인터넷전화 확산의 암초「VoIP 스팸 경계령」

새해 벽두부터 여기저기에서 '음성(VoIP) 스팸'에 대한 경계령이 연거푸 울려대고 있어 대책 마련이 요구된다. 음성 스팸 '공격 손쉽고 파급력 크다'VoIP 스팸이나 음성 메일 폭탄 공격은 불특정 다수에게 보내지는 음성 광고 메시지로 인해 음성사서함이 무용지물화되는 시도나 공격을 뜻한다. 음성 스팸을 얕잡아봤다간 인터넷전화의 음성사서함이 '쓰레기통'으로 변할 수 있다는 얘기다. 미국 IT 잡지인 레드헤링(www.redherring.com)은 올해 8대 보안 트렌드의 하나로 인터넷전화를 노린 새로운 유형의 공격 가운데 대표 사례로 음성 스팸을 꼽았다. 음성 스팸이 팝업 광고처럼 성가신 존재로 부각될 것이란 예상이다. 시만텍 역시 올해 10대 보안 위협의 하나로 'VoIP 위협 증가'를 꼽았다. 아직 VoIP 시스템에 대한 보안 공격은 몇 건밖에 안 되지만, VoIP 기술이 널리 퍼지면 VoIP가 공격의 목표가 되는 것은 시간 문제라며, IP-PSTN 게이트웨이를 통해 해커가 기존 전화 시스템의 통제권을 갖게 될 수도 있음을 경고했다.최근 한국정보보호진흥원이 발간한 'VoIP 정보보호 가이드'에서도 음성 스팸의 심각성을 누차 지적하며, 인터넷전화 서비스 사업자의 피해 방지책 마련을 요구했다. 정보보안 분야의 한 연구원은 "공격 확률이 높은 VoIP 보안 위협으로는 스니핑과 서비스 거부(DoS) 공격, 음성 스팸 등이 있으며, 특히 공격하기는 쉽고 파급 효과는 큰 음성 스팸이 인터넷전화의 가장 큰 골칫거리로 떠오를 것"이라고 강조했다. 이 가이드는 음성 스팸의 가장 큰 피해로 음성 메일 수신함을 가리켰다. 기존 일반 전화로 광고 전화를 받으면 금방 끊어버리면 그만이지만, 음성 메일 수신함은 수신 메시지를 모두 기록으로 남겨버리기 때문이다. 그로 인해 무료 음성 메일 제공 사업자는 스팸 메시지를 처리하기 위해 저장 용량을 계속 확장해야 하는 악순환을 겪게 된다. 음성 스팸 방지책 '마땅치 않다'그렇다면, 음성 스팸을 막을 방법은 없는 것일까. 가이드는 몇 가지 대응 조치를 소개하고 있다. 콘텐츠 필터링과 스팸 발송자 목록으로 관리해 막는 블랙 리스트, 정당한 송신자의 호와 메시지만 걸러서 수신하는 화이트 리스트 기법, 자동으로 녹음되는 호 스팸을 예방하기 위한 튜링 테스트(Turing Test) 등이 그것이다. 정보보안 분야의 한 연구원은 "이는 기존 스팸 메일을 차단하던 방법을 활용하는 수준으로, 좀더 복잡한 음성 스팸을 차단하는 데는 부적합하다. 단 하나의 방법으로 100% 음성 스팸을 걸러낼 방법은 없으며, 여러 가지 기법을 동시에 동원하지 않으면 안 된다"고 잘라 말했다.현재 음성 스팸을 해결하기 위한 표준화 움직임이 IETF SIP WG 등에서 진행 중이다.VoIP 표준화 담당자인 ETRI 강신각 팀장은 "음성 스팸 공격에 대응할 기술적 방안을 모색하기 시작했지만, 기술상 상세한 초안이 나온 것은 아니며, 일반적 수준에서 논의되고 있다"고 밝혔다. 인터넷전화 사업자 '가입자 확보가 우선'그렇다면, 지난해 7월부터 인터넷전화 상용 서비스가 개시된 국내 사업자들의 대응 방안은 어떤가. 현재 상용 서비스중인 삼성네트웍스는 나름대로 음성 스팸 방지책을 세워놨다. 삼성네트웍스 김현곤 과장은 "브로드소프트의 '브로드웍스'라는 IP 센트릭스 서버와 주니퍼의 세션보더컨트롤러(SBC) 장비인 '보이스 플로우'라는 두 가지 솔루션을 통해 음성 스팸을 막고 있다"고 설명했다. 전자는 하나의 번호에서 다양한 호가 발생하지 못하도록 하는 기능으로, 이를 통해 음성 스팸 방지는 물론, 음성 메일 폭탄 공격까지 막는다는 것이다. 후자의 장비로는 하나의 IP에서 초당 몇 개의 호가 들어오는지 필터링해주며, 삼성네트웍스는 현재 초당 20호 이상을 음성 스팸으로 규정하고 있다. 김 과장은 "인터넷전화가 개통된 지 8개월 이상 흘렀지만, 아직까지 음성 스팸이 발생한 적은 없다"며, "망 구성상 음성 스팸 같은 보안 위협이 실제로는 일어나지 않을 것이고, 이유인즉 스팸 메일에 비해 상업적 효과가 적을 것이기 때문"이라고 자신했다. 업계 한 관계자는 "국내 인터넷전화 서비스 사업자들도 음성 스팸 같은 VoIP 보안 위협에 대한 대응 방안을 고심중이다. 문제는 내부적으로 고민만 할 뿐, 일단 가입자 확보에 주력하고 있는 게 현실"이라고 꼬집었다. 다행히도 국내는 인터넷전화 서비스가 개시된 이후 아직까지 음성 스팸 문제가 사회적으로 이슈화되진 않았다. 하지만 가입자 확보에 눈이 멀어 보안 대책이 뒷전으로 밀려서는 안 될 터. 우리는 지금도 스팸 메일에 지긋지긋하게 시달리고 있지 않은가. 이럴 때일수록 소 잃고 외양간 고치는 우를 범해서는 안 될 것이다. @