AI 요약
시티즌 랩은 2024년 말, 모바일 시그널링 방화벽 로그와 보안 기업 셀루시스(Cellusys)의 텔레메트리 데이터를 분석하여 글로벌 통신망을 악용한 대규모 감시 활동을 공개했습니다. 이번 조사에서는 STA1과 STA2로 명명된 두 개의 독립적인 감시 행위자가 3G 및 4G 네트워크의 구조적 취약점을 이용해 장기간 첩보 활동을 수행해 온 사실이 드러났습니다. 이들은 단순한 네트워크 침입을 넘어, 악성 SMS를 통해 대상의 SIM 카드에 숨겨진 명령을 전송함으로써 기기를 실시간 위치 추적 비콘으로 변모시키는 고도화된 기술을 구사했습니다. 특히 2024년 11월에 식별된 캠페인은 고위직 가입자를 대상으로 삼았으며, 추적을 피하기 위해 전 세계 이동통신사 인프라를 복잡하게 경유했습니다. 이번 보고서는 통신사 간 상호 연결망(Interconnect)의 취약한 보안 검증이 국가적 수준의 감시 활동에 어떻게 이용되는지 경고하며, 모바일 생태계 전반의 보안 강화가 시급함을 시사하고 있습니다.
핵심 인사이트
- 정밀 타격 캠페인: 2024년 11월, 고위직 가입자를 대상으로 3G/4G 시그널링 조작과 SMS 기기 공격을 결합한 다단계 위치 추적 활동이 포착됨.
- 글로벌 인프라 도용: 영국, 이스라엘, 중국, 태국, 이탈리아, 폴란드 등 전 세계 15개국 이상의 통신사 식별자와 네트워크 경로를 공격 거점으로 활용함.
- 지속적인 감시 활동: 셀루시스 데이터 분석 결과, 특정 운영자 식별자가 수년에 걸쳐 재사용되며 일관된 감시 클러스터를 형성하고 있음이 확인됨.
- 고도의 SIM 악용: STA2는 숨겨진 SIM 카드 명령어가 포함된 SMS를 전송하여 사용자 모르게 기기 위치 정보를 추출하는 기술을 사용함.
주요 디테일
- 멀티 벡터 공격: 네트워크 신호 프로토콜 조작과 직접적인 장치 공격(SMS)을 병행하여 기존 방화벽과 방어 체계를 무력화함.
- 맞춤형 감시 도구: 운영자 신원 스포핑(Spoofing) 및 특정 트래픽 경로 유도 기능을 갖춘 전용 툴을 사용하여 공격 주체의 추적을 회피함.
- 상호 연결망(Interconnect) 취약성: 통신사 간 트래픽에 대한 검증이 소홀한 점을 악용하여 감시 메시지를 신뢰할 수 있는 경로로 라우팅함.
- 광범위한 피해 지역: 아시아(캄보디아, 태국), 유럽(이탈리아, 스위스), 아프리카(모로코, 나미비아, 레소토) 등 전 대륙에 걸친 통신망이 공격 경로로 이용됨.
- SIM 비콘화 기술: 기기의 SIM 카드에 직접 명령을 내려 위치 추적 장치처럼 작동하게 만드는 방식은 일반적인 보안 솔루션으로 탐지가 매우 어려움.
향후 전망
- 보안 표준 강화: 상업용 감시 벤더(CSV)의 기술 고도화에 대응하기 위해 전 세계 이동통신사의 시그널링 방화벽 강화 및 트래픽 검증 절차의 대대적인 개편이 예상됨.
- 국제 공조 가속화: 국가적 수준의 불법 감시 인프라를 차단하기 위해 국제 통신 기구 및 국가 간 보안 정보 공유와 협력이 더욱 중요해질 전망임.