정교한 두 개의 통신 감시 캠페인 조사로 드러남

2 days ago 3

글로벌 전화망의 잘 알려진 취약점을 악용해 휴대전화 위치 데이터를 추적한 서로 다른 두 감시 캠페인이 확인됨
감시 벤더들은 합법적 이동통신 사업자인 것처럼 위장한 유령 회사 형태로 네트워크 접근 권한을 확보하고, SS7과 Diameter를 이용해 표적을 추적함
두 캠페인은 공통으로 019Mobile, Tango Networks U.K., Airtel Jersey 관련 접근 권한을 경유지로 활용해 통신사 인프라 뒤에 숨어 움직임
첫 번째 캠페인은 SS7 공격이 실패하면 Diameter로 전환했고, 두 번째 캠페인은 흔적이 남지 않는 특수 SMS로 SIM 카드와 직접 통신해 휴대전화를 위치 추적 장치처럼 동작하게 만듦
수년에 걸쳐 수천 건의 공격이 관찰됐고, 이번 조사는 전 세계 수백만 건 공격 가운데 일부만 드러낸 것으로 통신 인프라 악용 범위가 여전히 큼

조사 개요

Citizen Lab 보고서는 글로벌 통신 인프라의 잘 알려진 취약점을 악용해 사람들의 휴대전화 위치를 추적한 서로 다른 두 감시 캠페인을 추적함
감시 벤더들은 합법적 이동통신 사업자인 것처럼 위장한 유령 회사 형태로 운영되며, 확보한 네트워크 접근 권한으로 표적의 위치 데이터를 조회함
이번 발견은 글로벌 전화망을 떠받치는 기술 전반에서 기지 취약점 악용이 계속 이어지고 있음을 보여줌
조사 범위는 두 건에 집중됐지만, 연구진은 이를 감시 벤더들이 글로벌 전화망 접근을 노리며 벌이는 광범위한 악용의 일부 단면으로 봄

SS7는 2G와 3G 네트워크용 프로토콜 집합으로, 오랫동안 전 세계 셀룰러 네트워크를 연결하고 가입자의 통화와 문자 메시지를 라우팅하는 기반 역할을 해옴
- 이전 보도에서도 정부와 감시 기술 업체가 SS7 취약점을 이용해 개인 휴대전화의 지리적 위치를 파악할 수 있다는 경고가 이어져 왔음
- SS7에는 인증과 암호화가 필요하지 않아 비정상 운영자가 이를 악용할 여지가 남아 있음
Diameter는 4G와 5G 통신을 위해 설계됐고, SS7에 없던 보안 기능을 포함한 후속 프로토콜임
- Citizen Lab은 통신사가 새 보호 장치를 항상 구현하지는 않기 때문에 Diameter 역시 악용 가능하다고 짚음
- 일부 경우에는 공격자가 다시 구형 SS7 프로토콜 악용으로 돌아가기도 함

두 감시 캠페인은 모두 세 곳의 특정 통신 사업자 접근 권한을 악용했고, 이 사업자들은 통신 생태계 안에서 반복적으로 감시 진입점과 경유 지점으로 기능함
이 접근 권한 덕분에 감시 벤더와 그 뒤의 정부 고객은 해당 사업자 인프라 뒤에 숨어 활동 가능했음
보고서에 따르면 첫 번째 사업자는 Israeli operator 019Mobile이며, 여러 감시 시도에 쓰였던 것으로 조사됨
Tango Networks U.K. 도 여러 해에 걸친 감시 활동에 활용됨
세 번째 사업자는 Channel Island of Jersey의 Airtel Jersey이며, 현재는 Sure가 소유하고 있음
- Sure의 네트워크는 과거 감시 캠페인과 연결된 적이 있음

Sure는 개인의 위치 추적이나 통신 내용 가로채기를 목적으로 하는 조직에 신호망 접근을 직접 또는 인지한 상태로 임대하지 않는다고 밝힘
Sure는 디지털 서비스가 오용될 수 있음을 인정하며, 부적절한 신호 트래픽의 모니터링과 차단을 포함한 여러 보호 조치를 시행 중이라고 밝힘
Sure는 네트워크 오용과 관련한 증거나 유효한 신고가 접수되면 서비스를 즉시 중단하고, 조사 뒤 악의적이거나 부적절한 활동이 확인되면 영구 종료한다고 밝힘
Tango Networks와 019Mobile은 TechCrunch의 논평 요청에 응답하지 않았음
019Mobile의 IT 및 보안 책임자 Gil Nagar는 Citizen Lab에 보낸 서한에서, Citizen Lab이 감시 벤더에 사용됐다고 지목한 인프라가 자사 소유인지 확인할 수 없다고 밝힘

첫 번째 감시 벤더는 여러 해에 걸쳐 전 세계의 서로 다른 표적을 상대로 감시 캠페인을 가능하게 했고, 여러 이동통신 사업자의 인프라를 함께 활용함
연구진은 이 패턴을 근거로 서로 다른 캠페인 뒤에 서로 다른 정부 고객이 있었다고 봄
조사 과정에서는 모바일 시그널링 생태계에 깊이 통합된, 의도적이고 자금이 충분한 작전 정황이 포착됨
조사에 참여한 연구자는 몇몇 단서가 전문 통신 역량을 가진 Israeli 기반 상업용 geo-intelligence 업체를 가리킨다고 밝혔지만, 업체 이름은 공개되지 않았음
- 비슷한 서비스를 제공하는 Israeli 기업으로는 Circles, Cognyte, Rayzone이 함께 거론됨
이 캠페인은 먼저 SS7 취약점 악용을 시도하고, 실패하면 Diameter 악용으로 전환하는 방식에 의존함

두 번째 감시 캠페인은 첫 번째와 다른 방식을 사용했고, Citizen Lab이 이름을 밝히지 않은 다른 감시 벤더가 배후에 있음
이 벤더는 특정한 고위 표적 한 명을 겨냥해 특별한 형태의 SMS 메시지를 전송함
이 메시지는 사용자에게 흔적을 남기지 않은 채 표적의 SIM 카드와 직접 통신하도록 설계됨
- 정상적인 환경에서는 통신사가 가입자 SIM 카드에 무해한 명령을 보내 기기가 네트워크에 계속 연결되도록 유지하는 데 쓰임
- 이번 경우에는 감시 벤더가 표적의 휴대전화를 사실상 위치 추적 장치로 바꾸는 명령을 보냄
이런 유형의 공격은 모바일 보안 회사 Enea가 2019년에 SIMjacker 라는 이름으로 부름

조사에 참여한 연구자는 이런 공격을 수년에 걸쳐 수천 건 관찰했다고 밝히며, 상당히 흔하지만 탐지하기 어려운 악용으로 봄
다만 이번 SIMjacker 계열 공격은 지리적으로 표적화된 양상을 띠며, 이를 사용하는 행위자는 어느 국가와 네트워크가 더 취약한지 알고 있을 가능성이 큼
연구진은 이번 두 캠페인이 전체의 극히 일부에 불과하다고 봄
- 전 세계적으로 존재하는 수백만 건 공격 가운데 두 감시 캠페인만 집중 조사한 결과임