아마 무선 통신이 감시되고 있더라도 전화기에 "주의: 모바일 통신망의 표준 암호화 상태가 꺼져있는데, 불량 기지국('IMSI 캐처(Catcher)')에 의한 것일 가능성이 있습니다. 암호화되지 않은 통화는 바람직하지 않습니다"라는 경고가 표시되지 않는 한 도청을 알아채지 못할 것이다.
크립토폰을 통해 가짜 기지국 17곳 발견
이런 알림을 통해 크립토폰 사용자들은 미국 내에서 7월 한달 동안 17곳의 '가짜 기지국'을 발견하고 지도상에 표시했다. 비록 대부분의 전화기로는 이런 통화 도청을 감지할 수 없지만, 3,500달러 가격의 크립토폰 500 제품은 이를 잡아낼 수 있었다.
크립토폰은 삼성 갤럭시 S3의 외형을 하고 있지만, 갤럭시 S3에 표준으로 제공되어 "매 시간마다 80에서 90건의 데이터를 알려지지 않은 상대에게 유출시키는" 원래의 안드로이드 운영체제에서 ESD 아메리카(ESD America)가 468개의 취약점을 제거한 강화된 운영체제에서 구동된다.
ESD 아메리카의 CEO 레스 골드스미스는 "미국 내에서 도청 상황은 사람들의 예상보다도 훨씬 많이 발생하고 있다"고 말했다.
골드스미스는 파퓰러 사이언스(Popular Science)와의 인터뷰에서 "고객 한 명이 플로리다에서 노스캐롤라이나까지 자동차로 이동하는 동안 8곳의 각기 다른 도청 기지국을 찾아냈다. 심지어 라스베가스의 사우스 포인트 카지노(South Point Casino)에서도 한 곳을 찾아낼 수 있었다. 수상한 점은 이런 많은 도청 기지국이 미군 기지에 위치해 있었다는 점이다. 누가 이런 도청을 감행하는 것일까? 군부대 주변의 전화들을 도청하는 이들이 누구일까? 우리가 이들의 정체를 알지 못한다는 점이 핵심이다"고 덧붙였다.
이동식 IMSI 수신장비 스팅레이, 통신 기지국 위장
프라이버시 보호 시민단체들은 지난 몇 년간 미국 헌법에 위배되는 스팅레이(stingray) 감시에 맞서 싸워왔지만, 그럼에도 대다수의 시민은 이 '스팅레이'라고 불리는 이동식 IMSI 수신 장비에 대해 여전히 모르고 있다.
스팅레이는 통신 기지국을 위장해 자신의 휴대전화가 통화 중이 아닌 상태에서도 그 기지국에 접속하도록 속임수를 쓴다. 이를 통해 실시간 위치 추적이 가능하고 2m의 오차 범위 안으로 자신의 위치를 파악할 수 있을 뿐 아니라 자신의 통신 내역을 도청하고 캡처할 수도 있다.
골드스미스는 도청 장치를 가동하는 네바다주 사막의 한 익명의 정부 시설 주변을 운전해 지나가면서 ESD 아메리카의 '기저대역 방화벽(baseband firewall)'을 테스트했다.
골드스미스는 "이 도로를 운전해 지나가는 동안 아이폰에는 어떠한 변화도 일어나지 않았다. 삼성 갤럭시 S4는 4G에서 3G로 바뀌었다가 다시 4G로 되돌아왔다. 크립토폰에는 마치 크리스마스트리 장식처럼 반짝반짝 경고 불빛이 들어왔다"고 당시 테스트 상황을 설명했다.
자신의 전화기가 3G나 4G가 아니라 2G 신호 수신상태가 된다면 도청되고 있다고 파악할 수도 있지만, 몇몇 도청장치는 '감지 불가능'이다.
예를 들어 VME 도미네이터(VME Dominator)는 오직 정부 기관에만 판매된다. 이 장비는 독특한 삼각 측량과 다른 고급 기술을 활용해 통신을 가로채기, 차단, 추적, 녹음, 감청할 수 있게 해준다. 그러면서도 이런 상황을 감지하는 것은 불가능하다.
이 장비는 음성과 텍스트 가로채기가 가능하고, 음성 변조, 업 혹은 다운 채널 차단, 텍스트 가로채기와 조작, 사용자를 위장해 전화를 걸고 텍스트 보내기, 전화의 랜덤 모니터링으로 방향 감지 등이 가능하다.
