.gif)
LTE 코어 네트워크서 새로운 취약점 ‘컨텍스트 무결점 침해’ 규명 및 검출 도구 공개
“상대적으로 소홀했던 업링크 보안 위협을 예방하기 위한 필수 테스트 도구 발전시킬 것”
[보안뉴스 조재호 기자] 카이스트(KAIST) 연구진이 LTE 코어 네트워크에서 인증되지 않은 공격자가 원격으로 정상 사용자의 내부 정보를 조작할 수 있는 새로운 보안 취약점을 규명했다.
김용대 카이스트 전기및전자공학부 교수 연구팀이 LTE 코어 네트워크에서 원격으로 다른 사용자의 내부 상태 정보를 조작할 수 없는 심각한 보안 취약점을 발견했다고 2일 밝혔다.
▲(왼쪽부터) 김용대 카이스트 교수, 손민철·김광민 박사과정, (왼쪽 위) 박철준 경희대 교수, 오범석 박사과정 [자료: 카이스트]
연구팀은 LTE 코어 네트워크에서 ‘컨텍스트 무결성 침해’(CIV·Context Integrity Violation) 라는 새로운 취약점 클래스를 발견하고 이를 체계적으로 탐지하는 도구 ‘CITesting’을 개발했다.
이번 연구는 지난달 13~17일 대만에서 열린 제32회 ACM CCS(Conference on Computer and Communications Security)에서 발표됐으며, 우수 논문상을 받았다. 이 학회는 전 세계 4대 보안학회 중 하나로, 올해 2400여편의 논문이 제출된 가운데 단 30편만이 수상 논문으로 선정됐다.
이번 연구는 상대적으로 소홀히 다뤄진 (단말기가 코어 네트워크를 공격하는) 업링크 보안을 집중 분석했다. 기존 보안 연구들이 주로 네트워크가 단말기를 공격하는 다운링크 취약점을 다룬 것과 대비된 부분이다. 특히, 연구팀은 ‘컨텍스트 무결성 침해’라는 새로운 취약점 클래스를 정의했다.
이번 연구는 단말기가 정상 기지국을 통해 코어 네트워크로 메시지를 보내고, 그 메시지가 네트워크 내부의 사용자 정보를 잘못 변경하게 만드는 업링크 보안에 집중했다. 인증되지 않거나 부적절하게 인증된 입력이 네트워크의 내부 상태를 바꿔버리는 상황에 집중한 것이다. 이는 ‘인증되지 않은 메시지가 내부 시스템 상태를 변경해서는 안 되다’는 기본 보안 원칙을 위반한 것이다.
이는 3GPP(휴대전화·무선망의 작동 규칙을 만드는 국제 표준 기구)의 표준 초기 버전에서 이러한 행위를 명시적으로 금지하지 않은 데 따른 것이다. ‘인증에 실패한 메시지는 처리하지 말라’는 규칙이 있지만, ‘인증 절차 자체가 없이 들어온 메시지를 다루는 방법’에 대한 명확한 규정이 없는 문제에서 기인한다.
이와 관련 선행 연구인 LTEFuzz가 31개의 제한된 테스트 케이스에 그친 것과 달리 김용대 교수 연구팀의 연구는 CITesting을 통해 2802개에서 4626개에 이르는 광범위한 테스트 범위를 체계적으로 탐색했다.
▲컨텍스트 무결성 침해 규명 및 검출 도구 ‘CITesting’ [자료: 카이스트]
또, 오픈소스와 상용 LTE 코어 네트워크 4종을 대상으로 한 평가에서도 통신 마비를 확인했다. 테스트 결과에 따른 고유 취약점 수는 △Open5GS 2354건 (탐지 29건) △srsRAN 2604건 (탐지 22건) △Amarisoft 672건 탐지 (16건) △Nokia 2523건 (탐지 59건)이다.
연구팀은 해당 취약점들이 네트워크 정보를 망가뜨려 재접속을 거부하는 ‘서비스 거부’와 휴대폰 유심에 저장된 이융자 고유 식별번호(IMSI)를 평문으 재전송하는 ‘IMSI 노출’, 이미 알고 있는 영구 식별번호를 이용해 재접속 신호를 포착해 ‘사용자 위치 추적’으로 이어질 수 있음을 증명했다. 또, 이러한 취약점은 피해자와 같은 MME(LTE 중앙관제 기지국) 관할 지역이면 어디서든 원격으로 영향을 줄 수 있어 광범위한 공격이 가능하다고 경고했다.
김용대 KAIST 교수는 “그동안 업링크 보안은 코어 네트워크 테스트의 어려움과 구현 다양성 부족, 규제 제약 등으로 인해 상대적으로 소홀히 다뤄졌다”며 “컨텍스트 무결성 침해는 심각한 위험을 초래할 수 있다”고 말했다.
이어 그는 “이번 연구에서 개발한 CITesting 도구와 검증 결과를 바탕으로 5G 및 프라이빗 5G 환경으로 검증 범위를 확대할 계획”이라며 “산업·인프라용, 프라이빗 5G망에서는 탱크 통신 차단이나 IMSI 노출과 같은 치명적 보안 위협을 예방하기 위한 필수 테스트 도구로 발전시켜 나가겠다”고 말했다.
한편, 연구팀은 취약점을 벤더별로 책임감 있게 공개해 아마리소프트(Amarisoft)는 패치를 배포하고 Open5GS는 연구팀 패치를 공식 저장소에 통합했으나, 노키아(Nokia)는 3GPP 표준을 준수한다며 취약점으로 보지 않아 패치 계획이 없다고 밝혔다.
