SEOUL, Korea (AVING) -- 인터넷전화 서비스는 2007년 말 기준 11개 사업자가 서비스 중이며 다양한 부가서비스를 바탕으로 2009년에는 시장규모가 9천 689억 원(한국IDC 조사기준)으로 성장할 것으로 예상되고 있다.

하지만 인터넷 망을 이용하는 특성상 기존 인터넷에서 발생하는 보안위협은 물론 음성통화를 이용한 스팸과 도청 등의 문제가 발생할 수 있어 서비스 확산에 장애가 될 수 있다는 지적을 받아왔다.

인터넷전화는 기본적으로 인터넷 인프라를 기반으로 하고 있어 본질적으로 인터넷 보안사고와 동일한 형태로 나타날 수 있지만 이메일이나 동영상과 같은 다양한 형태의 통신과 달리 통화만을 위한 음성과 IP주소 등이 담긴 데이터를 압축하고 암호화해 전송하기 때문에 비교적 안전하다는 평가도 있다.

그렇다면 인터넷전화 서비스 보안과 관련해 떠돌고 있는 소문에는 어떤 것들이 있으며 진실은 무엇인지 알아보자.

서비스 거부(DoS : denial of service), 인터넷의 보안위협과 마찬가지로 동시 다발적으로 다량의 메시지를 인터넷전화 호처리 시스템에 발송해 성능의 저하를 유도하는 서비스 거부 공격과 서버해킹을 먼저 꼽을 수 있다.

업계 한 전문가는 현실적으로 '서비스 거부(DoS)'가 동시다발적으로 일어날 위험은 거의 없고 행여 공격을 받게 되더라도 사용자는 일시적으로 전화를 걸거나 받을 수 없는 한시적 서비스 사용 불능 상태가 될 수 있다고 말한다.

보통 이러한 공격은 인터넷전화서비스 전용 방화벽을 통해 들어오지만, 이는 정상적인 인터넷전화 트래픽과 비정상 인터넷전화 트래픽을 분리해 처리하는 SBC(Session Border Controller)가 있어 악의적인 트래픽은 사전에 차단된다고 한다.

도청(Wiretapping; Sniffing) 위협, 인터넷을 흐르는 패킷을 수집해 통화관련 정보나 통화내용을 추출하는 행위가 가능할 수 있다고 생각할 수 있다.

하지만 도청하고자 하는 통화 데이터가 인터넷상의 어느 지점에서 흐르고 있는 알 수 없기 때문에 특정 통화를 감청한다는 것은 불가능하고, 불특정 통화내용을 다량으로 수집해 분석할 수도 있겠지만 다수 사용자의 트래픽을 수집할 수 있는 허브는 대부분의 경우 보안이 철저한 ISP의 내부 네트워크이므로 현실적으로 쉽지가 않다.

결국, 실질적인 도청 방법은 사내 또는 가정 내 네트워크에 패킷 수집장치를 연결하거나 인터넷전화 단말기를 해킹해 통화내용을 특정장소로 전송하는 방법이 있는데 전자의 경우는 기업 내 네트워크 보안을 뚫어야 하며, 후자는 인터넷전화기(일명: 하드폰)가 하드웨어 전용 소프트웨어를 사용하므로 통상적으로 악성코드에 노출되어 있는 PC상의 소프트폰에 비해 안전하다.

ID와 패스워드를 악의적으로 도용해 무상으로 전화를 사용하거나 발신자번호를 속이는 행위가 우려되며, 인터넷 상에서 암호화된 ID와 패스워드를 불법 취득하는 것에 대한 걱정도 앞선다.

이에 대해서도 보안 전문가는 "기본적으로 서비스사에서 제공하는 소프트폰에는 키보드 해킹 방지 모듈이 탑재되어 있고 ID와 패스워드는 휴대폰 문자메시지 등을 통해 고객에게 직접 전송해 제3자에 의한 유출을 방지하며 인가되지 않은 펌웨어에 의한 업그레이드 방지 기능을 인터넷전화기에 내장해 인터넷전화기 펌웨어 위/변조 방지를 지원하는 것이 일반적이다" 고 말한다.

스팸(SPAM)에 대해서는 인터넷전화서비스 사업자가 호 또는 문자메시지 처리장치를 통해 스팸을 방지할 수 있으며, 사업자를 거치지 않고 인터넷전화 단말기에 직접적으로 전송되는 스팸은 인터넷전화 단말기의 비인증 통신 불허 기능을 통해 거부된다고 한다.

삼성네트웍스의 한 보안 관계자는 "개인 및 기업의 개별 사용자 네트워크는 고객사 및 해당 ISP의 보안 수준에 의존할 수 밖에 없는 것이 현실이다"며 "삼성네트웍스는 개인 고객의 인터넷전화서비스 보안에 대해서도 만전를 기하고 있고, 기업 고객에 대해서는 국가사이버안전센터의 '인터넷전화 구축 시 보안 고려사항'에 근거해 기업 고객의 사내 네트워크에 대한 보안 컨설팅을 추가로 제공하고 있다"고 전했다.