본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

영화 킹스맨: 시크릿 에이전트가 국내 관객 수 600만을 돌파했습니다. 내용 자체도 재미있는 영화지만, 보안인(?)인 필자의 입장에서는 보안에 대한 경각심을 다시 한 번 일 깨워준 영화이기도 합니다. 아직 킹스맨을 보지 않으셨다면, 아래부터는 스포일러가 다수 포함되어 있으므로 주의해 주시기 바랍니다.


영화 ‘킹스맨 : 시크릿 에이전트 ’에 등장하는 보안 이야기


지구를 사랑하는 부호 발렌타인은 병들어 가는 지구를 살리기 위한 계획을 세웁니다. 그것은 바로 일부 지도층들을 제외한 전 세계의 인구를 몰살시켜 버리는 것입니다. 그는 인구를 몰살시키기 위해 사람들의 뇌파를 자극시켜 공격적이게 만든 후 서로를 죽이게 하는 방법을 고안해 냅니다.


그렇다면, 이 작전은 어떻게 실행될까요? 발렌타인은 SIM 카드를 이용하기로 합니다.


발렌타인은 엄청난 양의 SIM카드를 생산해 전 세계 사람들에게 무료로 배포합니다. 하지만 이 SIM 카드에는 비밀이 있습니다. 발렌타인이 신호를 보내면 이 SIM 카드를 사용하는 스마트폰에서 사람들의 뇌파를 흥분시켜 공격적으로 만드는 소리를 발생시킬 수 있다는 것입니다. 드디어 계획을 실행에 옮기는 날, 발렌타인은 자신의 계획에 동의한 사람들을 집에 초대한 뒤 무료 SIM 카드를 사용하는 전 세계의 스마트폰에 신호를 보냅니다. 스마트폰을 통해 소리를 들은 사람들은 공격적으로 변하여 서로를 죽이기 시작합니다. 여기서 ‘킹스맨’인 에그시와 그의 동료들은 SIM 카드로 신호를 보내는 위성을 폭파시켜 SIM 카드를 무력화시킵니다. 이것으로 발렌타인의 계획은 수포로 돌아갑니다.


세계 최대 SIM 카드 제조사인 젬알토, 미국과 영국의 스파이에게 해킹당하다?


물론 킹스맨에 등장하는 SIM 카드 이야기는 현실과는 많이 거리가 있는 편입니다. 하지만 최근 이와 유사한 SIM 카드 해킹을 통한 공격 시도가 있었다는 주장이 제기되었습니다. 미 정보보안국 (NSA)의 내부 고발자인 애드워드 스노우든이 제공한 탑 시크릿 문서에 따르면, 미국과 영국 소속의 스파이들이 세계 최대의 SIM 카드 제조사 중 하나인 젬알토(Gemalto)의 내부 네트워크를 해킹해 암호화 키를 훔쳐냈다는 소식입니다. 이 암호화키는 전 세계 통신 프라이버시를 위해 사용되고 있습니다. 이 문서를 인용한 the Intercept의 보도에 따르면, 전 세계 450개 통신사의 고객인 젬알토는 매우 정교한 공격에 의해 해킹당했으며 그들의 목적은 암호화 키를 훔쳐 ‘통신사나 외국 정부의 승인 없이 모바일 기기를 통한 통신을 모니터링하기 위함’이었다라는 주장이 제기되었습니다. 해당 문서에는 ‘젬알토 (Gemalto)의 일부 기기에 무언가를 심어두었으며, 이를 통해 그들의 네트워크 전체에 접근할 수 있다. 또한 TDSD가 데이터 관련 작업을 하고 있다’는 내용이 포함되어 있습니다.


이 주장에 대해 젬알토는 ‘미 정보보안국(NSA)와 영국 정보통신본부(GCHQ)에 의한 해킹 작전이 일어난 것처럼 보이는 타당한 이유는 존재하지만, 암호화 키가 대량으로 도난당한 증거는 찾을 수 없었다’고 밝혔습니다. 하지만 만약 이 내용이 사실이라면 엄청난 문제가 될 것입니다. 젬알토는 매년 20억 개의 SIM 카드를 생산하는 거대 규모의 업체이며 젬알토의 암호화 키가 도난당했을 경우, 잠재적으로 정보기관들이 모바일 폰의 신호를 복호화하여 사용자들 간의 통신에 개입할 수 있기 때문입니다.


SIM 카드 해킹에 대처하는 우리의 자세는?


킹스맨에 등장하는 무료 SIM 카드나 미, 영국의 정보국의 SIM 카드 해킹 사건은 방법은 서로 다르지만, 사용자의 기기를 원격으로 조정하여 공격자가 원하는 행위를 강제로 수행시킨다는 점은 같습니다. 젬알토는 이러한 SIM 카드 공격에 대처할 수 있는 가장 좋은 방법은 데이터를 저장하거나 송, 수신 시 체계적으로 암호화를 수행하는 것이라고 밝혔습니다. 또한 가장 최신 버전의 SIM 카드를 사용하고 각 통신사마다 커스터마이징된 알고리즘을 사용해야 합니다. 더불어 SIM 카드 공격으로 인한 피해를 최소화시키기 위해서는 SIM 카드 제조사뿐만 아니라 통신사 및 어플리케이션 개발자들도 데이터 보안을 위해 노력해야 합니다. 사용자 단계에서는 이러한 공격을 완벽하게 대비하기는 어렵습니다. 그러나 검증된 앱만을 다운로드받으며 보안 프로그램을 사용하여 기기를 안전한 상태로 유지하려는 최소한의 노력은 필요할 것입니다.