VoIP 보안 위협

ASEC 김지훈 선임연구원

2008년에는 VoIP 서비스가 ALL-IP 환경에서의 새로운 성장 동력으로 보다 빠르게 자리매

김할 것으로 기대하고 있다. VoIP 서비스는 기존 PSTN을 대체함은 물론, IP 데이터/음성/영

상을 통합한다는 점에서도 기대효과가 클 것으로 예상된다. 작년 통신시장 지배적 사업자의

결합상품 판매가 허용되었고, 케이블TV사업자(SO)의 트리플플레이 서비스가 시작되었지만

큰 성과를 거두지는 못한 것으로 관측된다. 이는 유선 전화 가입자를 보유한 통신사업자의

미온적 시장참여 태도와 저렴한 VoIP 요금제도의 시장 차별화 전략 실패, 그리고 070식별

번호에 대한 부정적 이미지(060 스팸 전화와의 유사성) 등이 주요 원인으로 풀이된다.

올해에는 2008년 상반기에 실시될 번호이동제 도입을 통해 보다 공격적으로 유선시장을 공

략할 것이다. 또한, 통신시장 활성화를 위한 많은 상품과 서비스, 정부차원의 대책들이 지원

될 것으로 보인다. 무선 인터넷전화(WiFi phone)와 이동전화(mobile phone)의 결합, BcN기

반의 방송+통신+전화 서비스의 융합 등 꾸준한 시장의 변화와 정부의 정책 지원이 VoIP,

IPTV 서비스를 킬러 어플리케이션으로 정착시키는 동력이 될 것으로 예상된다.

하지만, 시장 활성화에 투자되는 노력에 비해 VoIP 서비스의 보안적인 측면은 고려되고 있

지는 못한 상태이다. HTTP Digest인증, S/MIME, 그리고 Secure RTP 등 보안 요소들이 곳

곳에 존재하고, VoIP Firewall 등의 보안 제품이 출시되어 있기는 하나, 아직까지 다양한 보

안 위협에 대해 대처할 만한 정도로 성숙되지는 못한 상태이고, 더불어 NAT 및 보안 설정

에 따른 QoS 저하 이슈 등은 앞으로 풀어야 할 숙제로 남아 있다.

우리는 본 문서를 통해 VoIP 서비스에서 고려해야 할 보안 위협(공격도구 포함)등을 살펴봄

으로써 VoIP 보안 위협에 대한 차단 방법에 대해 고민해보도록 한다.

1. VoIP 보안 위협의 유형

보안 위협 공격 방법 공격도구의 예

DoS Flood-based

Denial of Service

INVITE, REGISTER

floods

SiVus, VoIP Vulnerabilities Scanner

inviteflood(linux), floods target with

INVITE requests

registerflood(linux), floods registrar with

REGISTER requests

Fuzzling

Denial of Service

Fuzzling protos SIP test suite (linux)

Codenomicon (commercial)

Session tear down Attackers Sends

CANCEL, BYE

Messages to UAs

teardown(linux), used to terminate a

SIP call

Check-sync

reboots

Attacker sends

check-sync

Messages to UA

SiVus, VoIP Vulnerabilities Scanner

check_sync(linux), causes a SIP phone

to reboot

Registration

manpulation and

hijacking

Hijected

Sessions or media

erase_registrations(linux), removes a

registration

add_registrations(linux), adds one or

more bogus registrations

reghijacker(linux), hijacks a registration,

even when using authentication

authtool(linux), cracks digest

authentication

Application man-

in-the-middle

attacks

Attacker Places

themselves between

proxies or proxy/ua

sip_rogue (linux), rogue SIP proxy or

B2BUA

Hijack

Redirect attacks Attacker sends

01/302 Moved

Message. Inbound

calls are redirected

redirector (linux), used to redirect calls

from a SIP UA

eavesdropping Packet sniffing Ethereal,

PCAP trace – RTP 프로토콜 WAV로

변환가능

Eavesdrop

ping

RTP attacks

(RTP/Audio

Injection/Mixing)

