그동안 GSM, 3G, LTE 등 이동통신환경에서 사용되는 통신칩은 복잡성 탓에 보안위협에 노출되는 일이 없었다. 그러나 2010년 퀄컴 통신칩과 관련한 보안취약점을 처음 공개한 랄프 필립 와인만 룩셈부르크대 보안연구원은 통신칩도 이제 더이상 안전하지 않다고 지적한다.
이동통신환경이 확산될수록 예전처럼 운영체제(OS)만이 위험한게 아니라, 통신칩이 사용하는 메모리 영역도 공격을 받을 수 있다는 지적이다.
3일 서울 삼성동에서 개최된 해킹방어대회 코드게이트2014에 연사로 나선 와인만 연구원은 퀄컴이 개발한 통신칩용 아키텍처인 헥사곤에서 발생할 수 있는 보안취약점에 대해 설명했다.
와인만 연구원은 데프콘, 블랙햇 컨퍼런스, 캔섹웨스트 컨퍼런스 등 전 세계적으로 유명한 보안 컨퍼런스에 연사로 나섰고 특히 통신칩에서 발생할 수 있는 보안취약점을 처음 알아내 공개한 것으로 유명하다.
그는 보안취약점을 이용한 공격을 보여주는 과거 시연 모습을 공개했다. 시연에 따르면 통신칩을 기지국에 연결할 때 사용되는 펌웨어에서 메모리 커럽션을 통해 해킹이 가능하다. 시연에서는 연구원이 구축한 가짜 기지국이 활용됐다.
메모리 커럽션은 펌웨어가 허락치 않은 메모리 공간에 데이터를 쓸 때 발생하는 오류다. 이를 악용해 다른 사람 스마트폰에 다른 악성코드를 설치하거나 임의로 문자메시지를 보내는 등의 행위가 벌어질 수 있다는 것이다.
그는 이 같은 수법으로 가정이나 소형 사무실에 구축하는 초소형 이동통신 기지국인 펨토셀 환경에서도 똑같이 적용될 수 있다고 설명했다.
퀄컴이 제작한 통신칩은 삼성전자, LG전자 등을 포함 국내외 이동통신환경에서 광범위하게 활용되고 있다. 만약 해당 칩이 해킹된다는 점이 알려진다면 이를 악용한 보안위협은 심각한 수준일 수도 있다는 지적이다.
이와 관련 와인만 연구원은 2010년 보안취약점을 처음 발견했을 때부터 퀄컴에게 관련 사실을 알리고 협력관계는 가져왔다며 보안취약점으로부터 완벽한 보안은 없으나 통신칩에 대한 보안성도 그만큼 높아져야 할 것이라고 밝혔다.
관련기사
- 해킹이 돈벌이엔 마약보다 좋다 하니…2014.04.03
- 가상화 보안위협, 클라우드 아킬레스건되나2014.04.03
- 스마트폰 문자로 ATM서 돈 빼는 해킹 등장2014.04.03
- KT 해킹, 3개월간 1266만번 접속해도 몰라2014.04.03
보안취약점이 공개되면 어떻게 해서든 이를 덮어버리거나 공개하지 않기 위해 애쓰는 우리나라 상황과는 사뭇 다른 모습이다.
그는 결국 통신칩을 포함한 보안취약점을 해결하기 위한 방법은 버그를 없애고, 시스템을 뚫기 어렵도록 하는 한 가지 방법 밖에 없다고 강조했다. 보안에는 꼼수가 통하지 않는다는 조언이다.