노트북 칩에 무선랜 카드(손가락으로 가리키는 부품)를 꽂기만 하면 누구나 쉽게 무선접속장치(AP)를만들 수 있다(왼쪽 사진). UNIST(울산과기대) 서의성 전기전자컴퓨터공학부 교수 연구팀은 가짜 AP를 만든 뒤 해킹 프로그램을 이용해 와이파이 사용자의 ID와 비밀번호, e메일을 가로채는 실험에 성공했다. 오른쪽은 e메일이 해킹된 본보 기자의 스마트폰 모습. 울산=최재호 기자 choijh92@donga.com
무선랜(와이파이·Wi-Fi)은 스마트폰 1000만 명 시대를 만든 일등공신이다. 3세대(3G) 망에 비해 속도가 빠른 데다 공짜로 제공하는 곳이 많기 때문이다. 그러나 보안에 취약하다는 것이 약점이다.
가짜 무선접속장치(AP)를 설치해 스마트폰을 해킹하자 보안 기술인 SSL(Secure Sockets Layer)마저 뚫렸다는 실험 결과를 본보가 단독 보도(1일자 A1·2·3면)하자 “그게 정말이냐”는 반응이 쏟아졌다. 스마트폰 사용자 임지희 씨(31)는 “데이터 무제한요금제가 아니기 때문에 잡히는 대로 AP를 사용해왔다”며 “누군가 악의적으로 만든 AP에 접속하고도 몰랐을 수 있겠다 싶어 더럭 겁이 났다”고 말했다. ○ 공짜 와이파이의 함정
와이파이는 태생적으로 보안에 취약하다. 주파수 대역이 정부 허가가 필요 없는 2.4∼2.5GHz(기가헤르츠)이기 때문이다. 허가가 필요 없기 때문에 와이파이는 가격이 싸지만 동시에 보안에 약한 딜레마를 안고 있다.
SK텔레콤과 KT 등 통신사들은 ‘사용자 인증’과 ‘데이터 암호화’ 두 가지 방식으로 와이파이망에 보안기술을 적용하고 있다. 고유의 유심(USIM·범용가입자인증모듈)으로 사용자 인증을 하고, 무선망에서 전송되는 데이터를 암호화하는 것이다.
하지만 모든 기기에 이 같은 보안이 적용되는 건 아니다. KT의 보안장치는 넥서스원 등 일부 스마트폰과 넷북에서는 안 통한다. SK텔레콤의 보안기술은 자사 고객들이 사용하는 ‘T wifi secure’에만 적용된다. 타사 고객도 공짜로 쓰는 ‘T wifi’는 데이터 암호화가 적용되지 않는다. ‘보안에 취약하다’는 안내문구를 내보내지만 사용자들은 개의치 않는다.
이보다 더 큰 문제는 사설 AP다. 집에 AP를 설치할 때 비밀번호를 걸지 않는 것은 물론이고 자기 집에 AP를 만들어놓고 다른 집의 AP를 쓰는 사례도 적지 않다. 대학생 김모 씨(32)는 “집에서 쓰는 인터넷망이 느려져 친구의 도움으로 비밀번호를 만들자 다시 속도가 빨라졌다”며 “알고 보니 우리 집 AP를 사용하는 사람들이 적지 않았다”고 말했다.
본보 실험처럼 가짜 AP를 만들어 안전한 통신사가 제공하는 것인 양 이름을 붙여놓으면 누구나 속아 넘어갈 수밖에 없다.
SSL 인증키를 개발 판매하는 인증기관들은 SSL은 기술적으로는 문제가 없지만 가짜 AP에 의한 SSL 인증키 가로채기 공격에 취약한 것은 사실이라고 인정했다. 가짜 AP 접속을 막으려면 추가 인증 과정이 필요하다고 조언했다. 한국정보인증 기술개발팀 김기백 대리는 “AP와 사용자 간에 인증체계를 한 단계 더 두는 방법, 즉 스마트폰 등에 미리 인증서를 내장하고 무선 AP와 인증서를 교환하면 가짜 AP에 자동 접속되는 것을 막을 수 있다”고 설명했다. ○ 사용자 보안의식이 중요
회사원 김누리 씨(26·여)는 와이파이가 잘 잡히는 카페를 즐겨 찾는다. 커피숍에서 지정한 와이파이 속도가 느리면 사용 가능한 와이파이에 하나 둘 접속해본다. 김 씨는 “암호가 없는 와이파이의 신호가 강하면 누가 설치한 것인지 몰라도 그냥 쓴다”고 말했다.
이 같은 태도로는 자신의 정보를 지키기 어렵다는 게 전문가들의 지적이다. 정태명 성균관대 정보통신학부 교수는 “스마트폰 애플리케이션을 실행할 때 관련 정보를 암호화하는 등 사용자가 적극적으로 보안조치를 취해야 한다”고 조언했다.
방송통신위원회는 2009년 국정감사에서 무선랜 보안이 문제되자 사설 AP도 모두 비밀번호를 사용하도록 하는 방안을 검토했지만 무선랜 활성화에 방해가 된다는 비판 때문에 포기했다. 방통위 관계자는 “현관문을 잠그는 것은 개인의 자유인데 이것까지 정부가 개입할 수 없는 이치”라고 말했다.
오병철 연세대 법대 교수는 “민간 AP를 정부가 규제하는 것은 민법에서 강조하는 개인의 사적자치에 위배된다”며 “와이파이의 보안 문제를 적극적으로 알리고, 대학 도서관 등 다수가 접속하는 민간 AP를 어떻게 행정지도 할지 고민이 필요하다”고 말했다.
방통위는 6월 전국의 사설 AP 실태를 조사한 뒤 대책을 검토할 예정이다. 또 인터넷진흥원과 함께 스마트폰 애플리케이션 개발 시 쉽게 데이터를 암호화할 수 있도록 2일부터 국산 암호 라이브러리를 개방키로 했다.
김현수 기자 kimhs@donga.com 송인광 기자 light@donga.com 이영혜 동아사이언스기자 yhlee@donga.com
댓글 0