Attacker Observers

RTP and Injects or

Mixes in New Audio

Rtpinjector(linux), monitors an RTP

session and injects or mixes in new

audio

Scanning General and

Directory Scanning

INVITE, OPTION, or

REGISTER requests

SiVus, The VoIP Vulnerabilities Scanner

SIPSCAN

dirscan(linux), uses requests to find

valid UAs

authtool(linux), used to crack digest

authentication

SPIT Spam over IP

Telephony

Generatres voip

spams

asterisk, a free, easily installed ISP PBX

that makes it easy to generate SPIT

spitter, a tool that creates SPIT files for

Asterisk

비고 Links SIP Attack tools – www.hackingvoip.com

wirehark – www.wireshark.org

SiVus – www.vopsecurity.org

Cain and Abel – www.oxid.it/cain.html

Fuzzing – www.ee.oulu.fi/research/ouspg/protos/index.html

Codenomicon – www.codenomicon.com

Asterisk – www.asterisk.org

Trixbox – www.trixbox.org

2. Denial of Service (Availability Attacks)

Flooding

최근 인터넷 대형포털 사이트 등을 대상으로 DDoS (Distributed Denial of Service) 공

격이 자행되어 기업 서비스 가용성에 위협을 줄 뿐 아니라 기업 이미지에도 큰 손상을

입히는 경우가 많다. IP 환경에서 의존도가 높은 VoIP 서비스도 예외일 수는 없다. 인터

넷에 개방되어 있는 모든 VoIP 서비스 구성요소들이 DoS 공격에 노출되어 있다. VoIP

call quality가 저하되고, 공격 당한 VoIP device 들이 DoS 상태(crash, halt, freeze 등)

에 이르게 된다. 안전한 서비스 네트워크 설계, 공격발생시 신속한 대응을 통해 서비스

의 가용성이 유지될 수 있도록 최선의 노력을 다해야 한다. VoIP 보안 전용장비, ACL이

나 rate-Limit 설정 등을 통해 외부로부터 VoIP 네트워크에 접근하는 데 제한을 두어

보호하도록 한다.

- IP환경에서의 TCP SYN, ACK flooding, UDP flooding

- VoIP 패킷(REGISTER, INVITE, OPTIONS 메시지 등) flooding

[그림] Flooding도구를 이용한 VoIP 서비스 가용성 공격 과정

주요 Flooding 공격도구는 다음과 같다.

- SiVus, VoIP Vulnerability Scanner

- Scapy, General Purpose Packet tool

- registeFlood, SIP Register flooder

- InviteFlood, SIP Invite flooder

- IAXFlood, IAX protocol flooder

- UDPFlood, General UDP flooder

- RTPFlood, RTP protocol flooder

Fuzzing

공격자는 VoIP device의 input 벡터에 무작위적으로 malformed 메시지들을 보냄으로써

(crash, halt, freeze 등)에 이르게 한다. VoIP device의 취약점을 찾는 데 이용되기도 한

다. 대부분에 VoIP 솔루션들이 SIP Parsing 과정에서 버퍼 오버플로우(buffer overflow)

가 발생한다. 사용하는 VoIP 솔루션에 해당 취약점이 존재하는 지 충분히 검토하고, 공

개된 취약점이 있는지 벤더 사이트를 항상 모니터링하여 패치하도록 한다.

[그림] Fuzzing 도구를 이용하여 VoIP Device의 취약성을 공격하는 과정

주요 Fuzzing 공격도구는 다음과 같다.

- PROTOS Suite, SIP, HTTP, SNMP

- Codenomicon, commercial testing tool

- Ohfsufm, RTP

- Fuzzy Packet, RTP, built-in ARP Poisoner

Session Teardown

공격자는 VoIP 패킷 스니핑을 통해 대화가 성립된 User Agent(s)에 대한 충분한 정보

를 얻을 수 있다. 공격자는 CANCEL, BYE 메시지를 조작하여, 정상적으로 call setup된

session을 강제 종료시킬 수 있다. VoIP Device들이 수신된 VoIP 패킷의 송신자에 대한

충분한 인증과정을 거치지 않기 때문에 가능하다. 따라서, VoIP 시그널링 채널을 스니

핑하지 못하도록 채널을 암호화하거나 모든 시그널링 메시지에 대한 인증과정을 거쳐야

한다.

[그림] BYE메시지를 이용한 VoIP 서비스 공격 과정

[그림] BYE 메시지를 이용한 공격 명령 수행

[그림] BYE 공격코드의 예

주요 Teardown 공격도구는 다음과 같다

- teardown, SIP BYE Injector

- sip-kill, Injects valid SIP messages such as BYE into an existing session

- sip-proxykill, Similar technique against SIP proxies

Check-Sync Reboots

공격자는 원격에서 Check-Sync 메시지를 이용하여 SIP폰을 리부팅 할 수 있다. 특정

한 IP주소에서만 해당 메시지를 보낼 수 있도록 적절한 인증과정을 거치도록 한다.

