2020.02.25

5G 보안 문제··· 디지털 인증서로 해결할 수 있을까?

Cynthia Brumfield | CSO
차세대 이동통신 기술인 5G가 세계적으로 도입되기 시작했다. 하지만 빠른 속도와 향상된 서비스라는 이점이 부각돼 이 차세대 이동통신 기술의 보안 문제가 간과되고 있다. 이동통신 기술표준 기구인 3GPP가 최근 내놓은 규격에 구체화된 데이터 암호화, 인증, 프라이버시의 향상 등 5G에서 보안 문제가 개선됐으나 해결되지 않은 문제도 존재한다. 
 
ⓒGetty Images Bank

현재 5G 보안 우려는 트럼프 행정부가 미국의 차세대 네트워크로부터 중국의 IT대기업인 화웨이의 기술을 배제하려는 적대적 움직임에서 가장 잘 드러났다. 미국 정부는 유럽 및 여타 동맹국이 화웨이를 기피하도록 유도하고 있지만, 이러한 노력의 성과는 제한적이었다. 화웨이에 대한 제재는 화웨이가 중국 정부의 요구에 응해 감시 기능을 자신의 기술에 숨겨둘 수 있고, 아니라면 중국 정부를 위해 감시 활동을 할 수 있다는 우려에서 비롯됐다. 그렇다면 5G는 시작부터 보안과 완전히 거리가 멀어지는 것이다. 

5G에서 해결되지 않은 기존 이동통신 기술의 취약점 
전문가들은 5G 기술 보안 문제를 경고해왔다. 로저 피쿼라스 조버는 올해 슈무콘 컨퍼런스(Shmoocon conference)에서 보안 문제를 거론했다. 일부 IT기업이 5G가 안전하다고 선전하는 것과 달리, 전문가들은 5G가 시작되기도 전에 문제를 지적하고 있는 것이다(조버는 블룸버그 L.P.의 CTO 사무국에서 보안 엔지니어로 일하고 있지만, 가외로 모바일 기술을 연구하고 있다. 그의 모바일 기술 분석은 블룸버그의 견해를 반영하지 않는다). 

그는 자신의 프레젠테이션에서, 그리고 이후 이어진 <CSO>와의 인터뷰에서, 이전 세대의 모바일 기술의(GSM, 4G, LTE) 고질적 문제들이 5G 표준 및 계획에서 전혀 해결되지 않았다고 지적했다. 특히 기지국과 이동통신 타워 사이의 이른바 사전 인증 메시지를 중간에서 가로채는 능력은 5G 규격과 제안 아키텍처에서도 여전히 존재하고, 공격자는 메시지를 간단히 가로챌 수 있다. 

조버는 <CSO>에게 “이동통신에서 이용자 스마트폰은 타워에서 나오는 방송 메시지를 수신한다. 3G, 4G, 5G 모두 마찬가지다. 타워가 ‘내가 통신사다’라는 메시지를 보내는 것이다. 그런데 이를 검증할 수 있는 암호적 방식이 없고, 따라서 이를 암묵적으로 신뢰할 수밖에 없다”라고 말했다. 

통신사는 암호적 핸드세이크와 함께 메시지의 라우팅을 시작한다. 여전히, 인증 전 단계에서, “이용자가 암묵적으로 신뢰하는 메시지들이 양방향으로 교환된다. 이용자는 실제 통신사와 커뮤니케이션 하고 있다고 믿고, 통신사는 스마트폰과 커뮤니케이션하고 있다고 믿는 것이다”라고 조버는 지적했다. 

이렇게 보호되지 않은 메시지를 이용해 악의적인 사람들은 무엇이든 할 수 있다. LTE와 5G 표준은 이러한 세계적인 모바일 가입자 신원 절취를 차단하기 위해 개발되었다. 5G 기술 용어로는 SUPI 공격(Subscription Permanent Identifier attacks)이라는 것이다. 그런데 이들은 선택적 기능이다. 조버는 선택적 기능은 전혀 이행되지 않는 것이 보통이라고 밝혔다. 

디지털 인증서 해법 
조버에 따르면 이 문제에 대한 한가지 해법은 매우 확실하다. 5G에 디지털 인증서를 구현하고, 여기에 접속이 암호 기술을 이용하고 있음을 표시하는 표현자를 추가하는 것이다. 조버는 “인증서는 10년 넘게 사용된 매우 성숙한 기술이다. 이를 사용하지 않을 이유가 있는가?”라면서 “나는 주소 표시줄에 HTTPS 잠금 아이콘이 있다면 신용카드를 입력하는데 개인적으로 거부감이 없다”라고 이야기했다. 암호화 접속을 의미하기 때문이다. 

