중소기업 고객의 VoIP망이 해킹당하는 것을 막는 5가지 방법

은둔 보안방식(STO : security through obscurity)라는 용어가 한때 VoIP(Voice over Internet Protocol)에 적용되었을 수도 있었다. 몇 년전에는, 극소수의 개인들과 훨씬 더 적은 기업들이 VoIP를 필요로 했다. 그러나, 최근 몇 년동안, 기업용 VoIP 채택이 폭발적이었다. 잠재적 불리한 면은 과거에 인터넷서비스가 구리선과 광케이블보다 공격과 부당한 이용에 훨씬 더 취약했었다는 점이다. 다행스럽게도, VoIP가 시장점유율을 얻어감에 따라 VoIP 보안도 증가해왔었다. 여기에는 고객의 VoIP망이 안전한 것을 확실하게 하는 5가지 방법이 있다.

1. 음성 트래픽과 데이터 트래픽을 분리하기

데이터와는 다른 파이프에 오디오를 유지함으로써, 파일에 숨어있는 스팸과 악성코드에 덜 민감하게 된다. 이렇게 하는 방법은 두 개의 가상 LAN(VLAN : Virtual LAN)를 만들고 두 개에 다른 QoS 우선순위를 적용함으로써 두 개를 함께 묶어 처리할 때보다 음성 데이터가 더 빠르고 더 안전하게 움직일 수 있도록 하는 것이다. 가상 LAN(VLAN)은 장치들이 하나이상의 라우터를 통해서만 서로 직접 연락을 주고 받을 수 있도록 단일한 L-2(layer-2) 네트워크를 나누어 놓는 것이다. 즉, 물리적으로 단일한 네트워크에 연결되어 있으나, 논리적으로 그룹을 지어서 패킷이나 데이터가 넘어가지 않도록 하는 것이다. 목적은 그룹을 지어서 좀더 빠른 네트워크를 사용하려는 목적이지만, 응용되어서 그룹간 네트워크 환경에서 보이지 않게 하여서 간단한 해킹을 막는 목적도 있다. 스위치들은 데이터의 종류들을 구분할 수 없고 라우터는 구분할 수 있기 때문에 가상 LAN(VLAN)은 라우터를 이용한다. 이것을 가장 잘 구현하기 위해서, 라우터를 서로 연결하는 케이블들을 분리할 필요가 있을 수 있다.
두 개의 데이터 경로를 분리하도록 하는 또 하나의 방법은 차등화 서비스(DiffServe : differentiated services) 비트-표시를 사용하는 것이다. DiffServ는 음성 등과 같이 데이터의 흐름이 끊어지면 안 되는 비교적 특별한 형식의 트래픽들에 대해, 다른 종류의 일반 트래픽에 비해 우선권을 갖도록 네트웍 트래픽을 등급별로 지정하고, 제어하기 위한 프로토콜이다. IP 폰은 음성 패킷들을 생성할 때 자체적으로 음성 패킷을 표기한다. 표기된 패킷들이 폰을 떠나기 전에 암호된 후 가장 높은 우선순위를 가지고 네트워크 상에서 전송이 될 수 있다.

2. 안전한 세션 개시 프로토콜(SIPS: Secure Session Internet Protocol)을 이용하기

SIP과 같은 새로운 프로토콜이 고심하는 중요한 단점인데 SIP는 안전하게 설계가 되지 않았다. SIPS를 이용해서 메시지들을 TLS(Transport Layer Security) 암호화된 채널을 통해서 전송한다. TLS는 처음에는 HTTP 세션을 보호하기 위해서 처음에는 사용되었으나, 이제는 SIP 세션 통신을 엿듣거나 함부로 변경하는 것으로부터 보호할 수 있다. 공격자는 엿듣기 위해서 모든 단계에서 암호화를 깨야만 한다. 하지만, 이것은 매우 어려운 일이다.

3. SIP-인식하는 방화벽 사용하기

음성 트래픽이 방화벽에 도달할 때 음성 트래픽은 항상 약간 까다로웠다. SIP는 통화를 하기 위해서 두 개의 다른 연결을 사용한다. 하나는 통화 신호 정보를 가지고 있고 다른 하나는 실제 오디오 데이터를 가지고 있다. 그래서 한 포트는 통화 신호를 보내는 데이터가 안전하다는 것을 인지하고 시작하지만 오디오는 다른 포트를 통해서 들어오고 그것이 막힐 수도 있다. SIP는 양방향 실시간 통신을 포함하고, 웹서핑과는 다르게 연결시 0.5초의 시간 지연은 너무 긴 0.5초이다.
데이터 패킷들이 지나갈 때 데이터 패킷들을 검사해서 오디오 데이터 패킷에 끼워져 있는 포트 번호가 신호전달 정보 패킷들이 열어놓은 포트 번호에 맞추도록 그 번호를 변경하도록 SIP- 인식하는 방화벽에서 구성이 가능하다.

4. 내선(extension)과 다른 SIP 사용자 이름을 만들기

네트워크를 좀 더 안전하게 만드는 단순한 변경을 간과하기 쉬울 수 있다. 이런 경우에서 내선은 어떤 번호로 전화를 걸 때 도달하는 책상을 나타낸다. 내선의 이름을 단순히 그 번호로 설정하는 것이 더 쉽다. 하지만, 여러분에게 쉬운 것은 해커들에게는 또한 더 쉽다. 그래서, 내선에 대해 연결된 장치의 MAC 주소와 같은 개인화된 이름을 사용하는 것이 더 좋다.
관련된 내용으로, “PASSWORD1234.”와 같은 예측가능한 암호를 사용하지 마라. 여러분이 기억할 수 있다면, 가장 좋은 암호는 사전에 있지 않은 단어들이다. 안전한 암호를 위해 글자 바꿔치기를 고려해자. 한 가자 방법은 키보드에서 손가락들을 다른 키들에 옮기는 것이다. 만약 손가락을 오른쪽으로 한 키만큼 옮기면 “GetVoIP”는 “hrybpo[”가 될 것이다.

5. 자신이 직접 해킹하기

네트워크에서 약점을 테스트하는 우호적인 엔지니어들에 대한 용어는 penetration testers(침투 테스터)를 줄인 “Pentesters”이다. 이런 사람들과 이들이 사용하는 프로그램들은 guessing(추측으로 알아내기)에서 sniffing(비밀 정보를 알아내기 냄새맡기)을 거쳐 phishing(피싱 사기 : 인터넷・이메일 등을 통해 개인 정보를 알아내어 그들의 돈을 빼돌리는 사기)까지 모든 도구를 이용해서 네트워크에서 모의 공격을 한다. 이런 것들에서 PACK (Password Analysis & Cracking Toolkit) 과 SIPCRACK 같은 일부 도구들은 일반 대중이 이용할 수 있기도 하다.
안전한 VoIP 네트워크를 가진다는 것은 생산적인 업무상의 대화와 심각한 문제들간의 불화를 의미한다. 사람들의 의사소통에 대한 니즈를 고려할 때 안정성은 업무의 가장 높은 우선순위 중의 하나이고, 기술적 수준 및 개인적 수준에서 고객의 VoIP 네트워크를 안적하게 하기 위해 할 수 있는 모든 것을 할 수 있는 제공업체를 찾을 것이다.

Source : http://www.bsminfo.com/doc/ways-to-protect-your-smb-customers-voip-networks-from-getting-hacked-0001