해킹이 불가능에 가깝다고 알려진 휴대폰 유심카드에 심각한 보안 구멍이 발견됐다. 해커가 휴대폰으로 전화 통화는 물론이고 도청이나 사기 구매까지 가능하다.
포브스는 독일 보안 업체 시큐리티리서치랩의 암호보안 전문가 카르스텐 놀 연구원이 유심카드 암호화와 소프트웨어에서 취약점을 발견했다고 22일 보도했다. 놀 연구원은 31일 미국 라스베이거스에서 열리는 해킹보안콘퍼런스 `블랙햇`에서 이 내용을 발표한다.
유심카드는 가입자 식별모듈(Subscriber Identification Module)을 담은 칩 내장 카드다. 자체 운용체계를 가진 하나의 작은 컴퓨터라고 볼 수 있다. 모든 스마트폰에서 쓰는 기술로 유심카드를 다른 휴대폰에 꽂아도 본인 전화처럼 사용할 수 있다.
놀 연구팀은 3년에 걸쳐 특정 문자메시지를 단말기에 전송하는 방법으로 1000여장에 달하는 유심 카드 보안 취약점을 조사했다. 유심카드에 특정한 문자 메시지 명령을 보내 휴대폰을 맘대로 조작할 수 있는 사실을 발견했다. 이번에 발견한 유심 취약점은 1970년대 IBM이 개발한 오래된 디지털암호표준 사용과 잘못 구성된 코드 탓이다. 꾸준히 암호 기술이 개발됐지만 여전히 많은 유심카드 제조사와 통신사는 오래된 표준을 사용한다.
해커는 이 취약점을 악용해 악성코드가 담긴 특정 문자 메시지를 휴대폰에 보내 유심을 감염시킨다. 해킹된 휴대폰은 몰래 전화 내용을 녹음하거나 결제 기능을 조작할 수 있다. 유심카드를 활용한 결제가 활성화된 국가에서는 이 해킹이 매우 위협적이다.
놀 연구원은 “유심카드는 세계에서 70억장이 유통될 정도로 가장 보편적인 개인정보 인증수단이지만 보안 메커니즘은 제조사 주장 외에 알려진 게 없다”며 “유심이 절대 해킹되지 않는다고 믿고 있지만 다른 컴퓨터와 같이 취약점에 노출됐다”고 설명했다. 클레어 크랜튼 GSM협회 대변인은 “협회는 회원들에게 이 사실을 알렸다”고 밝혔다.
김인순기자 insoon@etnews.com