[조재호 기자(sw@boannews.com)]
“상대적으로 소홀했던 업링크 보안 위협을 예방하기 위한 필수 테스트 도구 발전시킬 것”
[보안뉴스 조재호 기자] 카이스트(KAIST) 연구진이 LTE 코어 네트워크에서 인증되지 않은 공격자가 원격으로 정상 사용자의 내부 정보를 조작할 수 있는 새로운 보안 취약점을 규명했다.
김용대 카이스트 전기및전자공학부 교수 연구팀이 LTE 코어 네트워크에서 원격으로 다른 사용자의 내부 상태 정보를 조작할 수 없는 심각한 보안 취약점을 발견했다고 2일 밝혔다.
▲(왼쪽부터) 김용대 카이스트 교수, 손민철·김광민 박사과정, (왼쪽 위) 박철준 경희대 교수, 오범석 박사과정 [자료: 카이스트]
연구팀은 LTE 코어 네트워크에서 ‘컨텍스트 무결성 침해’(CIV·Context Integrity Violation) 라는 새로운 취약점 클래스를 발견하고 이를 체계적으로 탐지하는 도구 ‘CITesting’을 개발했다.
이번 연구는 지난달 13~17일 대만에서 열린 제32회 ACM CCS(Conference on Computer and Communications Security)에서 발표됐으며, 우수 논문상을 받았다. 이 학회는 전 세계 4대 보안학회 중 하나로, 올해 2400여편의 논문이 제출된 가운데 단 30편만이 수상 논문으로 선정됐다.
이번 연구는 상대적으로 소홀히 다뤄진 (단말기가 코어 네트워크를 공격하는) 업링크 보안을 집중 분석했다. 기존 보안 연구들이 주로 네트워크가 단말기를 공격하는 다운링크 취약점을 다룬 것과 대비된 부분이다. 특히, 연구팀은 ‘컨텍스트 무결성 침해’라는 새로운 취약점 클래스를 정의했다.
이번 연구는 단말기가 정상 기지국을 통해 코어 네트워크로 메시지를 보내고, 그 메시지가 네트워크 내부의 사용자 정보를 잘못 변경하게 만드는 업링크 보안에 집중했다. 인증되지 않거나 부적절하게 인증된 입력이 네트워크의 내부 상태를 바꿔버리는 상황에 집중한 것이다. 이는 ‘인증되지 않은 메시지가 내부 시스템 상태를 변경해서는 안 되다’는 기본 보안 원칙을 위반한 것이다.
이는 3GPP(휴대전화·무선망의 작동 규칙을 만드는 국제 표준 기구)의 표준 초기 버전에서 이러한 행위를 명시적으로 금지하지 않은 데 따른 것이다. ‘인증에 실패한 메시지는 처리하지 말라’는 규칙이 있지만, ‘인증 절차 자체가 없이 들어온 메시지를 다루는 방법’에 대한 명확한 규정이 없는 문제에서 기인한다.
이와 관련 선행 연구인 LTEFuzz가 31개의 제한된 테스트 케이스에 그친 것과 달리 김용대 교수 연구팀의 연구는 CITesting을 통해 2802개에서 4626개에 이르는 광범위한 테스트 범위를 체계적으로 탐색했다.
▲컨텍스트 무결성 침해 규명 및 검출 도구 ‘CITesting’ [자료: 카이스트]
또, 오픈소스와 상용 LTE 코어 네트워크 4종을 대상으로 한 평가에서도 통신 마비를 확인했다. 테스트 결과에 따른 고유 취약점 수는 △Open5GS 2354건 (탐지 29건) △srsRAN 2604건 (탐지 22건) △Amarisoft 672건 탐지 (16건) △Nokia 2523건 (탐지 59건)이다.
연구팀은 해당 취약점들이 네트워크 정보를 망가뜨려 재접속을 거부하는 ‘서비스 거부’와 휴대폰 유심에 저장된 이융자 고유 식별번호(IMSI)를 평문으 재전송하는 ‘IMSI 노출’, 이미 알고 있는 영구 식별번호를 이용해 재접속 신호를 포착해 ‘사용자 위치 추적’으로 이어질 수 있음을 증명했다. 또, 이러한 취약점은 피해자와 같은 MME(LTE 중앙관제 기지국) 관할 지역이면 어디서든 원격으로 영향을 줄 수 있어 광범위한 공격이 가능하다고 경고했다.
김용대 KAIST 교수는 “그동안 업링크 보안은 코어 네트워크 테스트의 어려움과 구현 다양성 부족, 규제 제약 등으로 인해 상대적으로 소홀히 다뤄졌다”며 “컨텍스트 무결성 침해는 심각한 위험을 초래할 수 있다”고 말했다.
이어 그는 “이번 연구에서 개발한 CITesting 도구와 검증 결과를 바탕으로 5G 및 프라이빗 5G 환경으로 검증 범위를 확대할 계획”이라며 “산업·인프라용, 프라이빗 5G망에서는 탱크 통신 차단이나 IMSI 노출과 같은 치명적 보안 위협을 예방하기 위한 필수 테스트 도구로 발전시켜 나가겠다”고 말했다.
한편, 연구팀은 취약점을 벤더별로 책임감 있게 공개해 아마리소프트(Amarisoft)는 패치를 배포하고 Open5GS는 연구팀 패치를 공식 저장소에 통합했으나, 노키아(Nokia)는 3GPP 표준을 준수한다며 취약점으로 보지 않아 패치 계획이 없다고 밝혔다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
