심카드 보안 구멍...도청·맬웨어·계좌까지

일반입력 :2013/07/22 06:49    수정: 2013/07/22 11:38

이재구 기자

휴대폰에 사용되는 일부 심(SIM)카드 암호체계 보안성에 심각한 구멍이 뚫려 있는 것으로 확인됐다. 이로인해 악의적인 외부인이 통화, 메시지,데이터 염탐은 물론 맬웨어 감염을 시킬 수 있고 심지어 은행계좌에 과금까지 시킬 수 있음이 드러났다.

뉴욕타임스,포브스 등은 20일(현지시간) 카르스텐 놀 시큐리티랩스창업자의 시험결과를 인용, 심카드 핵심암호기술의 취약성이 외부인에 의한 휴대폰 조작을 가능케 한다는 사실을 확인했다고 보도했다.

SIM 카드는 가입자 식별 모듈(Subscriber Identification Module)을 구현한 IC 카드로 가입자 정보를 가지고 있어서 이 카드만 꽂으면 다른 나라에서도 전화기를 빌려 자기 휴대폰처럼 사용할 수 있다.

카르스텐 놀은 시험결과 심카드의 취약성을 이용해 56자리로 된 심디지털키를 확보하고 카드를 마음대로 수정할 수 있음을 밝혀냈다. 그는 다음달 미 라스베이거스에서 열리는 블랙햇 보안컨퍼런스에서 이같은 사실을 발표할 계획이다. 그는 이미 GSM협회에 이같은 내용의 지난 2년간 연구결과를 알렸다. 카르스텐 놀은 이같은 심카드 취약점으로 인해 누군가가 맘만 먹으면 7억5천만 휴대폰사용자들의 휴대폰 대화 도청은 물론 사기구매, 타인명의의 휴대폰 사용 등이 가능하다고 말했다.

카르스텐 놀은 “우리는 원격으로 휴대폰에 SW를 설치해 사용자의 휴대폰을 완전히 독립적으로 사용할 수 있었다”고 경고했다. 그는 실제로 자신이 2분도 안되는 사이에 자신의 PC를 사용해 휴대폰을 원격 조종할 수 있었다고 말했다.

그는 “우리는 당신을 염탐할 수 있다. 우리는 당신의 전화번호용 암호키를 알고 있다. 우리는 당신의 문자메시지 내용을 알고 있다. 단순한 염탐외에 우리는 심카드를 통해 당신의 데이터도 훔칠 수 있고 휴대폰 ID도 알수 있으며 당신의 은행계좌에 과금을 할 수도 있다”고 말했다.

이 취약성은 IBM잉 1970년대에 개발한 디지털암호표준(Digital Encryption Standard)에서 발견됐다. 이 기술은 매일 30억명의 휴대폰사용자가 사용하고 있다. 지난 10년간 꾸준히 암호화기술이 개발돼 왔지만 많은 휴대폰들은 여전히 오래된 표준을 사용하고 있다.

놀은 유럽과 북미에서 사용되고 있는 1천장의 심카드를 테스트해 본 결과 이같은 결함을 밝혀냈다고 말했다.

관련기사

클레어 크랜튼 GSM협회대변인은 “협회는 이미 그룹회원들에게 이같은 결과를 넘겼다”고 밝혔다. 그녀는 “우리는 이런 개연성을 검토해 이통사들에게 가이드라인을 제시해 왔으며 심 공급자들은 영향을 받을수 있다”고 말했다.

놀은 미 버지니아대 공학박사로서 지난 2008년 전세계 교통용 무선스마트카드 칩의 취약성을 밝혀내 신문지면의 헤드라인을 장식한 바 있다. 그는 1년후 통화시 도청을 막도록 설계된 GSM휴대폰에 사용되는 알고리즘을 풀어냈다.