[그림] Check-Sync 메시지를 이용한 VoIP Phone 공격 과정

- A사 제품 reboot의 예

Event=>check-sync

Conetent-Length=>0

3. Hijacking

Registration manipulation and Hijacking

공격자는 임의로 시그널링 메시지를 조작하거나, 악의적인 REGISTER 메시지를 생성하

여 SIP Registrar에 등록된 정상 사용자를 제거하고 대신 공격자 자신의 정보를 등록하

여 정상 사용자에게 수신되는 VoIP Call을 하이재킹(Hijacking) 할 수 있다. 시그널링

채널을 암호화하여 시그널링 데이터가 스니핑 되지 않도록 하고, SIP Proxy 혹은 SIP

Registrar서버는 REGISTER 메시지에 대한 적절한 인증과정을 거치도록 한다.

주요 Registration manipulation and hijacking 공격도구는 다음과 같다

- reghijacker, hijacks a registration, even when using authentication

- erase_registrations, remove a registration

- add_registrations, add one or more bogus registrations

- authtool, cracks digest authentication

Registration Hijacking에 대해서는 다음의 기사를 참고하도록 한다.

- Two attacks aginst VoIP1

Application man-in-the-middle attacks

공격자는 자신의 rogue SIP Proxy를 양측의 SIP Proxy 사이에 위치시키고, 양측의 SIP

Proxy로 하여금, 자신의 rogue SIP Proxy와 통신하도록 조작할 수 있다.

주요 Application man-in-ther-middle attacks 공격도구는 다음과 같다.

- sip_rogue, application level MITM tool, rogue SIP proxy or B2BUA

Redirect Attacks

공격자는 악의적으로 3xx 응답 메시지(301/302)를 조작하여, 송신자에게 수신자의 위

치가 (공격자 자신으로) 변경되었음을 알리고, 자신에게 VoIP Call이 Redirect되도록 한

다.

1 http://www.securityfocus.com/infocus/1862

SIP의 주요 응답 메시지는 다음과 같다

3XX: Redirection - 요청을 완료하기 위해 다른 위치를 알려주는 상태를 표시

301 Moved Permanently – 착신 측의 위치가 완전히 바뀌었을 경우의 상태

302 Moved Temporarily - 옮겨진 사용자의 위치 정보를 돌려줌

305 Use Proxy - 요청이 Contact 헤더 필드에 의해 주어진 Proxy를 거쳐가야만 하는

상태

380 Alternative Service - 호가 성공적으로 설립되지 않았지만, 다른 선택 가능한 서비

스가 있는 상태

주요 Redirect Attacks 공격도구는 다음과 같다

- sip-redirectrtp + rtpproxy

- redirector, used to redirect call from a SIP UA

4. Eavesdropping

Eavesdropping

공격자는 MITM(man-in-the-middle attacks) 등의 공격을 통해 암호화되지 않은 RTP

패킷 - VoIP 미디어 스트림- 을 스니핑하거나 저장한 후 재생해낼 수 있다. VoIP 도/감

청 공격에 대해 방어하기 위해서는 RTP 채널에 대해 암호화를 지원하도록 한다

(Secure RTP 이용). 단, 채널 암호화는 암/복호화 과정의 추가로 인한 서비스 지연 현

상 등이 초래되어 VoIP 서비스의 품질 저하의 원인이 되기도 한다.

[그림] VoIP 공격도구 - VoIP 음성 스니핑 레코딩

주요 Eavesdropping 공격도구는 다음과 같다.

- Ethereal

- Wireshark

- Cain & Abel

- Vomit, targets cisco devices

- Etherpeak VX

RTP/Audio Injection/Mixing Attacks

공격자는 RTP 패킷 – VoIP 미디어 스트림 –에 공격자 자신의 RTP 패킷을 인젝션

(Injection)하거나 혼합(Mix)할 수 있다.

주요 RTP/Audio Injection 공격도구는 다음과 같다

- rtpinjector, monitors an RTP session and injects or mixes in new audio

5. Scanning

Directory Scanning

공격자는 악의적으로 INVITE, OPTION, REGISTER request 메시지를 조작하여 VoIP

device에 보내봄으로써, 해당 request에 대한 응답의 형태를 통해 특정 VoIP 시스템의

이용자 정보를 파악해낼 수 있다 (능동적인 공격). 또한 VoIP 네트워크의 Registration

메시지 등에 대한 스니핑을 통해 사용자 정보를 파악할 수 있다. (수동적인 공격)

다음은 사용자 존재 여부를 파악하는 예이다.

