이 시대의 적그리스도는 천주교일까, 국정원일까?
[궁금한 화요일] 국정원 감청 논란 … 내 휴대폰 안전할까
[중앙일보] 입력 2015.08.04 00:42 / 수정 2015.08.04 01:08몰래 보낸 “사랑해” 톡 … ‘비밀 채팅’ 아니면 얼마든지 훔쳐 보죠
댓글보기8
더 편리해진 뉴스공유, JoinsMSN 뉴스클립을 사용해 친구들과 공유하세요
국가정보원의 휴대전화 감청 의혹과 관련한 논란이 한 달 가까이 이어지면서 ‘내 전화는 혹시?’ 하는 이들이 늘고 있다. 결론부터 말하면 일반 휴대전화 통화의 경우 기술적 감청·도청이 얼마든지 가능하다.
전화는 1876년 미국의 벨연구소에서 시작된 전화 서비스 원리가 지금도 그대로 사용된다. 전화교환원이 수작업으로 하던 일을 기계가 할 뿐 교환기를 통해 전화가 연결되는 방식은 140년간 변함이 없다.
▷여기를 누르시면 크게 보실 수 있습니다
휴대전화(무선전화)라고 해서 집전화(유선전화)와 크게 다른 것은 없다. 예를 들어 A와 B가 서로 휴대전화로 통화할 때 A와 B가 있는 곳에서 각각 가장 가까운 기지국까지만 무선으로 연결되고 나머지 구간은 유선으로 연결된다. 교환기를 통해 통화가 연결되는 것도 집전화와 같다. 결국 교환기에 감청장비를 갖다 대면 유·무선 구분 없이 누구의 통화든 들을 수 있는 것이다.
요즘에는 통신의 보안성을 높이기 위해 암호화 기술이란 걸 많이 쓰지만 유·무선 전화는 암호화 기술도 걸지 않는다. 암호화는 데이터를 다른 형태로 바꿔 보관하는 것이다. 쉽게 말해 내용물을 감추기 위해 암호라는 포장지로 내용물을 감싸는 것이다. 이런 암호를 푸는 건 쉽지 않다. 일반적으로 많이 쓰이는 64비트 암호화 기술의 경우 2의 64승만큼 큰 숫자에서 한 개의 암호를 설정했다는 뜻이므로 지금의 수퍼컴퓨터로도 이런 암호를 풀어내려면 약 80년이 걸린다.
하지만 통신사의 유·무선 전화는 이런 암호화 기술을 쓰지 못한다. 만약 통신사별로 암호화 기술을 사용한다고 가정하자. 이런 상태에서 SK텔레콤을 이용하는 사용자가 자신의 휴대전화로 KT 가입자인 친구에게 전화를 걸었다면 어떻게 될까. 통신사별로 암호화 기술이 다르고 통신사는 서로 상대방의 암호를 알 수 없기 때문에 통화 자체가 불가능해진다.
그렇다고 통신사의 무선 통화가 보안에 취약한 건 아니다. 해커 등 외부 세력의 침투가 거의 불가능한 내부망을 사용해서다. 하지만 기술적으로는 감청이 가능하기 때문에 수사기관 등이 감청영장을 갖고 있을 경우에는 다른 사람의 통화 내용을 들을 수 있는 것이다.
일반 문자메시지도 마찬가지다. 외부의 해킹은 어렵지만 통신사 서버를 통해 문자 내용을 엿볼 수 있는 건 기술적으로 가능하다.
해외로 통화를 할 때 많이 쓰는 카카오톡의 보이스톡 등 모바일인터넷전화(mVoIP)는 통신사의 교환기를 거치지 않는다는 점에서 일반 휴대전화와 다르다. 모바일인터넷전화는 데이터에 음성을 실어 보내는 방식인데 교환기를 거치지 않기 때문에 교환기를 통한 감청 자체가 불가능하다. 보이스톡의 경우 암호화 기술을 적용하고 서버에도 통화 내용은 저장되지 않는다. 하지만 서버를 통해 통화가 연결되기 때문에 누구랑 통화했는지와 통화한 시간 등은 서버에 남아 있다.
카톡이나 라인 등의 모바일 메신저는 최근 보안 기능을 강화하는 추세다. 일반 메시지는 이전과 다름없지만 최근에 선보인 비밀 채팅 등은 보안 성능이 뛰어나다는 평가를 받고 있다.
이런 비밀 채팅 보안의 핵심은 종단 간 암호화(End-to-End Encryption) 기술이다. 메신저는 보통 ‘단말기A ↔ 서버 ↔ 단말기B’의 형태로 정보가 전달되고, 일반 메신저의 경우 서버에서 문자 내용을 암호화해 보관한다. 따라서 서버가 해킹되면 암호를 풀 수 있는 키를 찾아낼 수 있고 문자 내용도 볼 수 있다. 서버 관리자도 당연히 문자 내용을 볼 수 있다.
