O2 VoLTE: 통화 한 번으로 모든 고객의 위치 추적 가능

5 days ago 7

O2 UK의 VoLTE(4G Calling) 서비스에서 통화 상대방의 위치 정보와 단말 식별자가 송신되는 현상 발견
IMS 신호 메시지에 IMSI, IMEI, Cell ID 등 민감 정보가 포함되어 외부에서 쉽게 수신 가능함
공개 크라우드소싱 데이터(cellmapper.net 등)를 통해 이러한 정보로 정확한 위치 파악 가능함
이 취약점은 모든 O2 고객에 적용되어 누구나 공격 대상으로 노출됨
사용자나 일반 고객이 별도의 방법으로 이 정보 노출을 방지할 수 없음

소개

Voice over LTE(VoLTE) 는 모바일 네트워크에서 인터넷 기반 프로토콜을 사용해 음성 통화를 가능하게 하는 기술임
VoLTE에 사용되는 IP Multimedia Subsystem(IMS) 는 복잡성과 기기 간 상호작용 문제로 보안 위험이 발생할 수 있음
각 통신사는 IMS 서버 구성 및 서비스 구현 방식을 고유하게 선택할 수 있기 때문에 설정 오류 시 데이터 유출 위험이 있음
본 문서에서는 O2 UK가 이와 같은 보안 우려를 실질적으로 야기한 사례를 분석함

O2 UK의 IMS/VoLTE 서비스 현황

2017년 3월 27일, O2 UK는 4G Calling이라는 IMS 기반 첫 서비스를 시작해 통화 중 더 좋은 음성 품질과 데이터 이용 환경을 제공함
저자는 통화 품질을 측정하기 위해 Network Signal Guru(NSG) 앱을 루팅된 Google Pixel 8에서 활용
앱의 한계로 인해, 직접 원시 IMS 신호 메시지를 분석하며 통화 시 교환되는 상세 정보를 확인함

신호 메시지의 문제점

O2 UK의 IMS 신호 응답에는 다른 통신사와 달리 매우 상세하고 긴 정보가 담겨 있음
IMS/SIP 서버 정보, 버전, 에러, 디버그 로그와 함께 아래와 같은 민감한 헤더가 포함되어 있음
- 두 쌍의 IMSI, 두 쌍의 IMEI
- Cellular-Network-Info: 수신자 네트워크, 위치 코드, 셀 ID 등
메시지 내 IMSI, IMEI 및 Cell ID를 비교한 결과, 통화 상대방(수신자)의 정보가 함께 포함된 것을 확인함

Cell ID를 통한 위치 추적

Cellular-Network-Info 헤더를 해독하면 수신자 통신사, 위치 영역 코드(LAC), 셀 ID가 드러남
해당 Cell ID는 cellmapper.net 등의 서비스에 입력하여 기지국 위치를 정확하게 파악 가능함
도시 등 밀집 지역에서는 기지국 커버리지가 100m² 이내로 좁기 때문에 상대적으로 매우 정밀한 위치 확인이 가능함
실제로 O2 고객이 해외 로밍 중에도 이 방식이 작동하여 도시 중심부까지 위치 확인이 이루어짐
이러한 정보는 특별한 장비나 절차 없이 IMS 통화가 가능한 모든 O2 단말에서 노출됨

개선 요구사항

O2는 IMS/SIP 메시지에서 민감한 헤더(위치 및 단말 정보) 를 제거해야 고객의 개인 정보와 안전을 보호할 수 있음
디버그 용도의 헤더 역시 불필요한 정보 유출로 이어질 수 있어 비활성화가 필요함
네트워크 코어 외부 단말에 이런 헤더가 보이는 것은 불합리함
O2의 내부 보안 문제 신고 루트 부재는 다른 통신사(예: EE) 대비 심각한 문제임

결론

O2 고객은 누구나 기본적인 모바일 네트워크 지식만 있으면 정밀한 위치 정보까지 추적당할 위험이 있음
사용자가 4G Calling을 끄더라도 민감 정보 노출이 막히지 않아 자체적으로 방지 불가함
기기가 네트워크에 연결되지 않아도 마지막 접속 셀 및 접속 시점 정보가 여전히 IMS 메시지에 남아 있음
2025년 3월 26~27일, O2 관련 보안 책임자와 CEO에게 이메일로 해당 사실과 위험성을 여러 차례 알렸으나 별다른 대응이나 개선 사항이 없음

참고

https://www.engadget.com/2017-03-29-o2-wifi-4g-calling.html

수정 기록

2025년 5월 18일 23:40 기준, 최초 기사 내 O2 보안 신고메일 주소 오기재(virginmedia.co.uk→virginmediao2.co.uk) 수정 반영

Read Entire Article