SIM카드 정보의 대량 유출이라는 악몽

NSA가 주요 SIM카드 제조업체의 네트워크에 침입하여 SIM카드를 보호하는 암호화 키를 대량으로 훔쳤다는 에드워드 스노든 씨의 고발은 많은 사람에게 충격을 주었다.

미국 국가안전보장국(NSA)의 내부고발자 에드워드 스노든(Edward Snowden) 씨는 수많은 기밀정보를 폭로해 왔지만, 이번만큼 충격적인 내용이지는 않을지도 모릅니다. NSA와 영국의 정보기관인 정부통신본부(GCHQ)가 Gemalto의 네트워크에 침입하여 SIM카드를 보호하는 암호화 키를 대량으로 훔쳤다는 것입니다. 그 수는 수백만 또는 수십억이라고도 합니다.

이 같은 규모로 SIM카드 정보가 유출되었다면 전 세계의 이동통신 시스템의 건전성이 의문시되는 것입니다. 당신의 통신 내용을 모니터링하고 있다고까지 말을 하지 않지만, 버튼을 클릭하는 것만으로 감시할 수 있는 상태였습니다.

Gemalto는 모바일 장치의 SIM카드를 제조하는 세계적 기업입니다. Economist에 따르면, Gemalto는 세계 최대의 SIM카드 제조업체입니다.

이 의혹을 처음 보도한 The Intercept의 기사에서는 Gemalto는 연간 20억 장가량의 SIM카드를 제조하고 있는 것으로 추정되고 있습니다. 세계 인구가 71억 2,500만 명, 모바일 디바이스의 수가 추정 71억 9,000만대라는 것을 보면 그 규모를 상상할 수 있을지도 모릅니다. Gemalto는 모바일 서비스 공급자 Sprint, AT & T, Verizon, T-Mobile 등 약 450개사와 거래가 있고 85개국에서 사업을 전개하며 40여 곳의 제조공장을 보유하고 있습니다.

SIM은 Subscriber Identification Module(가입자 식별 모듈)의 약자입니다. SIM카드는 모바일 장치에 삽입하는 소형의 집적회로로 고유의 국제 이동통신 가입자 식별번호(IMSI)와 암호화된 인증키가 기록되어 있습니다. IMSI 및 인증키 조합으로 휴대폰이 본인의 것임을 확인합니다. 로그인 ID & 암호와 비슷하지만, 하드웨어마다 완전히 달라서 변경할 수 없습니다.

공격자가 이 인증키의 마스터 목록을 얻으면 그 목록의 암호화 키를 사용하여 SIM카드를 넣은 장치의 음성 통화 및 데이터 통신을 모니터링할 수 있습니다. 이번 의혹이 사실로 밝혀진다면, NSA와 GCHQ는 수색영장 등의 사법기관의 승인을 받지 않고도 전 세계 휴대전화 통화 및 데이터 통신을 감시할 수 있다는 것입니다.

NSA이 Gemalto를 해킹하고 대량의 SIM카드의 암호화 키를 훔쳤다는 의혹

기술계 이외의 미디어에서 메타데이터에 대한 NSA의 활동이 크게 다루어지고 있습니다. 하지만 정말 위험한 것은 이번 같은 정보유출과 유사난수 생성기에 대한 무단 액세스입니다. 메타데이터에서 어떤 인물의 위치 정보, 교우 관계, 심지어 됨됨이까지 알 수 있습니다. SIM카드 및 암호화 프로토콜에 대한 대규모 공격은, 주고받는 통신의 내용을 일반 텍스트로 만들어 볼 수 있습니다. 위치 정보와 장치의 통신 정보에서 많은 것을 추측할 수 있지만 일반 텍스트는 통신 내용을 추측할 필요도 없습니다. 모든 것이 거기에 있는 것입니다. 실시간으로 분석할 필요도 없습니다.

The Intercept가 공개한 전 NSA 계약직 직원 스노든 씨가 훔쳤다는 기밀문서에서 NSA는 다음과 같이 말합니다. "(Gemalto의) 여러 기기에 잠입이 성공했다. 네트워크 전체를 장악할 것으로 보인다"

무엇보다, 개인 휴대통신 보안만이 문제가 아닙니다. 재정적으로 큰 문제가 숨어 있습니다. 미국시민자유연맹의 기술직원인 크리스 소구호안(Chris Soghoian) 씨와 존스홉킨스 대학의 암 전문가인 매튜 그린(Matthew Green) 씨가 The Intercept의 기사에서 말한 바에 따르면, SIM카드는 개인의 통신을 보호하기 위해서가 아니라 과금 처리의 간소화와 계약 초기의 사용자에 의한 사기 행위를 방지하기 위해 설계되었습니다. 개발도상국의 일부는 구식으로 취약한 2세대 셀룰러 네트워크에 크게 의존하고 있으며, 많은 이용자는 송금할 때나, 널리 이용되는 M-Pesa 같은 소액거래 서비스를 사용하는 경우, SIM카드에 의지하지 않을 수 없습니다.

Gemalto에의 공격으로 인해, 모바일 장치 또는 SIM카드에 대한 의존도를 강화하는 글로벌 통신 인프라의 건전성이 위협받을 가능성도...

이것은 개발도상국의 재정 문제만이 아닙니다. Gemalto는 칩 & 핀 카드와 EMV 결제카드(유럽의 주요 결제수단)의 마이크로칩을 제조하는 선도적인 제조업체입니다. 이 카드도 해킹당할 수 있다는 것입니다. The Intercept에 따르면 Gemalto의 칩은 출입용 토큰, 전자여권, ID카드 외에 BMW와 Audi 등 고급자동차의 열쇠 등으로도 사용되고 있습니다. Visa, MasterCard, American Express, JP Morgan Chase, Barclays 칩 & 핀 카드를 가지고 계신 경우, 카드의 칩이 Gemalto의 제품일 가능성이 크고, 암호화 키를 해킹될지도 모릅니다.

각종 의혹과 논란이 되고있는 기밀문서의 보도에도 불구하고 자사 네트워크는 안전하며 단 한번도 침입되지 않았다며 Gemalto는 단호히 의혹을 부정하고 있습니다.

회사의 성명서에는 다음과 같이 적혀 있습니다. "SIM의 동작을 수행하는 사내인프라에서도, 은행카드, ID카드, 전자여권 등의 당사 제품을 관리하는 다른 보안 네트워크에서도 네트워크 침해는 확인되지 않았습니다. 이러한 네트워크는 서로 독립적으로 있으며, 외부 네트워크와 연결되어 있지 않습니다"

그러나 회사는 과거에 NSA 또는 GCHQ로 보이는 단체에서 실행한 해킹을 저지한 것을 인정하고 있습니다.

출처 번역
SIMカード情報の大量漏洩という悪夢
https://blog.kaspersky.co.jp/gemalto-sim-hack/6973/