주요 내용
SS7으로 알려진 구식 시그널링 시스템은 사이버 공격과 감시에 취약하기 때문에 개인 정보 보호에 심각한 위험을 초래합니다.
시그널링 시스템 7(SS7) 취약점을 악용하여 범죄 조직이 은행 계좌를 비우고, 정부가 휴대폰 사용자를 감시하고, 정보 기관이 전 세계 인구를 감시하는 데 사용할 수 있습니다.
SS7 취약성에 대비하여 개인 정보를 안전하게 보호하려면 강력한 종단 간 암호화 기능을 제공하는 Signal 또는 WhatsApp과 같은 고급 통신 플랫폼을 사용하는 것이 좋습니다. 이러한 혁신적인 애플리케이션은 민감한 데이터의 잠재적 침해에 대한 보호 수준이 뛰어나기 때문에 기존 문자 메시지 및 전화 서비스에 비해 개인 정보 및 기밀을 보호하는 데 더 신뢰할 수 있는 것으로 간주됩니다.
SS7(신호 시스템 번호 7)은 많은 사람들에게 생소한 개념일 수 있지만, 우리와 가장 가까운 사람들의 일상을 포함하여 현대 사회에서 여전히 보편적으로 사용되고 있습니다. 안타깝게도 SS7은 심각한 보안 위험을 초래하는 기술적 유물입니다. 다행히도 대체 솔루션이 존재하며, 이러한 옵션은 무료로 제공됩니다.
SS7이란 무엇이며 왜 안전하지 않은가요?
SS7(시그널링 시스템 번호 7)은 전화 시스템 간의 네트워크 간 통신을 용이하게 하는 복잡한 전화 프로토콜 배열입니다. 간단히 말해, SS7은 통신 네트워크가 중요한 데이터를 효과적으로 교환할 수 있는 강력한 통신 플랫폼을 구성합니다. 그 결과 가입자는 음성 통화, 문자 메시지 전송 및 기타 관련 서비스를 편리하게 이용할 수 있습니다.
SS7의 도입은 1970년대 미국에 위치한 AT&T 네트워크에서 처음 시작된 것으로 거슬러 올라갑니다. 그 후 전 세계적으로 적용 가능한 시스템으로 인정받으며 궁극적으로 전 세계 여러 국가에서 초기 기술을 단계적으로 폐지했습니다. 1990년대에 이르러 SS7은 보편적으로 채택되어 국제 통신 서비스의 기본 인프라로 자리 잡았습니다.
1990년대 발신자 번호표시, 착신 전환, 단문 메시지 서비스(SMS)의 도입은 모바일 네트워크의 전 세계적 확장에 힘입어 촉진되었으며, 신호 시스템 7(SS7) 통합이 이러한 발전에 중요한 역할을 했습니다. 그 결과 이러한 기술은 현대 사회에 큰 영향을 미쳤으며, 다양한 통신사 간에 SMS 메시징을 통한 원활한 커뮤니케이션을 가능하게 했습니다.
시그널링 시스템 번호 7의 구식 디자인.7(SS7)은 오래되고 첨단 사이버 위협에 대한 최신 안전장치가 부족하기 때문에 현대 통신 시스템에는 수많은 우려를 낳고 있습니다. SS7의 보안 취약점은 적어도 21세기 초부터 문서화되어 왔으며, 이러한 결함은 시간이 지남에 따라 계속 악화되고 있습니다. 이러한 결함은 본질적으로 SS7의 아키텍처 자체에 존재하므로 이러한 문제를 특정 네트워크, 디바이스 또는 개인에게만 돌리는 것은 올바르지 않습니다.
SS7 취약점으로 인해 개인 정보가 노출되는 방법
기술의 급속한 발전과 사이버 범죄의 확산으로 인해 SS7은 이러한 발전에 발맞추는 데 상당한 어려움을 겪어 왔습니다. 지난 몇 년 동안 전 세계적으로 보안 침해와 관련된 주요 사건이 다수 발생하여 이러한 위협으로부터 보호하기 위한 강화된 조치가 필요함을 강조하고 있습니다.
예를 들어, 2017년에 신원이 확인되지 않은 범죄자 그룹이 SS7의 보안 허점을 이용해 사람들의 은행 계좌에서 돈을 빼돌린 사건이 발생했습니다. Ars Technica 에 따르면 이들은 특정 은행이 무단 액세스를 방지하고 고객을 보호하기 위해 사용하는 2단계 인증을 우회하는 방식으로 이를 수행했습니다. 당시 테드 리우 미 하원의원은 “FCC와 통신 업계가 우리의 개인 정보와 금융 보안을 보호하기 위해 더 빨리 조치를 취하지 않은 것은 용납할 수 없다”며 연방 정부에 이러한 “파괴적인” 결함을 수정할 것을 촉구했습니다.
마찬가지로, 워싱턴 포스트 는 2014년에 SS7 취약점을 통해 정부 기관이 휴대폰 사용자를 실시간으로 추적할 수 있다고 보도했습니다. 한 내부자는 이 매체에 “수십 개” 국가에서 이 작업을 수행하고 있다고 말했으며, 보안 전문가들은 해커 그룹과 유사한 조직이 동일한 작업을 수행하는 것을 막을 수 있는 방법은 없다고 지적했습니다. 2020년 한 내부 고발자는 사우디아라비아가 이와 동일한 취약점을 악용하여 미국 내 자국민을 추적하고 있다고 폭로했습니다 가디언 .