그러나 비밀 채팅에 사용되는 종단 간 암호화 방식은 휴대전화 단말기A 자체에서 문자를 암호화해 보낸다. 암호를 풀 수 있는 키도 개인 단말기에 있다. 따라서 개인의 단말기를 확보하지 않는 이상 서버를 해킹한다고 해도 문자 내용을 알 수 없다. 종단 간 암호화 방식이 보안에 매우 강력하다는 사실이 업계에 널리 알려지면서 요즘에는 카카오톡·네이트온·라인·와츠앱·폰엔허쉬 등 국내외 인기 모바일 메신저가 이 기술을 쓰고 있다. 하지만 종단 간 암호화 방식을 쓰면 PC와 연동해 사용할 수 없는 등 불편한 점도 있다.
여기까지가 일반적인 음성 통화와 문자메시지 보안에 관한 얘기였다면 국정원 해킹 파문에 등장하는 스파이웨어는 또 다른 얘기다. 스파이처럼 정보가 만들어지는 휴대전화 단말기에 직접 들어가기 때문에 여러 가지 보안 기능을 무력화할 수 있다. 일반적으로 주요 문자·e메일 등을 훔쳐보고 통화 내용도 녹음할 수 있다. 또 사용자가 키보드를 입력하는 과정에 들어가 비밀번호를 빼낼 수 있다.
스파이웨어는 여러 위장술로 침입하기 때문에 일반인은 발견하기도 쉽지 않다. 따라서 평소에 스파이웨어 침입을 막을 수 있는 습관을 들이는 게 중요하다고 통신 전문가들은 말한다.
김용대 KAIST 정보보호대학원 교수는 “스마트폰의 기본 운영체제를 임의로 변경하는 ‘루팅(rooting)’이나 ‘탈옥(jailbreak)’의 경우 기기를 취약하게 할 수 있기 때문에 각별히 유의해야 하고, 알 수 없는 출처에서 앱을 내려받을 경우 악성코드에 감염될 우려가 있으므로 반드시 공식 앱 마켓만 이용해야 한다”고 강조했다.
또 문자메시지로 오는 인터넷주소(URL)는 누르지 않는 게 안전하다. 만약 실수로 파일이 설치됐거나 가끔 기기가 이상한 모습을 보인다면 컴퓨터를 포맷하듯이 스마트폰을 초기화할 필요가 있다.
함종선 기자 jsham@joongang.co.kr
◆스파이웨어=스마트폰에 몰래 침투하는 악성코드. 스마트폰 사용자가 입력하는 정보를 그대로 해커에게 전달하는 역할을 한다. 계좌정보·비밀번호·문자·e메일 등을 훔쳐보고 통화 내용도 녹음할 수 있다.
▶▷▶ 비정상쇼, 직격인터뷰…중앙일보 오피니언 방송 바로가기 ▶▷▶
전화는 1876년 미국의 벨연구소에서 시작된 전화 서비스 원리가 지금도 그대로 사용된다. 전화교환원이 수작업으로 하던 일을 기계가 할 뿐 교환기를 통해 전화가 연결되는 방식은 140년간 변함이 없다.
휴대전화(무선전화)라고 해서 집전화(유선전화)와 크게 다른 것은 없다. 예를 들어 A와 B가 서로 휴대전화로 통화할 때 A와 B가 있는 곳에서 각각 가장 가까운 기지국까지만 무선으로 연결되고 나머지 구간은 유선으로 연결된다. 교환기를 통해 통화가 연결되는 것도 집전화와 같다. 결국 교환기에 감청장비를 갖다 대면 유·무선 구분 없이 누구의 통화든 들을 수 있는 것이다.
요즘에는 통신의 보안성을 높이기 위해 암호화 기술이란 걸 많이 쓰지만 유·무선 전화는 암호화 기술도 걸지 않는다. 암호화는 데이터를 다른 형태로 바꿔 보관하는 것이다. 쉽게 말해 내용물을 감추기 위해 암호라는 포장지로 내용물을 감싸는 것이다. 이런 암호를 푸는 건 쉽지 않다. 일반적으로 많이 쓰이는 64비트 암호화 기술의 경우 2의 64승만큼 큰 숫자에서 한 개의 암호를 설정했다는 뜻이므로 지금의 수퍼컴퓨터로도 이런 암호를 풀어내려면 약 80년이 걸린다.
하지만 통신사의 유·무선 전화는 이런 암호화 기술을 쓰지 못한다. 만약 통신사별로 암호화 기술을 사용한다고 가정하자. 이런 상태에서 SK텔레콤을 이용하는 사용자가 자신의 휴대전화로 KT 가입자인 친구에게 전화를 걸었다면 어떻게 될까. 통신사별로 암호화 기술이 다르고 통신사는 서로 상대방의 암호를 알 수 없기 때문에 통화 자체가 불가능해진다.
