보안쪽으로 일하는 사람인데…
왜 이번에 유플러스 쓰시는분들이 유심을 반드시 교체해야하며, 유플러스 사태가 여타 해킹사태와 달리 가장 악질인지 설명해보고자 합니다.
(최근에 왜 경찰이 유플러스 본사 압수수색 떴을까요? ㅎ)
LG유플은 더 나은 보안을 위해 업데이트를 해준다는 식으로 접근하고 있는데,
그것은 좀 이번 사태를 본질을 흐릿하게 하고 있는 부분입니다.
좀 자세히 뜯어 말씀드리면,
1. SIM(유심칩) 안에는 IMSI라는 식별가능한 개인 ID값이 있습니다.
저희가 흔히 쓰는 일종의 온라인 닉네임 같은 것이죠
2. 이 IMSI가 유출되는 것 자체는 사실 큰 문제는 아닙니다(일반적으로)
3. 그렇기 때문에 IMSI 유출이 개인정보 유출로 곧 바로 이어지는 것은 아닙니다.
어? 그러면 문제없는 거 아니냐 할 수 있는데요.
금번 유플러스 사태는 일반적인 해킹(소액결제, 휴대폰 장악, 도청)과는 차원이 다른 문제가 있습니다.
아까 IMSI가 온라인 닉네임 같은 거라고 말씀드렸는데
여러분들 중에서 닉네임을 휴대폰 번호로 적는 사람은 아마 없으실겁니다.
4. 이번 사태의 핵심은 LGU+가 고객 허락 없이 IMSI를 구성하고 있는 식별 ID값에 개인 휴대폰 번호를 이용해서 만들었다는 것입니다.(일반적으로는 암호화된 난수를 사용)
어? 근데 뭐 휴대폰 번호 노출되는 거야…뭐 그것 자체로도 큰 문제가 아니지 않냐?
하실 수 있습니다. 진짜 문제는 IMSI+개인 휴대폰 번호가 있으면 내 실시간 ‘위치추적’이 누군가에 의해 가능하다는 것이 핵심입니다
5. IMSI Capture라는 무선 장비가 있는데요. 이 기기는 사실 우리가 어디서든 쉽게 구할 수 있고 이 기기를 활용하면 주변 스마트폰의 IMSI 값들을 누구나 손쉽게 수집할 수 있습니다. 실제로 구조가 필요한 곳에서 구난 활동에 많이 사용되는 장비입니다.
이 기기는 결국에 IMSI 신호를 잡아내고 어디에 있는지 위치값을 알 수 있는 것인데요.
이 장비와 휴대폰 번호가 함께 있으면 실시간으로 특정인의 위치를 추적할 수 있습니다.
해외 Githup에서 LGU+ 금번 IMSI 이슈를 다룬 영상이 있는데요.
IMSI Capture기와
오픈소스인 srsRAN이라는 프로그램을 활용하면
오픈소스인 srsRAN이라는 프로그램을 활용하면
문제가 되는 유플러스 IMSI 식별코드에 450로 시작하는 번호가 보입니다.
450은 국가 코드이고 06은 유플러스 통신사 코드
그 뒷번호가 바로 문제가 되었던 IMSI 코드에 포함된 실제 휴대폰 번호입니다.
이 탈취한 번호를 가지고 실제 전화를 걸어보니
전화가 잘 걸리는 것이 확인됩니다.
이게 현실적으로 다수의 사람들을 한꺼번에 추적하고 정보를 따내는건 어렵습니다.
그러나 내가 휴대폰 번호를 알고 IMSI Capture를 활용한다면 이 사람의 위치정보를 실시간으로 추적하는 게 가능해집니다.
6. 즉 누군가 마음먹고 특정인의 동선을 파악하고 싶다면, 이 기기를 몇 개 근처에 설치해두면 특정인의 위치정보를 다 수집할 수 있다는 것이죠.
근데 뭐 사실 일반인들이 IMSI Capture? 그런거까지 평소에 안쓰지 않나요 하실 수 있는데요.. 여러분들 같은 선량한 시민분들만 있음 얼마나 좋겠습니까?
이 휴대폰번호와 IMSI값이 함께 노출되었다는 것은 이런 취약성을 악용하는 범죄자들에게 나도 모르는 사이 강력 범죄에 노출될 빌미를 제공한 것입니다.
