이기혁 중앙대 교수​

 ​

최근 불거진 불법 기지국 공격은 우리 통신 보안 시스템의 근본적인 허점을 드러냈다. 특정 지점만을 방어하는 현재의 파편화된 보안 모델로는 대응하기 어렵다는 것을 명백히 보여줬다.

이 공격은 네트워크나 서버처럼 한정된 부분을 노리는 기존 방식과 달리 통신 서비스 전체 과정의 구조적 취약점을 파고들었기 때문이다.  공격자가 통신사의 공식 기지국을 모방해 사용자의 통신을 가로채면 사용자뿐만 아니라 통신사 시스템도 공격을 알아차리기 어렵다.

이러한 복합적인 위협에 맞서기 위해서는 더 이상 '코끼리 다리 만지기'식의 부분적 점검에 머물러서는 안 된다.

공격과 방어가 반복되는 악순환에서 벗어나기 위해서는 통신 서비스의 모든 영역을 종합적으로 재점검해야 한다. 네트워크와 단말기의 경우 통신망 인증 절차의 허점과 신호 무결성 검증의 부재를 해결해야 한다.

기지국과 단말기 간 인증 절차를 강화하고, 단말기 자체적으로 비정상적인 기지국 연결을 감지하고 차단하는 보안 기술을 적용해야 한다. 데이터와 플랫폼의 경우 데이터 전송 과정의 암호화 부족과 종단 간 암호화(End-to-End Encryption)가 적용되지 않은 구간을 보완해야 한다.

모든 통신 데이터에 강력한 암호화 정책을 적용하고, 플랫폼 자체의 보안을 강화해 비정상적인 접근이나 데이터 유출 시도를 원천 차단해야 한다.

이처럼 복잡한 보안 위협을 해결하는 데 가장 큰 걸림돌은  전문 인력 부족이다.

불법 기지국 공격은 네트워크 통신 기술, 모바일 보안, 데이터베이스, 사이버 범죄 분석 등 여러 분야의 전문 지식을 요구한다. 그러나 현재 통신사에는 이 모든 영역을 아우르는 통신 서비스 융합 보안 전문가가 턱없이 부족하다. 단순히 한 분야의 경력자가 아닌, 통신망의 물리적·논리적 구조부터 응용 서비스 보안까지 전체를 이해하는 통합적인 관점을 가진 전문가가 필요하다.

특히 공격의 최종 목표가 금전적 갈취라는 점을 고려하면 돈과 관련된 서비스 프로세스를 이해하는 기획자 참여는 필수다. 여러 분야의 의사가 협진하듯 이제 보안은 서비스 기획자, 통신망 전문가, 보안 전문가가 함께 협력해야 해결할 수 있는 영역이 됐다.

따라서 불법 기지국 공격에 효과적으로 대응하기 위해서는 첫째 종합적인 보안 전략을 수립해야 한다. 특정 영역에만 머무르는 부분적인 방어가 아닌, 전체 통신 생태계를 아우르는 통합적인 보안 전략을 마련해야 한다.

두번째는 통신 서비스 융합 보안 전문가를 양성하고 확보해야 한다. 통신망 구축과 보안 경력을 갖춘 전문가와 함께, 통신 서비스 전반을 이해하는 융합적 관점을 가진 인력을 키워내야 한다.

마지막으로 돈과 관련된 서비스 기획자가 보안 문제에 적극 참여해야 한다. 해커의 주요 목적이 금전적 갈취인 만큼 서비스 기획 단계부터 금융 거래 관련 보안 취약점을 꼼꼼히 점검하고 대응책을 마련해야 할 것이다.

출처 : IT조선(https://it.chosun.com)​