OPTIONS sip:test@172.16.3.20 SIP/2.0

Via: SIP/2.0/TCP 172.16.3.33; branch=3afGeVi3c92Lfp

To: test <sip:test@172.16.3.20>

Content-Length: 0

SIP/2.0 404 Not Found

주요 Directory Scanning 공격도구는 다음과 같다

- SIPCrack, sniff traffic for valid usernames and then attempts to crack their

passwords

- enumIAX, uses IAX REGREQ messages against asterisk

- SIPSCAN, uses SIP OPTIONS, INVITE, and REGISTER messages against SIP

servers

- Dirscan, uses requests to find valid UAs

- SiVius, authtool

6. Social Engineering

Caller-ID spoofing

공격자는 VoIP 패킷의 Caller-ID 정보를 조작하여 수신자의 LCD Display화면에 자신과

다른 정보를 나타나게 할 수 있다. 이는 Email의 발신자 Spoofing과도 동일한 방법

으로, 공격자는 자신의 신분을 사칭할 수 있다. 공격자는 금융권 관계자 등으로 발신

자 번호를 사칭하여 수신자로부터 계좌번호 등의 금융 정보를 손쉽게 이끌어낼 가능

성도 있다. 특정 시스템에서는 Caller-ID 정보를 사용자 인증 용도로 사용하기도 하

여 그 위험이 크다고 할 수 있다. 발신자 정보를 너무 신뢰하지 않는 것이 좋겠다.

주요 Caller-ID Spoofing 공격도구는 다음과 같다

- iax.CC, SpoofCard, TeleSpoof, SpoofTel, SpoofTech

또한, 특정 웹사이트를 통해 Caller-ID Spoofing 기능이 하나의 서비스화되어 문제화

되고 있다.

- [미국] 검찰, ‘발신자 전화번호 위장’ 수사착수2

VoIP Spam (SPIT, Spam over Internet Telephony)

기존의 일반전화(PSTN)은 하나의 콜(Call)을 생성하기 위해서는 오직 한 개의 전화선만

을 사용할 수 있고, 하나의 콜에 대한 사용요금에 지불해야 하기 때문에 비용적인 측면

에서도 부담이 컸다. 하지만, VoIP 스팸을 이용하면 한 번에 수천 개의 주소에 같은 메

시지를 보낼 수 있으며 기존 네트워크망을 이용하기 때문에 비용적인 부담을 줄일 수

있다. 따라서 스패머는 PSTN에서의 요금에 대한 부담을 줄이고 VoIP 서비스 환경에서

저렴한 비용으로 사용적인 광고나, 악의적인 스팸을 보낼 수 있는 보안의 취약성이 발

생하게 된다. <출처: VoIP 스팸과 보안>3

주요 VoIP 스팸의 유형은 다음과 같다.

- Call 스팸: SIP 기반의 VoIP 시스템에서는 소프트웨어적으로 자동화 가능

SIP UA들에게 동시에 INVITE 메시지를 발송하여 통화 시도

사용자가 통화 시도에 응답하면 자동으로 미리 녹음된 음성메시지 전송

2 http://www.chosun.com/economy/news/200603/200603280208.html 3 http://pds2.egloos.com/pds/200610/17/20/voipspam.pdf

- IM 스팸: 이메일 스팸과 유사한 형태.

INIVITE, OPTION, SUBSCRIBE 등의 SIP Request 메시지의 Subject 헤더

를 이용하여 자동으로 불필요한 문구 팝업 가능

- Presence 스팸: IM 스팸 기술과 유사. 일방적이고 대량의 presence 요청 메시지

IM 메시지를 보내거나 다른 형태의 통신을 하기 위해 사용자의 “버

디 리스트” 또는 “화이트 리스트”의 획득목적으로 “SUBSCRIBE”

요청 메시지를 사용하는 기술

주요 VoIP 스팸 대응 기술은 다음과 같다

- Content 필터링: 베이시언(Beyesian) 필터링이 대표적

- Black 리스트: 스패머로 등록된 경우 차단됨

- White 리스트: 유요사용자로 등록된 경우만 허용

- 동의 기반(Consent-based) 통신: Black과 White(동의한 경우)가 함께 사용됨.

