美 기밀 문건 유출 사태로 드러난 ‘디지털 도청 기법’의 위험성

도·감청 기술도 세대교체, 아날로그에서 ‘디지털 시대’ 맞이했다
스마트폰·와이파이 등 통신기술 발전할수록 도청기술도 발전

[보안뉴스 이소미 기자] 최근 발생한 미국 정부 기밀 문건 유출 사건과 관련해 미 공군 비밀 정보 관리 부대 소속 잭 테세이라(21)가 용의자로 체포된 가운데 유출된 기밀 문건에 한국을 포함한 동맹국을 상대로 도·감청을 통해 정보를 수집해온 정황이 드러났다.

이에 대해 바이든 행정부 고위당국자는 미군 기밀 문건 유출 파문이 동맹국들과의 협력에 영향을 주진 않는다는 입장을 밝혔다. 이번 미국 기밀 문건 유출 사태에 대해 일부 전문가들은 대통령실 용산 이전으로 통신보안 시스템에 문제가 생겼을 가능성도 제기하고 있다. 이처럼 대통령실까지 도청됐다는 논란이 일면서 레이저 도청부터 시공 과정 중 벽면 도청기 설치까지 다양한 도·감청 가능 시나리오가 언급되기도 했다. 이렇듯 도청 수법은 다양하고, 통신기술의 발전에 비례해 진화해 가고 있다. 이에 <보안뉴스>는 다양한 디지털 도청 기법에 대해 알아봤다.

[이미지=보안뉴스]

기밀문서에 명시된 ‘시긴트(SIGINT: Signal Intelligence)’란?
신호(Signals)와 정보(intelligence)의 합성어인 시긴트는 통신이나 통화 내용을 중간에 탈취해 정보를 수집하는 방식이다. 일반적으로 도청을 의미하기도 한다. 이를 위해 주로 위성이나 각종 전자·특수장비 등이 활용된다. 과거 민감정보 수집을 위해 인적 자원을 활용한 ‘휴민트’가 대세였다면, 기술이 발전한 오늘날은 스마트폰이나 이메일을 들여다보는 방법이 쉬워지면서 시긴트가 중요한 정보 획득 방법이 됐다.

창문을 통한 소리(진동)를 분석하는 ‘레이저(Laser) 도청 장비’
일반적으로 도·감청 범죄에 쓰이는 디지털 장비들 중 구하기 힘든 장비로 꼽히는 게 레이저 도청 장비다. 이 장비는 레이저를 창문에 쏴서 창문 안쪽의 소리(음파)를 분석해 도청하는 방식이다. 실내에서 대화하는 소리가 음파가 되어 유리창에 부딪히고, 그로 인해 유리창이 떨리는 ‘진동’을 분석해 ‘언어’로 재해석이 가능하다. 직접 침입하지 않고도 도청이 가능하기 때문에 산업스파이 등이 선호한다.

아날로그에서 디지털로 진화한 다양한 도·감청 장비
통신기술의 발전과 디지털 시대로의 전환에 따라 스마트폰, 와이파이는 일상이 됐다. 이는 일상 속 도청이 가능하다는 것을 의미하기도 한다. 이미 디지털 도청 장비 기기로 △음성 녹음 △유·무선형 디지털 도청기 △인터넷망을 이용한 유선 도청장치 △이동통신 대역·주파수 호핑 등 첨단 기술을 동원한 도청기 등이 있다.

또한, 사람의 육안으로 도청기 여부 판단이 어려운 은폐기술도 존재한다. △만년필 △마우스 △SD카드 △알전구 등을 이용한 도청이 그것이다. 그 외 군중이 운집한 지역에서 특정인 대화만 선별이 가능한 최신 도청기술도 이미 발달되어 있다.

그 외 연구진들이 도청 가능성을 실험 결과로 밝혀낸 기상천외한 도청 기법들
이어스파이(EarSpy) : 휴대폰 스피커 기능이 좋아지면서 통화용 스피커의 떨림을 측정해 도청하는 수법이다. 스마트폰에 내장된 가속도계로 측정하므로 별도의 장비를 마련할 필요가 없지만, 해당 휴대폰에 멀웨어를 심어 도청한다. 100%의 정확도는 아니지만 입모양 등을 통한 추정 방법에 비해 정확도가 평균 5배 더 높은 것으로 나타났다.

라이더폰(LidarPhone) : 스마트 센서가 탑재된 AI 진공 청소 로봇을 도청장치로 악용하는 수법이다. AI 청소 로봇은 흔히 ‘라이다’라고 불리는 센서를 탑재하고 있는데, 레이저 광선을 사용해 일종의 레이더 기능을 하는 기술을 말한다. 공격자가 로봇과 같은 로컬 네트워크에 연결되어 있다면 인터페이스를 선점해 센서를 조작할 수 있다. 실제 한 실험을 통해 카펫에 스치거나 밟히는 소리, TV 채널의 인트로 음악이나 광고 음악 등을 수집하고 정확히 분간하는 데 성공했다. 심지어 음성 발화자의 성별도 높은 정확도로 맞출 수 있었다고 한다.

램폰(Lamphone) : 흔히 일상에서 사용하는 전구의 표면에 닿는 기압의 변화를 측정해 도청하는 기법이다. 표면의 기압차를 원격 전기광학 분석 센서로 분석하면 말과 노래 소리를 실시간으로 복원할 수 있다는 것이다. 실험을 통해 25미터 밖에 있는 다리 위에서 램폰 도청 기술을 이용해 사람들의 대화 내용과 노래 소리까지 모두 성공적으로 복원하기도 했다. 실제 현장에서 얼마든지 악용될 수 있으므로 해당 기술에 대한 자세한 내용은 미공개 상태이다.

스피어폰(Spearphone) : 안드로이드 기반 장비의 보드에 탑재된 가속도계(동작 센서)를 활용해 사용자의 휴대폰 도청이 가능한 공격 수법이다. 스피어폰 공격은 ‘Speech privacy exploit via accelerometer-sensed reverberations from smartphone loudspeakers’의 준말이다. 해당 실험에 사용된 안드로이드 기반의 휴대폰은 국내에서도 잘 알려진 모델들로 모션 센서를 통해 기록된 정보에 무제한 접근할 수 있다는 것이 취약점이다. 이는 구글 어시스턴트(Google Assistant)나 삼성 빅스비(Samsung Bixby)처럼 음성 명령을 다시 스피커를 통해 재생하는 AI 서비스들로 해당 센서에 기록된 사용자의 많은 정보를 탈취할 가능성이 높아진다.

각종 스마트 기기의 취약점 악용해 도청장치로 활용 : 그 외 무선으로 통신이 가능한 스마트 스피커나 스마트폰의 37%에서 사용되고 있는 미디어텍 칩셋 등이 갖고 있는 취약점을 악용해 도청이 가능하다는 연구 결과가 있다. 이 뿐만 아니라 블루투스 기능을 가진 아이들 장난감, 빛을 수집하는 망원경과 광학 센서를 이용해 음료수 캔이나 스마트폰 거치대와 같이 물체의 표면에 반사되는 빛을 통해서도 대화 내용을 알 수 있는 등 기상천외한 도청 방법들이 등장하고 있다.
[이소미 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)