그렇다고 통신사의 무선 통화가 보안에 취약한 건 아니다. 해커 등 외부 세력의 침투가 거의 불가능한 내부망을 사용해서다. 하지만 기술적으로는 감청이 가능하기 때문에 수사기관 등이 감청영장을 갖고 있을 경우에는 다른 사람의 통화 내용을 들을 수 있는 것이다.
일반 문자메시지도 마찬가지다. 외부의 해킹은 어렵지만 통신사 서버를 통해 문자 내용을 엿볼 수 있는 건 기술적으로 가능하다.
해외로 통화를 할 때 많이 쓰는 카카오톡의 보이스톡 등 모바일인터넷전화(mVoIP)는 통신사의 교환기를 거치지 않는다는 점에서 일반 휴대전화와 다르다. 모바일인터넷전화는 데이터에 음성을 실어 보내는 방식인데 교환기를 거치지 않기 때문에 교환기를 통한 감청 자체가 불가능하다. 보이스톡의 경우 암호화 기술을 적용하고 서버에도 통화 내용은 저장되지 않는다. 하지만 서버를 통해 통화가 연결되기 때문에 누구랑 통화했는지와 통화한 시간 등은 서버에 남아 있다.
카톡이나 라인 등의 모바일 메신저는 최근 보안 기능을 강화하는 추세다. 일반 메시지는 이전과 다름없지만 최근에 선보인 비밀 채팅 등은 보안 성능이 뛰어나다는 평가를 받고 있다.
이런 비밀 채팅 보안의 핵심은 종단 간 암호화(End-to-End Encryption) 기술이다. 메신저는 보통 ‘단말기A ↔ 서버 ↔ 단말기B’의 형태로 정보가 전달되고, 일반 메신저의 경우 서버에서 문자 내용을 암호화해 보관한다. 따라서 서버가 해킹되면 암호를 풀 수 있는 키를 찾아낼 수 있고 문자 내용도 볼 수 있다. 서버 관리자도 당연히 문자 내용을 볼 수 있다.
그러나 비밀 채팅에 사용되는 종단 간 암호화 방식은 휴대전화 단말기A 자체에서 문자를 암호화해 보낸다. 암호를 풀 수 있는 키도 개인 단말기에 있다. 따라서 개인의 단말기를 확보하지 않는 이상 서버를 해킹한다고 해도 문자 내용을 알 수 없다. 종단 간 암호화 방식이 보안에 매우 강력하다는 사실이 업계에 널리 알려지면서 요즘에는 카카오톡·네이트온·라인·와츠앱·폰엔허쉬 등 국내외 인기 모바일 메신저가 이 기술을 쓰고 있다. 하지만 종단 간 암호화 방식을 쓰면 PC와 연동해 사용할 수 없는 등 불편한 점도 있다.
여기까지가 일반적인 음성 통화와 문자메시지 보안에 관한 얘기였다면 국정원 해킹 파문에 등장하는 스파이웨어는 또 다른 얘기다. 스파이처럼 정보가 만들어지는 휴대전화 단말기에 직접 들어가기 때문에 여러 가지 보안 기능을 무력화할 수 있다. 일반적으로 주요 문자·e메일 등을 훔쳐보고 통화 내용도 녹음할 수 있다. 또 사용자가 키보드를 입력하는 과정에 들어가 비밀번호를 빼낼 수 있다.
스파이웨어는 여러 위장술로 침입하기 때문에 일반인은 발견하기도 쉽지 않다. 따라서 평소에 스파이웨어 침입을 막을 수 있는 습관을 들이는 게 중요하다고 통신 전문가들은 말한다.
김용대 KAIST 정보보호대학원 교수는 “스마트폰의 기본 운영체제를 임의로 변경하는 ‘루팅(rooting)’이나 ‘탈옥(jailbreak)’의 경우 기기를 취약하게 할 수 있기 때문에 각별히 유의해야 하고, 알 수 없는 출처에서 앱을 내려받을 경우 악성코드에 감염될 우려가 있으므로 반드시 공식 앱 마켓만 이용해야 한다”고 강조했다.
또 문자메시지로 오는 인터넷주소(URL)는 누르지 않는 게 안전하다. 만약 실수로 파일이 설치됐거나 가끔 기기가 이상한 모습을 보인다면 컴퓨터를 포맷하듯이 스마트폰을 초기화할 필요가 있다.
함종선 기자 jsham@joongang.co.kr
◆스파이웨어=스마트폰에 몰래 침투하는 악성코드. 스마트폰 사용자가 입력하는 정보를 그대로 해커에게 전달하는 역할을 한다. 계좌정보·비밀번호·문자·e메일 등을 훔쳐보고 통화 내용도 녹음할 수 있다.
▶▷▶ 비정상쇼, 직격인터뷰…중앙일보 오피니언 방송 바로가기 ▶▷▶
[메르스 한 달①]'오판·고집·불신'이 부른 국가 위기
“20~40대, 새누리당 떠나다” 지지율 10%대 불과