VME 도미네이터는 시장에 나와있는 유일한 4G 도청장치가 아니다. 마톤 라디오 테크놀로지(Martone Radio Technology) 역시 4G 도청을 광고하고 있으며, SS8은 이 솔루션이 "차세대 4G LTE 통신망에 대한 적법한 차단방법의 통합"이라고 설명했다.
골드스미스에 의하면, 만약 자신이 도청당하는 상황일 때 어떤 경우에는 4G에서 2G로 떨어짐으로써 상황이 드러날 수 있다. 하지만 고급 도청 장치를 쓰면 여전히 4G에 연결되어 있는 것처럼 거짓으로 표시되게 만들어버린다. 그래서 자신은 4G에 연결되어 있다고 생각하지만 실제로는 2G로 연결되어 있는 상태가 된다.
미 사법기관, 통신 도청 시스템 2G에서 4G로 업그레이드 중
IT 전문지 아스 테크니카(Ars Technica)는 사법기관들이 2G 통신망 그리고 이로 인해 헌법을 위배되는 사람들을 감시할 수 있는 능력이 무용지물이 되기 이전에, 그들이 현재 사용하는 '스팅레이' 통신 도청 시스템을 업그레이드할 예산을 따내기 위해 노력 중이라고 보도했다.
예를 들어 AT&T는 2017년 2G 네트워크 서비스를 종료할 예정이지만 버라이즌은 '2020년까지' 2G를 지원할 예정이다.
비록 2G 지원이 종료되기까지 많은 시간이 남아있지만 정부 기관은 해리스 코퍼레이션(Harris Corporation)의 '스팅레이' 시스템을 4G LTE 도청 지원을 위해 '헤일스톰(Hailstorm)'으로 업그레이드하는 작업을 진행하고 있다.
뉴스 트리뷴 인 타코마(News Tribune in Tacoma)는 2014년 3월 "스팅레이가 4G LTE 전화기 추적을 하기 위해 헤일스톰 업그레이드가 필요하다"고 기술한 미국 마약 단속국(DEA)의 구매 주문 내역을 보도했다.
아스 테크니카에 의하면 오클랜드 경찰서(Oakland Police Department), 프레몬트 경찰서(Fremont Police Department), 알라메다 카운티 지방 검찰(Alameda County District Attorney)이 헤일스톰 업그레이드 비용 충당을 위해 DHS 보조금에 지원했다고 한다.
전체 업그레이드 비용은 46만 달러로, 여기에는 미국 국토 안보 보조금 20만 5,000달러와 오클랜드 경찰서의 5만 달러가 포함된다. 이론적으로는 더 많은 문서들이 수집되고 있으며, 이는 이번 달 알라메다 카운티 검찰에 의해 공개될 예정이다.
FCC, 도청장치 사용 용인 중
한편 미국 연방 통신 위원회(FCC)는 스팅레이가 파고드는 통신망 취약점에 대해 알고 있는 것처럼 보이며, 지난달 '불법적이고 허가받지 않은 스팅레이 사용 실태'를 조사하기 위한 태스크 포스를 창설했다.
연방 통신 위원회는 사법기관에서의 이런 도청 장치 사용을 수사하는 것이 아니라, "범죄 조직이나 외국 정보부가 미국인들을 상대로 이런 기기를 사용하는 상황에 대해 조사할 계획"이라고 말했다. 또한 연방 통신 위원회는 스팅레이 사용 문건에 대한 시민단체 미국시민자유연맹(ACLU)의 정보공개요청을 거부했다.
한편 일반적인 미국인들은 이런 상황이 일어나는지도 모른 채 '급속히 퍼져나가는 감시 기술'의 대상이 될 위험에 처하게 됐다.
미국시민자유연맹의 과학기술 전문가 크리스토퍼 소그호이언은 스팅레이 도청에 대해 "한 사람이 사용하는 한 대의 전화기를 찾기 위해 수많은 죄없는 일반인들의 전화기를 뒤적이는 것은 마치 어디 있는 지도 모르는 악당 한 명을 찾아내겠다고 민간인 주택 50채의 문을 박차고 들어가서 이들의 집을 무단으로 수색하는 꼴이다”고 비판했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.