2020 Haaretz 조사에 따르면 이스라엘의 민간 정보 회사 Rayzone Group이 고객을 대신하여 전 세계 사람들을 추적하기 위해 SS7의 결함을 악용하고 있는 것으로 밝혀졌습니다. 약 1년 후, 탐사 저널리즘 국 에 따르면 자동 문자 메시지를 전문으로 하는 스위스 기술 회사의 CEO가 동일한 취약점을 악용하여 사람들을 감시한 것으로 밝혀졌습니다.
SS7 프로토콜이 무단 액세스 및 가로채기에 매우 취약한 것으로 입증되었기 때문에 SS7을 둘러싼 보안 우려는 단순한 추측을 넘어선다는 점을 인식하는 것이 중요합니다.따라서 이 매체를 통해 전송되는 모든 메시지는 국가 행위자 또는 필요한 기술 역량을 보유한 다른 숙련된 개인이 가로채서 액세스할 수 있으므로 기밀 통신을 위해 SMS에 의존하는 것은 바람직하지 않습니다.
하지만 진짜 문제는 왜 SS7 취약점을 해결하기 위해 아무런 조치도 취하지 않는 것일까요? 통신사와 모바일 네트워크는 분명히 이 취약점을 알고 있으며, 보안 전문가들은 정치인들과 마찬가지로 오래전부터 이 취약점을 알고 있었습니다. 실제로 리우와 같이 공개적으로 이 취약점에 대해 이야기하고 규제 기관에 조치를 취할 것을 촉구하는 사람들도 있습니다. 하지만 아무것도 변하지 않았습니다. The Register 은 이에 대해 보도하면서 “아마도 미국 정보기관이 네트워크를 쉽게 손상시킬 수 있다는 생각을 좋아하는 것 같다”고 결론지었습니다.
이러한 관점이 관찰된 현상에 대한 그럴듯한 근거를 제공한다는 점을 인정하는 것이 중요하지만, 당면한 문제를 완전히 해결하지는 못한다는 점도 인정해야 합니다. SS7은 오래된 시스템으로 국경을 초월한 광범위한 협업과 첨단 기술의 채택 및 통합이 필요하며, 이 두 가지 모두 시간과 재정 측면에서 상당한 자원을 필요로 합니다. 따라서 이러한 노력에 대한 동기가 부족할 수 있습니다.
SS7 취약점으로부터 자신을 보호하기 위해 할 수 있는 일
SS7이 현대 통신 시스템에 널리 퍼져 있는 현실에서 개인은 어떻게 개인정보를 보호할 수 있을까요? 현실적인 방법은 텍스트 기반 통신과 음성 통신 모두에 보안 메시징 애플리케이션을 활용하는 것입니다. 이러한 플랫폼은 표준 SMS(단문 메시지 서비스) 및 SS7 프로토콜에 의존하는 전화 통신 인프라에서 사용할 수 없는 추가적인 보안 수준을 제공하기 때문입니다.
이러한 애플리케이션을 사용하면 SS7에 비해 훨씬 더 높은 수준의 안전성과 개인정보 보호가 제공되지만, 추가적인 보안 조치를 원하는 경우 종단 간 암호화된 통신 플랫폼을 사용하는 것이 좋습니다. 엔드투엔드 암호화는 모든 거래가 무단 감시로부터 보호되도록 보장합니다. 시장에는 이러한 애플리케이션이 다수 존재하며, 일부는 무료로 제공됩니다. Signal은 현재 가장 안전한 메시징 애플리케이션으로 널리 알려져 있지만, WhatsApp이 그 뒤를 바짝 뒤쫓고 있습니다.
Signal 애플리케이션은 고급 암호화 체계를 갖추고 있으며 강력한 보안 조치로 유명합니다. 반면, WhatsApp은 사용법이 간단하고 사용자들 사이에서 널리 친숙하기 때문에 많은 사람들에게 매력적인 선택입니다.그럼에도 불구하고, 데이터 보호에 대한 우려로 인해 일부 개인은 Facebook과 Instagram을 소유하고 있는 메타 코퍼레이션과의 연관성 때문에 WhatsApp을 기피하고 있습니다.
눈에 띄는 문제에도 불구하고 SS7은 아무데도 가지 않습니다
SS7은 심각한 결함으로 인해 더 이상 사용되지 않는 것으로 간주되었지만, 최종적인 퇴출이 임박한 것으로 보이지는 않습니다. 현재로서는 통신 업계에서 이 구식 프로토콜의 단계적 철수를 시사하는 명확한 신호가 없습니다. 이러한 현실을 고려할 때, 개인은 SS7을 대체할 더 우수하고 강력한 대안이 시장에 출시될 때까지 개인 정보를 보호하기 위한 사전 조치를 취해야 합니다.
SMS와 같은 메시징 서비스를 활용하는 것이 때때로 필요할 수 있지만, 암호화된 통신 애플리케이션을 구현하는 것이 유용한 예방책이 될 수 있습니다. 그러나 모니터링 및 다양한 위험으로부터 안전을 보장하려면 디지털 청결과 보호를 유지하기 위한 헌신적이고 지속적인 노력이 필요합니다.