국내 최대 이동통신사에서 탑재한 위치정보 수집 모듈(독립 소프트웨어)에서 보안 취약점이 발견되어 개인정보유출의 위험성이 있는 것으로 밝혀졌다.
 
ICT 통합 보안 기업 라온시큐어(대표 박형근 www.raonsecure.com) 화이트햇센터 보안기술연구팀에 따르면 “국내 이동통신사들이 휴대폰에 탑재한 위치정보 수집 모듈에 대한 보안 취약점을 연구한 결과 국내 최대 이통사인 A사의 위치정보 수집 모듈에서 해킹 취약점을 발견했으며 B와 C사에도 잠재적 해킹 위협이 존재하는 것으로 드러났다”고 밝혔다. 한편 이 연구팀은 Silent SMS의 보안 문제점에 대한 연구 결과도 발표했다.  
 
스마트폰 보급 이후 해외 주요 국가에서 휴대폰 사용자의 위치정보와 개인정보를 수집 및 유출 하는 등의 이슈가 지속적으로 논란이 되어왔다. 미국은 이동통신사들이 캐리어IQ라는 소프트웨어를 휴대폰에 내장해 이용자의 위치정보와 개인정보 등을 몰래 수집한 사실이 드러나 파장이 되었고, 독일은 내무부장관이 경찰과 정보기관에서 한 해 평균 440,000건의 Silent SMS(침묵 SMS)를 활용해 위치를 추적하고 있다고 발표해 논란이 되었다.
 
국내에서도 성폭행 사건을 비롯해 잇단 강력범죄의 영향으로 최근 3년간 휴대폰 위치정보 조회가 30% 증가한(2009년 629만5천12건, 2010년 789만3천555건, 2011년 815만5천644건) 것으로 나타났으며, 지난 5월에는 ‘위치정보의 보호 및 이용에 관한 법률이(위치정보법)’도 개정되어 11월 15일부터 본격 시행될 예정이기 때문에 위치조회 오·남용으로 인한 사생활 침해 우려가 제기되고 있다.
 
이러한 이슈들이 제기되고 있는 상황을 반영 라온시큐어는 사내 화이트해커로 구성된 화이트햇센터 보안기술연구팀에서 국내 이동통신사들이 휴대폰에 탑재한 위치정보 수집 모듈에 대한 보안 취약점을 연구하기 시작했다고 한다.  

 
◇A사 위치정보 수집 모듈 해킹 취약점
A사는 112와 119의 위치정보 요청이 급증함에 따라 타사보다 가장 적극적으로 GPS 추적 시스템을 구축을 했으며, 약 2,600만 가입자 중 외산 스마트폰과 지도맵이 지원되지 않는 저사양의 피처폰을 제외하고 대부분 GPS 기능을 탑재했다. A사를 이용하는 국산 스마트폰 사용자는 대략 1,153만 명이며, 그 외 피처폰 수를 포함하면, 대략 약 1,500만 명 정도 사용자가 GPS 기능을 탑재한 휴대폰을 사용하고 있다고 밝힌바 있다.
 
국내에서는 삼성 갤럭시, LG 옵티머스, 팬택 베가 등 국산 스마트폰에만 GPS 정보를 통신사로 보내도록 하는 기능이 내장되어 있고, 그 외 애플 아이폰, 림 블랙베리폰, 구글 넥서스원 등의 외산 스마트폰에는 이러한 기능이 없다.
 
화이트햇센터 보안기술연구팀은 이를 반영해 A사 스마트폰 중 ‘GPS 기능을 제공하는 안드로이드 기반의 국산 스마트폰’을 중심으로 위치정보 수집 모듈에 대한 해킹 취약점을 연구했다.
 
그 결과, 해커가 해당 모듈의 취약점을 해킹할 경우 상대방의 휴대폰 번호만 알면 Silent SMS를 사용해 1)스마트폰 모델명, 2)스마트폰 위치정보(GPS), 3)주변 무선 네트워크 정보 등 위치정보뿐 아니라 개인정보를 사용자가 전혀 모르게 무단으로 수집할 수 있다는 사실을 발견했다.
 
Silent SMS는 SMS 종류 중 하나로, 일반 SMS(문자 메시지)와 달리 사용자가 메시지를 받았다는 사실을 알 수 없으며, Stealth SMS, Stealthy Ping 등으로도 불려진다. 원래 목적은 통신사가 휴대폰의 네트워크 환경을 테스트 할 때 메시지로 인한 사용자 불편을 고려하여 만들어진 것이지만, 지금은 해외에서 경찰이나 정보기관 등의 사법기관에서 사용자의 위치정보를 알아내거나 명령을 내리기 위해 사용하기도 한다.
 
즉, 해커가 해당 취약점을 악용해 A사의 안드로이드용 스마트폰 사용자의 휴대폰에 Silent SMS를 전송하면 피해자는 화면상의 표시나 소리를 통한 알림 등 메시지를 받았다는 것을 전혀 알지 못한 채 위치정보를 수집 당하게 되는 것이다.
 
