본지·모바일보안업체 해킹 테스트…국내개발 서비스는 다 뚫렸다

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다.



하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다.

서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다.

국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다.

반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다.

보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다.

도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다.

이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다.

안동환기자 ipsofacto@seoul.co.kr

[용어 클릭]

●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다.

●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.