감시업체가 통신사 접근권 악용해 위치추적
원제: Surveillance vendors caught abusing access to telcos to track people’s phone locations, researchers say
왜 중요한가
글로벌 통신망 보안 취약점이 여전히 광범위하게 악용되고 있음을 보여주는 사례
시민랩 연구진이 감시업체 2곳이 통신사로 위장해 글로벌 전화망에 접근한 뒤 개인 위치정보를 불법 추적하는 캠페인을 발견했다고 발표했다. SS7과 Diameter 프로토콜의 보안 취약점을 악용한 것으로 확인됐다.
캐나다 토론토대학 부설 디지털 권리 연구기관인 시민랩(Citizen Lab)이 4월 23일 발표한 보고서에 따르면, 2개 감시업체가 합법적인 통신사로 위장한 '유령회사'를 운영하며 글로벌 전화망에 불법 접근해 개인 위치정보를 추적했다. 이들은 2G·3G망의 핵심 프로토콜인 SS7(Signaling System 7)과 4G·5G용 Diameter 프로토콜의 보안 취약점을 악용했다. SS7은 인증이나 암호화 기능이 없어 악의적 운영자가 개인 휴대폰 위치를 추적할 수 있는 것으로 알려져 있다. Diameter는 이런 보안 문제를 해결하기 위해 개발됐지만, 통신사들이 새로운 보안 기능을 완전히 구현하지 않는 경우가 많아 여전히 악용 가능하다고 연구진은 지적했다. 두 캠페인 모두 이스라엘 019Mobile, 영국 Tango Networks U.K. 등 특정 통신사 3곳을 '감시 진입점'으로 반복 악용한 것으로 확인됐다.