◇B와 C사의 잠재적 해킹 위협
그 동안 B와 C 통신사는 개인정보와 사생활보호 차원에서 GPS 위치확인 시스템을 구축하지 않았다. 하지만 11월 15일부터 시행되는 위치정보법을 이행하기 위해 GPS 기반의 위치정보 수집 모듈이 탑재할 예정이다.
 
B사의 경우 관련 모듈을 분석한 결과 GPS 수집 코드 추가만 남겨두고 대부분의 시스템은 구현해 놓은 상황이다. GPS 수집 코드만 추가하면 A사와 동일한 공격이 가능해 해킹 가능성은 시간문제가 될 수 있다.
 
C사의 경우도 지난 7월 경찰청과 휴대전화 위치정보 제공 협정을 맺고 실종아동이 발생하면 위치추적을 하기로 했으며, 기지국뿐만 아니라 실종자의 GPS와 와이파이 위치정보까지 제공해 위치추적의 정확도를 높인다고 밝혀 A와 B사가 갖고 있는 해킹 위협이 존재한다고 볼 수 있다.
 
이번에 발견된 취약점으로 불거질 수 있는 문제점은 다음과 같다.
◇사생활 침해 문제
해커가 사용자 모르게 Silent SMS를 활용하여 실시간으로 피해자의 현재 위치를 파악할 수 있으며, 이는 사생활 침해 등의 문제가 발생할 수 있다.
 
◇범죄 악용 가능성
해커가 위치정보 수집 모듈을 해킹하여 임의적으로 삭제할 경우, 경찰의 위치추적을 피할 수 있게 되어 범죄에 악용될 가능성이 있다.
 
◇Silent SMS DDoS(분산 서비스) 공격 가능성
해커가 공격 대상자에게 엄청난 양의 Silent SMS를 보내서 배터리를 비정상적으로 빨리 소비시킬 수 있으며, 사용자가 알 수 없지만 스마트폰 내부에서는 밀려오는 메시지를 처리하기 위해 전화 서비스를 불능으로 만들 수 있다.
 
◇앱 배포로 2,3차 범죄 가능성
해커가 해당 취약점을 공격하는 앱을 만들어 배포할 경우 기존에 논란이 되었던 위치추적 앱(오빠00 앱)과 같은 형태로 스토킹 등의 범죄를 유발할 수 있다.
 
◇WPS 기술 상용화 시 보다 강력한 위치정보 유출 가능성
WPS(WiFi Positioning System)는 주변에 존재하는 여러 무선랜 정보를 수집해서 사용자의 위치를 추적하는 기술로써, GPS보다 더 세밀한 정확성을 가지고 있다. 해커가 WPS 정보를 해킹할 경우 보다 더 강력한 위치정보 유출이 가능해진다. 향후 WPS 기술이 상용화 되면 GPS보다 더 적은 오차로 사용자의 위치정보를 실시간 획득할 수 있게 되며, 장기적으로 GPS와 더불어 WPS 정보의 추가 취득이 더 심각한 문제점을 발생 시킬 수 있다고 볼 수 있다.
 
화이트햇센터 보안기술연구팀은 “해당 연구 결과에 대해 A사 관계자를 대상으로 직접 시연했으며, A사에서는 보안 취약점에 대한 부분을 인정한 바 있다”며 “이에 A사는 현재 해당 취약점을 보완하기 위해 패치를 진행하고 있다”고 밝혔다.
 
또 팀은 “이동통신사의 위치정보 수집은 강력 범죄 등의 사회적 이슈로 필수적으로 요구되는 기능이지만, 사생활 침해를 비롯해 보안 취약성으로 인한 불법추적, 추적회피 등 해킹 가능성에 대한 문제점을 갖고 있다. 이를 예방하기 위해서는 정부차원에서 보안에 대한 검토와 함께 위치정보 수집 모듈에 대한 보안 심의를 거친 후 도입하는 것이 필요하다”며 “특히 DDoS 취약점을 갖고 있는 Silent SMS 문제점 보완을 위해 통신사와 제조사에서 관련 SMS를 사용할 수 없도록 검토해야 한다”고 강조했다.
 
라온시큐어 화이트햇센터 보안기술연구팀은 국내 최정예 화이트해커로 구성된 조직으로서 순수 보안기술 연구와 분석을 통해 핵심기술 개발 및 신사업 기획을 하는 팀이다. 금융기관이 고민하고 있는 보안 문제에 대한 해답을 주는 해킹·보안전문가 집단이다.
 
<참고 자료>
-GPS(Global Positioning System): 인공위성을 이용해 개인의 위치를 정확히 알 수 있는 시스템
-독일 내무부장관 발표 자료: j.mp/W6iQke
-A사 위치정보 시스템 구축 소개 자료: j.mp/XCUG65
-경찰청 & 이동통신 3사 휴대전화 위치정보 제공 협정 자료: j.mp/PSGSRz
 
데일리시큐 길민권 기자 mkgil@dailysecu.com