[scurvy님 曰] 상대방 전화번호만 알면 통화 내용을 도청하고, 문자를 읽고, 위치를 실시간 추적할 수 있는 SS7 취약점 시연이 CBS에 방송되어 다시금 주목을 받고 있다.
SS7은1975년 처음 개발된 모바일폰 네트워크를 연결하는 글로벌 시스템으로 통화, 문자, 요금 청구, 휴대폰 로밍에 필요한 정보 교환에 사용된다. SS7에는 취약점이 존재하며, 이 취약점을 이용하면 공격자는 상대방 전화번호만 알면 통화를 실시간 도청하고, 문자를 읽고, 실시간 위치를 추적할 수 있다.
통화 도청도 위험하지만 휴대폰 인증 번호를 알아낼 수 있다는 점도 큰 문제다. 로그인이나 금융권 등 주요 서비스 이용 시 휴대폰으로 발송되는 인증번호를 가로채는 것도 가능하기 때문이다.
전문가들은 이 취약점 피해를 막기 위해 일반 사용자가 할 수 있는 것은 현재로는 없으며, 해당 서비스를 이용하지 않는 것이 유일한 해결책이라고 강조한다. 영국 가디언誌가 제시하는 work around는 다음과 같다.
- 문자: SMS를 사용하지 말고 애플 아이메시지, 페이스북 왓츠앱 등의 인스턴트 메시지 이용
- 통화: 통신사를 통하지 않는 메신저의 통화 기능 이용. 예를 들어 왓츠앱 , Silent Circle의 end-to-end 암호화 폰 서비스, 시그널 앱 서비스 등
- 위치 추적: 휴대폰을 꺼 두거나, 통신사 네트워크 접속을 끄고 오로지 와이파이만 사용
SS7 취약점은 2014년 독일의 카스텐 놀(Karsten Nohl) 연구원이 최초 시연했다. 이탈리아 해킹팀도 해당 취약점을 알고 있으며, 이미 각국 정부 기관을 대상으로 SS7 취약점을 이용한 감청 서비스를 제공하고 있는 것으로 전해지고 있다.
