[안희권기자] 해킹에 악용될 수 있는 보안 취약점이 휴대폰용 심카드에서 발견됐다고 뉴욕타임스가 21일(현지시간) 보도했다.
해커가 이 취약점을 이용해 악성코드를 감염시킬 경우 휴대폰을 원격에서 통제할 수 있다. 이 심카드 취약점은 심카드 암호화에 이용되는 데이터 암호화 표준(DES)과 관련이 있는 것으로 알려졌다.
이 암호화 표준은 보안성을 개선한 새 표준으로 대체되고 있으나 일부 제조사들이 이 방식을 고수해 수 억개 휴대폰 심카드에서 여전히 사용되고 있다.
휴대폰 심카드 취약점은 독일 보안업체 시큐리티 리서치랩스 설립자 카르스텐 놀이 발견해 제보하면서 공개됐다. 그는 통신사가 보낸 것처럼 문자를 위장해 보낸 결과 56비트 보안키(DES)를 사용한 심카드 탑재 휴대폰 중 25%가 이에 자동으로 응답했다고 설명했다.
따라서 문자 메시지에 악성코드를 삽입해 이 취약점을 공격하면 휴대폰을 해킹할 수 있다는 것.
보도에 따르면 카르스텐 놀은 일반 PC를 사용해 휴대폰 심카드 해킹을 하는 데 2분 정도 밖에 걸리지 않는다고 주장했다.
그는 2년 이상 북미와 유럽에 걸쳐 약 1천개 심카드를 대상으로 심카드 해킹 가능성을 테스트해왔다. 카르스텐 놀은 이 테스트 결과를 토대로 DES를 채택한 전세계 30억개 모바일 심카드 중 7억5천만개가 해킹 공격에 노출될 위험성을 갖고 있다고 주장했다.
AT&T와 버라이즌 미국 통신사는 3DES 등 최신 암호화 표준을 채택하고 있어 이번 취약점 공격에도 안전하다고 설명했다. 다만 일부 지역 통신사는 DES 암호화 심카드를 채택하고 있어 해킹 우려를 안고 있다.
DES(Data Encryotion Standard)는 1975년 미국 국립표준원(NIST)에서 국가 표준으로 채택한 암호로, 56비트의 키를 사용하며 대표적인 대칭키 암호이다. DES는 현재 컴퓨터 환경에 비해 암호 키가 너무 짧아 쉽게 해독될 수 있다는 취약점 때문에 DES를 세번 반복해서 사용하는 트리플-DES(3DES)나 새 표준인 고급 암호화 표준(AES)로 대체되고 있다.
카르스텐 놀은 다음달 1일 열리는 블랙햇 보안 컨퍼런스에서 자세한 내용을 공개할 예정이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기