통신망 취약점, 위치 추적에 악용… 개인 정보는 안전할까?

연구에 따르면, SS7(Signaling System 7)은 2G 및 3G 네트워크에서 오랫동안 사용되어 온 핵심 프로토콜이지만, 인증 및 암호화 기능 부재로 인해 위치 추적에 취약하다. Diameter 프로토콜(Protocol)은 4G 및 5G 통신을 위해 설계되었지만, 통신사(Telecom Providers)의 미흡한 보안 구현으로 인해 여전히 악용될 수 있다. 특히, 공격자는 구형 프로토콜인 SS7로의 폴백(Fallback)을 시도할 수 있다.

보고서에 따르면, 감시 업체는 통신 생태계 내에서 감시 진입점(Surveillance Entry Points) 및 전송 지점(Transit Points) 역할을 하는 통신사에 접근하여 위치 데이터를 수집했다. 이러한 접근 권한을 통해 감시 업체는 정부 고객을 위해 데이터 격리 아키텍처(Data Isolation Architecture)를 구축하고, 추적 대상의 위치 정보를 은폐했다. 019Mobile, Tango Networks U.K., Airtel Jersey 등 3개 통신사가 악용된 것으로 드러났다.

두 번째 캠페인은 특정 대상의 SIM 카드에 특수 SMS 메시지를 전송하는 SIMjacker 공격 방식을 사용했다. 이 공격은 사용자가 인지하지 못하는 상태에서 SIM 카드에 명령을 내려 위치 추적을 가능하게 한다. SIMjacker는 2019년 Enea에 의해 명명되었으며, 공격자는 지리적 특성을 고려하여 취약한 네트워크를 선택한다. 댓글에서는 이러한 공격이 탐지하기 어렵고, 광범위하게 사용될 수 있다는 점을 지적한다.

댓글에서는 감시 기술의 악용 가능성에 대한 우려가 제기되었으며, 특히 정부 및 기업의 감시 행위에 대한 비판이 이어졌다. 한 사용자는 911 시스템의 위치 정보 접근 절차와 감시 업체의 무분별한 접근 권한 간의 불균형을 지적하며, 데이터 미저장 정책(Zero-Retention Policy)의 중요성을 강조했다. 또한, LLM(Large Language Models)의 발전과 함께 감시 기술의 위험성이 더욱 커질 수 있다는 점을 경고했다.