여러분, 혹시 "SS7"이라는 단어 들어보셨나요? 평소엔 별로 들어볼 일 없는 용어인데요, 요즘 보안 업계에서 다시 뜨거워지고 있어요. 보안 연구자들이 전 세계 사람들의 휴대폰 위치를 몰래 추적해온 두 개의 대규모 감시 캠페인을 적발했거든요. 이번 사건의 핵심은 바로 이 SS7과 Diameter 같은 통신사 내부 프로토콜의 구조적 허점이에요.
무슨 일이 있었던 걸까요
이번에 드러난 사건은 대형 감시 업체(spy-for-hire 벤더)들이 글로벌 통신사 네트워크에 몰래 접근해서 특정 인물의 휴대폰 위치를 실시간으로 추적했다는 내용이에요. 피해자에게는 아무런 알림도 가지 않았고, 메시지나 앱 내용을 탈취한 게 아니라 통신망 자체에 질의를 넣어서 위치를 알아낸 방식이에요. 쉽게 말하면, 해커가 여러분의 폰을 해킹한 게 아니라 여러분의 통신사 교환기에 "이 번호 지금 어느 기지국에 붙어 있냐"라고 물어본 거죠.
연구자들은 어떤 국가의 통신사가 '글로벌 타이틀(global title)'이라고 부르는 통신망 식별자를 외부 업체에 판매하거나 임대했고, 이걸 가진 감시 업체들이 마치 자기도 정상적인 통신사인 척 위장해서 다른 나라 네트워크에 위치 질의를 보냈다고 밝혔어요. 수백만 건의 비정상 질의가 특정 타깃을 향해 반복적으로 찍혀 있던 게 증거가 됐고요.
SS7, 왜 이렇게 허술할까요
이게 뭐냐면, SS7(Signaling System No. 7)은 1970년대에 설계된 통신사 간 통화·로밍·과금용 신호 프로토콜이에요. 그 시절엔 전 세계 통신사가 몇 개 없었고 서로 다 아는 사이였거든요. 그래서 "일단 들어오면 믿고 처리하자"는 신뢰 기반으로 설계됐어요. 인증이나 암호화가 거의 없어요. 이게 지금 와서 큰 문제예요. 통신사는 수천 곳으로 늘었고, 글로벌 타이틀 접근권을 사고파는 암시장까지 생겼거든요.
후속 규격인 Diameter(LTE용), 그리고 5G의 HTTP/2 기반 SBA도 같은 문제를 완전히 해결하진 못했어요. 5G는 그나마 인증을 강화했지만, 실제로는 2G/3G/4G 네트워크와 서로 붙어서 동작해야 하니까 결국 가장 약한 고리로 공격이 내려가는 상황이 반복되는 거죠.
업계의 대응과 흐름
이미 몇 년 전부터 시민사회와 보안 연구자들은 이런 위험을 경고해왔어요. Citizen Lab, Access Now, 구글의 TAG 같은 팀이 상용 스파이웨어(NSO Group의 Pegasus, Intellexa의 Predator 등)를 지속적으로 폭로해왔고요. 미국 CISA와 유럽 ENISA도 통신사에 SS7 방화벽 도입을 권고하고 있어요. 애플은 iOS에 '락다운 모드'를 만들었고, 최근엔 메시지 앱들이 iMessage Contact Key Verification처럼 메타데이터 유출을 줄이려는 노력을 하고 있죠.
하지만 위치 추적은 종단간 암호화(E2EE)로도 막을 수가 없어요. 왜냐면 이건 여러분의 폰과 기지국 사이의 신호를 이용하는 공격이지, 메시지 본문을 엿듣는 공격이 아니거든요. 시그널을 써도, 왓츠앱을 써도 위치는 새어나갈 수 있어요.
한국 개발자에게 주는 시사점
한국은 통신 3사 체제라 외부 통신사가 임의로 우리 번호를 질의하기엔 상대적으로 걸림돌이 많은 편이에요. 그래도 로밍이나 해외 체류 중이면 외국 통신망을 타니까 완전히 안전하다고 할 수는 없고요. 개발자 입장에서는 두 가지를 기억해두면 좋아요.
첫째, 위치 정보를 다루는 서비스라면 통신망 기반 위치와 GPS/Wi-Fi 기반 위치를 구분해서 생각해야 해요. 통신망 쪽은 사용자 통제 밖에 있어서 앱 레벨에서 아무리 권한 처리를 잘해도 막을 수 없는 유출이 있다는 거예요.
둘째, 메신저나 보안이 중요한 앱을 설계할 땐 '메타데이터 최소화'를 진지하게 고려해야 해요. 누가 언제 어디서 접속했는지, 누구랑 대화했는지 같은 메타데이터는 본문보다 오히려 더 민감할 수 있거든요. 본문을 아무리 암호화해도 메타데이터로 사람을 식별하고 추적하는 게 가능해요.
마무리
한 줄 요약: 통신망 자체의 구조적 취약점을 이용한 상용 감시가 여전히 현실이고, 이건 앱 레이어 보안만으론 못 막아요. 한국 개발자 여러분, 지금 다루는 서비스 중에 위치 기반 기능이 있다면 한 번쯤 '우리가 쓰는 위치 값이 어디에서 오는지, 사용자가 이걸 통제할 수 있는지'를 점검해보는 기회로 삼아보시면 어떨까요? 여러분이라면 이런 SS7급 위협에 대해 어떻게 대응하는 설계를 해보실 건가요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
