통신사 USIM 해킹사태와 관련 피해 대처법

필자는 대학원에서 컴퓨터공학을 전공했고 세부전공으로 정보보안을 전공했다

그래서 이번 통신사 해킹사고에 대해서 좀 더 많은 관심이 있다.

정보보안은 사실 이렇게 사고가 터지기 전에는 그 후 폭풍에 대해서 잘 알지 못한다.

​

평소에 있는듯 없는듯 하던대로 잘 관리하면 된다는 업무적인 성격에서 접근하는 방식이

현업에 있는 대부분의 업무 종사자와 임원의 인식이 크기 때문이다.

​

​

필자가 정보보안을 전공할때만 하더라도 향후 10년 20년 계속 유망한 직종으로 구분되곤 했었다

물론 아직도 유효하다는 생각은 있지만, 업무량 대비 큰 인정은 받지 못하고 있다는 생각이 든다.

(필자는 현재 전공을 살리지는 못했으며... 정보보안이 아닌 다른 업무를 하고 있다.)

​

이번 통신사 해킹사고는 통신사의 HSS, 즉 HS서버가 해킹당한 사고이다.

​

HSS가 왜 중요한가?

HSS (Home Subscriber Server) 는 고객의 사용자의 단말(휴대폰, 태블릿 등)이 LTE 통신망에 접속하려 할 때, 해당 가입자(SIM 카드)가 정상적으로 LTE 서비스를 이용할 권한이 있는지(개통 상태, 요금 납부 상태 등)를 확인하고 관리하는 서버로 데이터 베이스 및 인증관련 기능을 수행하는 중요한 서버이다

LTE? 그럼 LTE 사용자만 보안에 취약해 지는 것인가?

 

실제로는 그럴수도 있다고 본다. 하지만 아직 HSS 해킹에 대해서 정확하게 그 범위를 알수 없는 상태이며,

3G는 현재 거의 사용하지 않고 있고, 5G 통신망의 경우에는 직접적인 영향이 없을수 있다고는 하지만. 이 또한 밝혀진게 없기 떄문에 정확하게 단정할 수는 없고, 4G(LTE) 통신망을 사용하는 고객들도 LTE 전국 통신망을 공유해서 사용하기 때문에 완전하게 안전하다고는 할 수 없다. (실제로 USIM 개통시 LTE와 5G 를 구분해서 사용하지 않는다. LTE에서 5G로 넘어가도, 그 반대의 경우도 USIM을 변경하지 않고 사용할 수 있다)

​

​

​

HSS 에는 SIM 카드의 전화번호와 고유번호(IMSI) 그리고 인증에 사용되는 비밀키 값을 보관하고 있어서, 해당 정보가 해킹되면 동일한 복제 폰을 만들수 있다는 리스크가 있다.

​

그럼 어떻게 복제 폰을 만들 수 있을까?

 

HSS 내에서 인증을 할 때, 암호화된 키 값을 주고 받고 있는 것이 아니라 해당키로 계산된 결과만 주고 받기 때문에 SIM 정보를 모두 알수 있기 떄문에 SIM카드를 읽고 쓰기가 가능해지고, 해당 전화번로 주고 받는 모든 정보를 알수 있다. 정리하면 내 핸드폰이 하나 더 생기게 되는 것이다.

​

이렇게 SIM 정보(USIM,e-SIM를 가지고 복제폰을 만드는 것을 유심복제(심 클로닝) 이라고 한다.

이번 사고는 유심 관련 정보가 유출되어 유심 복제(심 클로닝) 위험이 발생했으며, 이번 해킹사고에 대하여 어떤 내용인지, 그리고 어떻게 대처해야 하는지에 대해서 정리해 보았다.

