휴대폰 해킹, 너무도 쉽지요.
해킹의 전설로 불리는 케빈 미트닉(Kevin Mitnick)이 최근 전영국을 발칵 뒤집어 놓은 휴대폰 해킹 사건과 관련, 휴대폰 보안이 얼마나 허술한지에 대해 입을 열었다.
미디어 제왕 루퍼트 머독이 168년된 신문사 뉴스오브더월드(NoW)를 10일자를 마지막으로 폐간키로 한 것도 결국 특종을 낚기 위한 허술한 휴대폰 보안체계을 이용해 휴대폰을 해킹했기 때문이었다.
씨넷은 7일 비윤리적인 기자가 휴대폰해킹을 할 수 있다면 누구나 해킹을 할 수 있을 게 아닌가 하는 의문을 갖고 미국 컴퓨터업계 해킹의 전설 케빈 미트닉으로부터 휴대폰 해킹에 대해 이를 확인했다.
케빈 미트닉은 12살때인 70년 중반 소셜엔지니어링, 전화해킹 등을 해 감옥까지 갔다 온 해킹의 전설로 불린다. 올여름 자서전 성격의 ‘통신선 속 유령(Ghost in the Wires)'을 내놓을 예정이다. 그는 현재 고객들의 사생활 침해같은 부분에 상담해 주는 컨설턴트로 일하고 있다.
미트닉은 “폰해킹은 프리킹(Phreaking)으로도 불리는 것으로 매우 쉽다”고 말했다.
씨넷기자와의 인터뷰에서 기자가 휴대폰 음성메일 해킹을 허락하고 전화번호를 알려주자 미트닉은 즉석에서 기자에게 컨퍼런스콜 전화를 걸어 자신이 하는 작업을 기자에게도 들을 수 있게 해 주었다. 미트닉은 먼저 자신이 사용하는 시연용 시스템으로 전화를 걸어 개인ID번호(PIN)에 들어갔다.
그리고나서는 즉시 지역번호와 전화번호를 넣어 전화걸고자 하는 사람의 번호(기자전화번호)에 연결했다. 그리고 기자 자신이 전화를 건 것처럼 인식시키기 위해 번호를 입력했다.
그러자 기자가 전날 밤 친구로부터 받은 지우지 않은 음성메시지가 들려왔다.
미트닉은 놀라서 입이 쩍 벌어진 기자에게 “얼마나 쉬운지 보았죠?”라고 말했다.
그는 기자의 휴대폰 사업자 장비를 속여서 기자가 전화를 건 것처럼 해서 음성메일로 들어와 메시지를 들을 수 있었다.
이렇게 하기 위해서 케빈 미트닉은 오픈소스 통신 SW를 이용한 프로그래밍언어, 그리고 자신에게 발신자ID를 설정하도록 허용한 인터넷전화(VoIP)서비스사업자를 이용했다.
그러나 여기에는 또한 해커 아닌 사람도 가입할 수있는 비슷한 기능을 제공하는 온라인서비스들도 있었다.
그에 따르면 이통서비스사업자들에 의존한다면 휴대폰 해킹이 더 쉬워지거나 더 어려워질 수도 있다. 이 보도는 프리킹을 흉내내지 못하도록 세밀한 부분은 공개하지 않았다.
미트닉은 “단순한 컴퓨터언어를 쓸 줄 아는 15세 정도의 청소년이라도 인터넷전화서비스사업자를 찾아 발신자ID를 찾아 이를 30분내에 세팅할 수 있다”고 말했다.
그는 “만일 당신이 프로그래밍에 익숙치 않다면 돈을 주고 이를 도용해 주는 서비스를 사용할 수 있다”고 덧붙였다.
이 기술은 발신자ID도용(Caller ID Spoofing)이라고 부르는 것인데 수년간 남용되어 왔다.
실제로 지난 2006년에 파리 힐튼 호텔 이름으로 도용된 발신자ID가 정지됐는데 린제이 로한 등을 포함한 유명인사들이 피해자가 됐다고 IDG뉴스가 보도한 바 있다.
보도는 이 미국내 해킹 방법은 예비 PIN을 사용해 피해자의 음성메일 계정에 들어간 혐의를 받고 있는 영국의 기자들의 보이스메일 해킹방법보다 더 복잡한 것이라고 전했다.
휴대폰 해킹스캔들이 처음 등장한 지난 2006년 이후 대부분의 영국 이동통신사업자들은 그들의 관행을 바꿔 고객들에게 그들의 원격 음성메일 체크용 PIN을 갖도록 하고 있다.
보도는 만일 누군가가 휴대폰ID를 도용해 음성메시지를 엿들지 못하도록 하려면 음성메일을 체크할 때도 PIN을 입력하도록 휴대폰 설정을 해 두어야 한다고 전했다.
케빈 미트닉은 “마술은 내 인터넷전화서비스사업자가 내게 어떤 발신자ID라도 설정할 수 있도록 허용하는 데 있으며 다른 이통사업자들이 이 ID를 믿는다는 것”이며 “발신자ID는 자동적으로 허용된다”고 지적했다.
관련기사
- 머독 분노?...168년 된 신문사 폐간2011.07.10
- 지구촌 공포 해커그룹 룰즈섹 꼬리 잡혔다2011.07.10
- 해커들의 '파상공세'…美씨티은행 36만 계좌정보 유출2011.07.10
- 新해커집단 핵티비스트, 터키정부 향해 반격2011.07.10
휴대폰산업전문가 데이비드 로저스는 자신의 블로그에서 이통사업자들은 어떤 방식으로든 원격으로 자신의 음성메시지에 접속하는 것을 막아야 한다고 주장했다.
한편, 미국에서 지난해 말부터 발효된 발신자ID진실법(Truth in Caller ID Act of 2010)에 따르면 발신자ID를 이용해서 사기행위를 하고, 해를 입히거나 가치있는 정보를 얻어서 전송하고 잘못 보여주는 것등을 금지하고 있다.