대량의 트래픽을 발생시켜 시스템을 마비시키는 것입니다.

사실 이 공격이 인터넷전화 사업자들이 가장 무서워하는 공격입니다. 서비스가 중단되므로 몇 시간만 일어나도 수십 억의 피해가 발생할 수 있으니까요.(엄청난 피해입니다....한 마디로..ㅜ.ㅠ)

그러면 막는 방법은 무엇일까요?

수년간 IP망에서 고민하고 있는 숙제로 인터넷전화도 동일합니다. 즉, DOS는 막는 방법이 있으나, DDOS는 근본적으로 막을 방법이 없다는 것이 현실입니다. DOS와 같이 특정 주소에서 대량의 트래픽이 발생되는 경우에는 초당 특정 주소에서 발생할 수 있는 양을 정해두고, 그 이상이 되면 제한하는 방법으로 가능합니다. 그러나, DDOS와 같이 전국에 깔린 무수한 좀비 PC를 통해서 정상적인 트래픽처럼 발생시켜 대량으로 들어오는 것은 시스템 및 회선을 모두 차지하기 때문에 막을 수 없는 것입니다.

세 번째로 “서비스 오용 공격”으로, 정상적인 가입자의 ID, 비밀번호를 도용하여 불법 가입자가 마치 정상적인 가입자처럼 전화통화를 하는 것입니다.
이렇게 통화를 하면, 나중에 정상적인 가입자한테 수십 만원에서 수백 만원의 통신비가 청구됩니다.(@.@ 엄청난 전화비가 나오니 가급적 조심하셔야 합니다) 정작 본인은 몇 만원 밖에 통화를 하지 않았는데 말입니다. 이런 일들은 PSTN에서도 종종 일어났습니다. 갑자기 전화비가 많이 나와서 알아보니 다른 사람이 도용해서 사용했더라 이런 것이지요. 가입자 인증 체계가 미약한 시스템을 찾아서 불법호를 발생시키거나, 개인 PC에 트로이 목마와 같은 바이러스를 심어서 남의 아이디와 패스워드를 도용하고, 이를 사용하여 통화를 하는 것이지요.

트로이 목마 바이러스: 많이 아시는 바이러스 중 하나입니다^^:

인터넷을 통해 감염된 컴퓨터의 정보를 외부로 유출시키는 것으로 자료 삭제, 정보 유출을 위해 사용합니다. 사용자가 누른 자판정보를 외부에 알려주기 때문에 신용카드번호나 비밀번호 등이 유출될 수 있습니다. 목마 속에서 나온 그리스 병사들이 트로이를 멸망시킨 것을 비유하여 프로그램이 상대편이 눈치채지 못하게 몰래 숨어든다는 의미로 붙여진 것입니다

네 번째로 세션 가로채기 또는 하이젝킹으로 이야기되는 것입니다.
도청과 유사하게 정상적인 통화 경로를 공격자의 노드로 거치게 하므로 세션 연결을 마음대로 핸들링할 수 있도록 만드는 것입니다. 물론 이렇게 하여 도청도 할 수 있고, 통화 품질 상태를 안 좋게 할 수도 있고, 멀쩡한 통화를 중단 시킬 수도 있습니다.

다섯 번째로 통화 스팸입니다.
일상 주변에서 흔하게 일어나는 것이지요. 대부업체에서 갑자기 대출을 안내하는 전화가 걸려오는 것과 같은 것이 통화 스팸입니다. 상대방의 전화번호나 단말 주소를 알아내거나, 전화번호 생성기를 이용하여 스팸 대상을 확보하여 자동으로 다량의 전화를 연결시키는 것입니다.

여섯 번째는 보이스 피싱(Voice Fishing)입니다.
2008년경에 한참 유행을 했던 전화를 통한 사기이지요. 은행이나, 우체국 직원을 사칭하고 주민등록번호, 카드번호, 계좌번호와 같은 개인 정보를 알아내어 개인의 돈을 훔치는 것입니다. 이런 사실을 알면서도 갑자기 전화가 와서 개개인에 대해 너무 잘 알고 있는 경우에 속는 경우도 있습니다. 지금은 메신저를 통한 피싱도 나오면서 사기가 다양해져가고 있습니다.~~~

공격을 정리해 보면, 가장 일반적으로 접할 수 있는 것이 통화 스팸이나 보이스 피싱과 같은 것이고, 조금 더 심각한 것은 서비스 오용 공격이나, 도청과 같은 것이지요. 마지막으로 정말 심각한 것이 인터넷과 마찬가지로 DDOS와 같은 공격으로 전체 인터넷전화 서비스를 마비시키는 것입니다. 인터넷전화 활성화에 따라 공격에 대한 대비도 조금씩 발전하고 있습니다.

다음 편에서 이러한 준비 현황 및 향후 방향에 대한 설명을 하도록 하겠습니다.