 

사건의 개요

통신사의 HSS 서버가 해킹되어 유심 정보가 유출된 사건이 발생

HSS 서버는 가입자 정보와 인증을 관리하는 중앙 서버로, 유심 관련 데이터가 포함되어 있음

해킹 사실은 4월 19일에 처음 보도되었으나, 실제 인지는 4월 18일로 확인됨

​

통신사 HSS 서버 해킹 사건과 유심 복제 위험성

앞서 정리했던 것처럼 HSS 서버 해킹 사건으로 인해 유심 정보가 유출되어, 유심 복제가 가능한 상황

유심의 개인 식별 코드가 해킹으로 인해 다른 유심에 입력되면, 동일한 번호의 복제폰이 쉽게 제작될 수 있다

유심 복제는 실제로 국내에서 핸드폰 번호가 개인 인증에 많이 사용되기 때문에 매우 중요하면서 위험

​

개인정보(개인 인증)를 탈취하는 데 악용될 수 있습니다.

만약 통신사가 미흡한 초기 대응과 유심 물량 부족으로 빠르게 조치하지 못하면 더 큰 위험에 빠질 수 있음

​

​

대안으로 유심 보호 서비스와 무료 교체 서비스를 제공하고 있지만 유심보호 서비스의 경우, 로밍서비스를 받을 수 없다는 단점이 있다. 따라서 근본적인 해결을 위해서는 USIM 데이터를 완전 새롭게 변경하는 유심 교체가 근본적인 해결책이며, 청소년과 중-장년층 등 디지털 취약 계층을 위한 적극적인 대응과 대처가 필요해 보임

 

해킹 사건 개요 및 대응 조치

이번 해킹 기법은 중국 기반의 BPF 도어 기법임

​

BPF 도어란?

리눅스 기반의 백도어 악성코드로 시스템, 서버(이번 경우는 HSS)에 접근하여, 특정한 매직 패킷(Magic Packet)을 수신하면 활성화가 되고, 해당 네트워크에서 심어놓은 패킷을 통해 보안프로그램을 우회하고 데이터를 유출할수 있는 방법으로 현재는 오픈소스에 올라와 있을만큼 사이버 보안에 많이 활용되고 있는 방식

해킹은 중국 기반의 BPF 도어 기법을 사용하여 이루어졌으며, 공격자의 IP 정보도 공개됨

​

이번 사고도 마찬가지로 서버에 악성 파일이 심어졌으며, 이 악성 코드의 소스는 오픈 소스로도 공개되어 있어 공격자를 특정하기 힘든 상황임 해킹이 발생한 4월 18일 이후, 공지는 4월 22일에 이루어졌고, 문자 고지 없이 뉴스룸을 통해서만 알려졌다고 한다.

 

유심 해킹에 대한 대응법, 대응방안!!

 

가장 위험한 것은 핸드폰 전원을 종료하는 것임

또는 심클로닝으로 복제폰이 만들어 졌다면 실제 사용자의 핸드폰이 갑자기 먹통이 되거나 하는 증상을 확인할수 있습니다. (실제로 2개의 폰이 모두 인증받은 상태로 통신망을 사용할 수 없음)

​

따라서 갑자기 인증요청을 하지도 않았는데 문자메시지로 인증을 받으라고 하거나

금융기관 등의 인증을 요구하거나 하면 의심을 해 보는것이 좋고 본인이 요청하지 않은 메시지는 확인하면 안됨

​

SMS, MMS로 특정 링크를 보내어서 클릭하게 만드는 메시지는 조심해야 합니다.

​

> 유심 비밀번호 설정은 유심 도난에만 유효하므로, 서버 해킹에는 1도 도움이 되지 않는다

> 유심 보호 서비스에 가입하면 복제된 유심 사용을 차단할 수 있어 피해 예방에 도움이 된다

> IMEI(핸드폰 고유번호)를 대조하여 등록된 핸드폰과의 일치 여부를 확인하고, 로밍 기능을 차단

> 복제된 유심은 동시에 사용할 수 없으며, 절대로 폰을 재부팅하면 안된다 (안전하지 않다)

> 유심 보호 서비스는 절차는 간단하지만 로밍서비스가 안되거나, 번거로운 서비스를 받아야 하므로 비추

> 유심 교체가 더욱 근본적인 해결책이다

> 신규 계통 명의 변경 제한 서비스로는 심클로닝(휴대폰 복제)을 막을수 없다.

​

​