시민랩이 폭로한 전 세계 통신망 감청 — 당신의 휴대전화는 이미 도청되고 있다

휴대전화를 켜는 순간 당신은 이미 노출됩니다. 위치, 통화 상대, 문자 내용까지 — 우리가 안전하다고 믿었던 통신망의 밑바닥이 사실은 1970년대에 설계된 구멍 뚫린 프로토콜 위에 얹혀 있다는 사실, 알고 계셨나요? 캐나다 토론토 대학 시민랩(Citizen Lab)이 최근 발표한 ‘Bad Connection’ 보고서는 이 불편한 진실을 다시 한 번 수면 위로 끌어올렸습니다.

SS7이라는 이름의 시한폭탄

먼저 짚고 갈 것은 SS7(Signaling System No. 7)입니다. 이름은 거창하지만, 쉽게 말하면 전 세계 통신사들이 서로 통화와 문자를 주고받기 위해 쓰는 ‘뒷채널 언어’입니다. 1975년에 만들어졌고, 인터넷이 보급되기 한참 전이라 인증이나 암호화 개념 자체가 없었습니다.

문제는 이 프로토콜이 지금도 여전히 전 세계 통신망의 근간으로 작동한다는 점입니다. 5G 시대라고 떠들어도, 결국 국가 간 로밍이나 통신사 간 신호 교환은 SS7과 그 후속 프로토콜인 Diameter에 의존합니다. 한 번 SS7 네트워크에 발을 들이면, 이론적으로 지구상 어떤 휴대전화의 위치든 추적할 수 있고, 통화를 가로챌 수 있으며, SMS 인증번호를 빼낼 수 있습니다.

시민랩이 밝혀낸 ‘감청 산업’의 실체

시민랩은 이번 보고서에서 단순히 “취약점이 있다"고 경고하는 데 그치지 않았습니다. 실제로 이 취약점을 상업적으로 판매하고 운영하는 업체들의 존재를 추적해 공개했습니다.

핵심은 이른바 ‘covert surveillance actors’, 즉 은밀한 감시 행위자들입니다. 이들은 작은 통신사의 SS7 접근권을 매입하거나 임대해서, 정부 기관이나 사설 정보업체에 ‘서비스’로 판매합니다. 이스라엘, 키프로스, 아랍에미리트 등에 본사를 둔 업체들이 거론되며, 페가수스(Pegasus)로 유명한 NSO 그룹과는 다른 결의 — 스마트폰 자체를 해킹하지 않고도 통신망 단계에서 정보를 빼내는 방식입니다.

왜 이게 더 무서운가

일반적인 해킹은 흔적이 남습니다. 의심스러운 앱이 깔리거나, 배터리가 빨리 닳거나, 데이터 사용량이 급증하죠. 그런데 SS7 공격은 다릅니다.

피해자는 자신이 감시당하고 있다는 사실을 알 방법이 거의 없습니다. 공격은 통신사의 네트워크 단에서 일어나기 때문에, 휴대전화에는 어떤 흔적도 남지 않습니다. 보안 앱을 깔아도 소용없습니다. 비싼 아이폰을 쓰든 최신 안드로이드를 쓰든 통신망 자체가 뚫리면 모든 단말기가 동등하게 취약합니다.

특히 우려되는 지점은 SMS 기반 2단계 인증(2FA)입니다. 은행, 거래소, 회사 시스템 다수가 여전히 SMS로 인증번호를 보내는데, SS7 공격자는 이 문자를 가로챌 수 있습니다. 즉, 비밀번호를 모르더라도 SMS 인증번호 한 통이면 계정 탈취가 가능한 시나리오가 만들어집니다.

누가, 누구를, 왜 감시하는가

시민랩 보고서가 특히 힘준 부분은 이 감시 인프라의 표적이 누구인가입니다. 단순한 일반 시민의 광범위 수집이 아니라, 표적이 정해진 감시 — 언론인, 인권 활동가, 야권 정치인, 망명자, 변호사 등이 주된 타겟이라는 것입니다.

권위주의 정권 입장에서 SS7 공격은 매력적입니다. 법적 절차도 영장도 필요 없고, 자국 통신사를 압박할 필요도 없습니다. 해외의 작은 통신사 하나를 매개로 하면, 자국에서 망명한 반체제 인사가 어느 도시에 있는지, 누구와 통화하는지 실시간으로 파악할 수 있으니까요.

그래서 우리는 뭘 해야 하나

개인 차원에서 할 수 있는 일은 제한적이지만, 분명히 있습니다.

첫째, SMS 인증을 가능한 한 줄이는 것입니다. 구글 OTP, Authy, 또는 하드웨어 보안키(YubiKey 같은) 기반 2FA로 옮겨가는 것이 최선입니다. 둘째, 민감한 통화나 메시지는 시그널(Signal)이나 와이어(Wire) 같은 종단간 암호화 메신저를 사용하는 것입니다. SS7으로 통신망을 들여다봐도, 암호화된 패킷의 내용은 읽을 수 없으니까요.

셋째, 이건 더 큰 차원의 이야기인데, 통신사와 규제 당국의 책임을 묻는 일입니다. 시민랩이 지적한 것처럼, 통신사들은 SS7 트래픽 모니터링과 필터링 기술이 이미 존재하는데도 비용 문제로 제대로 도입하지 않고 있습니다. 한국도 예외가 아닙니다.

마무리하며

우리가 매일 들고 다니는 휴대전화의 신뢰는 사실 ‘아무도 굳이 나를 노리지는 않을 것’이라는 막연한 가정 위에 서 있습니다. 시민랩의 ‘Bad Connection’ 보고서는 이 가정이 점점 위험해지고 있음을 다시 한 번 일깨워줍니다. 감시는 더 이상 영화 속 이야기가 아니라, 작은 통신사 하나의 라이선스만 있으면 누구나 살 수 있는 ‘서비스’가 되어버렸으니까요.

당신의 SMS 인증번호는 지금 안전한가요? 그리고 우리 통신사들은 이 문제에 대해 얼마나 진지하게 고민하고 있을까요?