전 세계 통신망에 침투한 감시 작전: Citizen Lab이 밝혀낸 'Bad Connection'

통신사 그 자체가 공격받는 시대

우리는 보통 해킹이라고 하면 개인 PC나 회사 서버가 뚫리는 걸 떠올려요. 그런데 만약 공격 대상이 통신사 그 자체라면 어떨까요? 우리가 매일 쓰는 전화, 문자, 데이터가 거쳐 가는 그 거대한 인프라 말이에요. 캐나다 토론토 대학의 연구 기관인 Citizen Lab이 최근 발표한 'Bad Connection' 보고서가 바로 이 이야기를 다뤄요. 전 세계 통신사를 노리는 조용하고 정교한 감시 작전을 추적한 결과예요.

Citizen Lab은 디지털 인권과 감시 기술을 추적하는 곳으로 유명해요. NSO 그룹의 Pegasus 스파이웨어를 폭로한 곳이기도 하죠. 이번 보고서는 특정 국가나 기업을 직접 지목하는 대신, 여러 나라의 통신 사업자가 비슷한 패턴의 침투를 받았다는 증거를 정리한 결과물이에요. 단순한 사이버 범죄가 아니라, 국가 단위 또는 그에 준하는 자원을 가진 행위자가 개입했을 가능성이 높다고 분석하고 있어요.

왜 통신사를 노릴까

공격자가 통신사를 직접 노리는 이유는 단순해요. 한 명을 감시하려고 그 사람의 폰을 해킹하려면 정교한 익스플로잇이 필요하지만, 통신사 내부에 자리를 잡으면 그 통신사를 쓰는 모든 사용자의 메타데이터에 접근할 수 있거든요. 누가 누구에게 언제 전화했는지, 어디에 있었는지, 어떤 문자를 주고받았는지 같은 정보가 다 흐르는 길목이니까요.

특히 SS7이나 Diameter 같은 통신망 신호 프로토콜은 1970~80년대 설계 당시에 "통신사들끼리는 서로 신뢰한다"는 전제로 만들어졌어요. 외부에서 침투할 수 없다는 가정 위에 세워진 거죠. 그런데 지금은 전 세계 수백 개의 통신사가 서로 연결돼 있고, 그중 한 곳만 뚫리면 다른 통신사의 가입자 위치를 추적하거나 SMS를 가로챌 수 있는 구조예요. 우리가 흔히 "문자 인증으로 받는 OTP가 안전하지 않다"고 말하는 이유 중 하나가 바로 여기 있어요.

보고서가 밝혀낸 침투 방식

Citizen Lab은 여러 통신사의 네트워크 장비에서 공통적으로 발견된 흔적을 분석했어요. 공격자는 통신사 코어 네트워크의 관리용 인터페이스나 미패치 상태로 노출된 시스템을 통해 진입했고, 일단 들어간 뒤에는 합법적인 운영 도구처럼 보이는 형태로 활동했어요. 즉, 새로운 멀웨어를 심기보다는 기존 시스템 관리자의 권한과 도구를 그대로 활용해서, 정상 트래픽 사이에 자기 활동을 숨긴 거예요. 이걸 보안 업계에서는 "living off the land"라고 불러요. 산에서 자라는 풀과 열매로 살아가듯, 시스템에 이미 있는 도구만 써서 흔적을 최소화하는 방식이죠.

공격자가 가장 관심을 둔 데이터는 CDR(Call Detail Records)과 위치 정보, 그리고 SMS 내용이었어요. CDR은 통화 메타데이터인데, 통화 내용 자체는 없어도 "누가 언제 누구와 얼마나" 같은 정보만으로도 한 사람의 인간관계와 행동 패턴을 거의 그려낼 수 있어요. 보고서는 침투된 네트워크에서 특정 인물군의 메타데이터가 선별적으로 추출된 정황도 포착했다고 밝혔어요. 즉, 무차별 수집이 아니라 표적 감시라는 거죠. 정치인, 언론인, 활동가, 외교관 같은 사람들이 주된 대상이었을 가능성이 큽니다.

업계 맥락에서 보는 의미

사실 통신망에 대한 국가 단위 침투는 새로운 이야기가 아니에요. 2024년 말 미국에서 드러난 Salt Typhoon 사건이 큰 충격이었죠. 중국 연계 그룹이 미국 주요 통신사 여러 곳에 침투해 있었던 것이 밝혀졌고, 일부 정치인의 통화 메타데이터까지 노출됐다고 보도됐어요. 이번 Citizen Lab의 보고서는 이런 흐름이 미국이나 특정 지역에 국한된 게 아니라, 전 지구적으로 진행 중임을 데이터로 보여주는 셈이에요.

또 흥미로운 건, 이런 작전이 더 이상 NSO Pegasus 같은 "개별 단말 익스플로잇"에만 의존하지 않는다는 점이에요. 단말을 직접 뚫는 것보다 통신사 인프라에 자리를 잡는 게 비용 대비 효과가 훨씬 큰 거죠. iPhone과 Android의 보안이 점점 강해지면서, 공격자들이 인프라 쪽으로 우회하고 있다는 해석도 가능해요.

한국 개발자와 사용자에게 주는 시사점

첫째, SMS OTP에 대한 의존을 줄여야 해요. 아직도 많은 한국 서비스가 본인 인증과 2단계 인증을 SMS로 처리하는데, SS7 수준에서 가로채기가 가능하다는 게 반복적으로 입증되고 있어요. TOTP(예: Google Authenticator), 패스키(passkey), 하드웨어 키(YubiKey 등)로 옮길 수 있는 부분은 옮기는 게 좋아요. 서비스를 만드는 입장이라면, SMS 외에 TOTP/WebAuthn 옵션을 함께 제공하는 걸 진지하게 고려할 시점이에요.

둘째, 민감한 통신은 종단간 암호화(E2EE)되는 채널에서 하세요. Signal, WhatsApp, iMessage(애플 기기 간) 등은 통신사가 메시지 내용을 볼 수 없도록 설계되어 있어요. 통신사 인프라가 침해당해도, 이 경로에서는 메타데이터 일부만 노출되고 내용은 보호될 가능성이 높아요. 회사 내 보안 정책을 만든다면 이 부분도 가이드에 포함되면 좋아요.

셋째, 통신사나 인프라 회사에서 일하는 분들이라면, 이 보고서가 좋은 참고 자료예요. SS7/Diameter 게이트웨이의 노출 면을 줄이는 방법, 코어 네트워크 관리 인터페이스에 대한 zero-trust 적용, CDR 접근 로그의 무결성 확보 같은 항목들이 보안 우선순위로 올라와야 해요.