- 평판(Reputation) 시스템: Negative또는 Positive 평판도 시스템에 의존

- 법적 제재(Legal Action)

주요 VoIP spam 공격도구는 다음과 같다

- asterisk, a free, easily installed ISP PBX that makes it easy to generate SPIT

- spitter, a tool that creates SPIT files for Asterisk

VoIP Phising (Vishing, Voice + Phishing)

피싱(Phishing) 이란 사용자가 스스로 자신의 개인 정보를 입력하게 만들어 이를 통해

개인 정보를 수집 하는 방법으로 Privacy data(개인정보)와 Fishing(낚시)의 합성어 이

다. Phishing 은 주로 금융기관 등의 웹사이트나 정부기관, 금융기관을 사칭하여 사이트

및 조작된 메일로 위장하여, 개인 비밀번호, 신용카드 번호, 계좌번호 등 빼내는 금품적

인 목적으로 이루어진다.

VoIP를 이용한 Voice + Phishing = 비싱(Vishing)이 등장하였다. 피셔(phisher)는 임의

의고객에게 “은행계좌에 문제가 있으니, 특정번호에 전화해 문제를 해결하라”는 VoIP

음성메시지를 남긴다. 고객이 특정번호에 전화를 걸면, 은행을 사칭한 자동응답시스템

이 나오고, 계좌번호와 비밀번호의 입력을 차례로 요구하게 된다.

<출처: 전자신문, VoIP로 개인정보 빼가는 신종사기 수법 등장>4

4 http://www.etnews.co.kr/news/detail.html?id=200607110122

Vishing 의 예는 VoIP 를 이용하여, 상대방에게 전화를 걸어, 정부기관 및 금융기관을

사칭하거나, IM(Instance Message)를 이용하여 특정 URL 등을 전송하는 방법도 이용이

될 수가 있다. 특정 URL 을 전송하는 경우에, 사용자가 해당 URL 사이트를 방문함으로

써, Vishing 사고가 발생할 수 있다. 또한 스팸을 보내어 전화번호를 남김으로써, 사용

자가 해당 전화번호로 전화를 걸면 자동 응답시스템으로 응답하게 하여, 전화를 건 사

용자가 개인정보를 입력할 수 있는 상황도 발생할 수 있다.

요즈음 Phishing 의 공격방법이 보다 다양해지고 있으며, 국내에도 피해가 발생하고 있

다. 지난 2007년 1월에는 국내 모 은행의 사이트를 위장하여 공인인증서, 계좌번호, 비

밀번호 등을 획득하는 사건이 발생하였다. 또한 2008년 2월에는 국내 모 법원의 사이

트를 위장하여

비싱(Vishing)의 방지기법

비싱(Vishing) 은 Call 호출 또는 IM(instance Message)로 개인 정보를 노리는 경우가

많음으로 아래와 같이 방지할 수가 있다.

- 금융에 관련된 비밀번호, 계좌번호, 인증서 암호등을 전화상이나 IM 으로 물어보는

경우에는 절대 응답을 해서는 안된다.

- 신뢰할 수 없는 사람에게서 오는 전화에 대해서는 응답시에 유의하여야 하며, 유효

하지 않는 전화번호로 다시 Call 을 해서는 안된다.

- 자신의 주민등록번호 및 카드번호 등의 개인정보를 공유하지 않는다.

- 피싱과 마찬가지로, 금융 정보를 요구하는 이메일이나 음성메시지는 절대 신뢰하지

않아야 하며, 직접 관련 금융사에 연락하여 문의하도록 하여야 한다.

Appendix A. 참고자료

VoIP 보안 참고 문헌

IPComm SIP Vulnerabilities Tutorial

- http://www.hackingvoip.com/presentations/IPCOMM_SIP.pdf

VoIP Attacks !

- http://www.tippingpoint.com/security/materials/VoIP-Attacks.pdf

VoIP Security and Privacy (KISA/원유재 팀장)

- http://www.vsix.net/other/summit/Korea2006/www.ipv6.or.kr/summit2006/procee

ding/TS3-3.pdf

VoIP 보안 해설 가이드 (KISA)

VoIP 공격 도구 모음 사이트

Hacking Exposed VoIP: Security Tools

- http://www.hackingvoip.com/sec_tools.html

Additional VoIP Attack Tools

- http://voipsa.org/blog/2006/10/30/additional-voip-attack-tools/