7. 스토킹 범죄를 생각해보면 이해가 빠르실텐데요. 범죄자가 스토킹할 특정 타겟을 설정해두고 휴대폰 번호와 IMSI Capture를 활용해서 언제든 실시간 위치 정보를 수집하여 스토킹을 포함한 위험한 범죄를 저지를 수 있도록 통신사가 내 허락도 없이 지들 잘못으로 환경을 스스로 만들어준 것입니다.
정리해보면
1. IMSI Capture기를 활용해서 IMSI 탈취 = 문제 없음
2. 그러나 가장 기본중의 기본인 IMSI 코드를 난수화시키지 않음
3. 문제의 핵심은 심지어 IMSI 코드를 내 개인정보인 휴대폰 번호로 만들었다는 것
3. IMSI 코드 탈취 후 내 휴대폰번호까지 탈취한다면 내 실시간 위치정보 수집 가능
4. 나도 모르는 사이 통신사가 강력 범죄에 활용될 수 있는 내 실시간 위치 정보 수집을 너무나 손쉽게 할 수 있는 환경과 빌미를 제공.
그래서 유플러스가 유심 변경을 꼭 하라고 하는 것입니다.
여러분들의 아내와 딸을 포함한 우리 가족들이 통신사의 잘못으로 인해 혹 1%라도 발생할지도 모르는 강력 범죄에 노출시킨 유플러스…
사실 저는 이 측면에서 가장 악질적인 사건이라고 보는 것이구요…
이 글이 널리 퍼져 많은 분들이 보셨으면 좋겠습니다.
SKT 도 처음 이슈 되었을 때는 별거 아니라고 그랬었죠. KT, U+ 도 마찬가지고요.
서브폰이 U+ 인데 교체하러 가야겠네요. --;
압수수색 들어갔다고 하니,, 수사끝나면 팩트가 좀 정리되지 않을까 싶습니다
유플 절대쓰지말라고 수년전에 이야기 해줬었는데 ㅜㅜ
어찌 저따구로..부들부들
내용 이해가 어렵네요ㅜㅜ
저건 시스템에서 부여되는 문제같은데요
1. IMSI 뒷자리를 MSISDN으로 한 유플러스는 ㅂㅅ 인가? 그렇다 매우 그렇습니다.
2. IMSI가 유츌되면 안좋은 것은 맞나? 맞다. 그래서 최초 통신시에만 IMSI를 쓰고 그 후 부터는 TMSI를 씁니다.
3.IMSI catcher로 위치 특정이 가능한가? 특정인의 동선을 완벽하게 알고 있을때 해당 IMSI catcher 위치에 지나간것은 확인이 된다. 단, wifi 공유기 수준으로 많이 깔아야 합니다.
4. 그럼 IMSI를 MSISDN으로 쓰면 뭐가 위함할까? 저 IMSI catcher를 쓰면 특정공간(예를 들면 까페라든지)에 있는 UE의 고객번호를 알아낼 수 있고, 그 정보를 조합해 보이스 피싱등에 쓸 수 있습니다.
5. 유심 안바꾸면 정말 스토킹을 당할 가능성이 있는가?
저 IMSI catcher 수백개 깔아 놓을 시간에 흥신소 써서 미행 하는게 빠릅니다.
명확한 지식이 없으면 단정적으로 글을 쓰는건 지양했으면 좋겠네요
특정인이 집에있는지, 외출했는지 같은 정보는 1개만으로도 알 수있는데 이런것만 해도 충분히 위험하죠.
기존 난수화된 IMSI로 재실 여부를 판단할 수 있나?
네 할 수 있습니다. 단지 유플러스의 저 ㅂㅅ 짓이
460 + 폰번으로 되어 있어서 IMSI를 아주 조금 더 쉽게 식별 할 수 있게는 해주겠네요
그저 46006 +폰번이냐? 46006+ 난수냐 가 차이가 있을 뿐입니다.
재실 여부 확인에 1시간 걸릴거 10분으로 줄이는 효과는 있겠네요
공감 드립니다
번호 안털려도 스팸전화 많이 옵니다.
중국에 신분증과 전화번호 이메일 다 털렸기에 위험한건 중국이지 전화번호 정도는 바꾸면 그만 입니다.
본문의 위험하다는건 동의하기 어렵네요.
고작 전화번호 무작위로 수집해서 그 번호에 전화걸 필요성이 없어요.
KT : 고객을 털자
SKT : 신나게 고객을 털자
U+ : 우리는 더