조버는 “디지털 인증서에 의해 기기가 실제로 기지국과 통신하고 있음을 암호적으로 검증할 수 있다”라고 말했다. 또한 인증서는 부적절한 출처 내지 위치로부터의 사이트를 배제하는 데에도 유용하다. 그는 “디지털 인증서를 이용하면 신뢰성 있는 인증기관을 매우 쉽게 판별할 수 있다”라고 덧붙였다. 

조버는 몇 가지 문제가 없지 않다고 지적했다. 첫째, 그가 슈무콘에서 인정한 것처럼, “이는 세계 수준의 표준 작업이 필요하다.” 현재 5G 표준에 이런 종류의 암호 인증이 없기 때문이다. 둘째, 과거에 신뢰되었지만, 현재는 파기된 인증서를 사전에 차단할 방법이 스마트폰에 없다. 이용자가 이통사에 실제로 접속할 때까지 인터넷에 접근할 수 없기 때문이다. 

하버드 케네디 스쿨의 암호 전문가인 브루스 슈나이어(Bruce Schneier)는 <CSO>에게 “5G 네트워크에 디지털 인증서를 도입한다면 유익하겠지만, 5G에는 수많은 문제가 있고, 이는 그 가운데 하나일 뿐이다”라고 말했다. 
 
인증서만으로 5G 신뢰성 문제를 해결하지 못한다 
슈나이어는 조버의 연구를 검토했다고 말했지만, 5G를 전개하는 데에는 그 외에도 훨씬 더 크고 더 중요한 보안 문제들이 있다고 주장했다. 슈나이어는 “인증되지 않은 메시지를 식별하는 인증서 시스템만으로 ‘신뢰’ 문제가 해결되지 않는다. 화웨이가 자신의 칩에 백도어를 심어 놓는다는 우려가 있다. 이는 인증되지 않은 메시지와 아무 관계가 없는 신뢰 문제다”라고 설명했다. 

조버와 슈나이어가 인정하는 것처럼, 보안 문제는 5G 프로토콜 스택의 다양한 계층에 산적해 있다. 두 사람은 퍼듀대학교와 아이오와대학교의 연구원들이 내놓은 5G리즈너 제안(5GReasoner proposal)을 지지하는 듯하다. 이는 5G를 둘러싼 복합적이고, 응용 분야에 따른 문제를 처리하는 프레임워크이다. 조버는 <CSO>에게 “이는 이동통신 역사상 최고의 연구다”라고 평가했다. 

슈나이어는 <CSO>에게 “현실은 아무도 5G 보안을 원하지 않는다는 것이다. 정부는 5G의 감시 활동을 좋아한다. 이통사는 별로 신경 쓰지 않는다. 이들은 법을 준수할 뿐이다”라고 말했다. 

슈나이어에 따르면 4G로부터 넘어온 취약점 가운데 많은 것이 정부가 배치한 것이거나, 최소한 표준 제정 기구인 ITU가 교정하지 않은 것이다. 간단히 말해, 5G 보안을 위해 근본적 수준에서 무언가를 하기에는 이미 늦은 시점이다. 그렇다면 6G에서 보안 문제가 해결될 때까지 기다려야 한다. 대다수 전문가에 따르면 6G는 2030년경에 상업적으로 전개될 전망이다. ciokr@idg.co.kr



2020.02.25

5G 보안 문제··· 디지털 인증서로 해결할 수 있을까?

Cynthia Brumfield | CSO
차세대 이동통신 기술인 5G가 세계적으로 도입되기 시작했다. 하지만 빠른 속도와 향상된 서비스라는 이점이 부각돼 이 차세대 이동통신 기술의 보안 문제가 간과되고 있다. 이동통신 기술표준 기구인 3GPP가 최근 내놓은 규격에 구체화된 데이터 암호화, 인증, 프라이버시의 향상 등 5G에서 보안 문제가 개선됐으나 해결되지 않은 문제도 존재한다. 
 
ⓒGetty Images Bank

현재 5G 보안 우려는 트럼프 행정부가 미국의 차세대 네트워크로부터 중국의 IT대기업인 화웨이의 기술을 배제하려는 적대적 움직임에서 가장 잘 드러났다. 미국 정부는 유럽 및 여타 동맹국이 화웨이를 기피하도록 유도하고 있지만, 이러한 노력의 성과는 제한적이었다. 화웨이에 대한 제재는 화웨이가 중국 정부의 요구에 응해 감시 기능을 자신의 기술에 숨겨둘 수 있고, 아니라면 중국 정부를 위해 감시 활동을 할 수 있다는 우려에서 비롯됐다. 그렇다면 5G는 시작부터 보안과 완전히 거리가 멀어지는 것이다. 

5G에서 해결되지 않은 기존 이동통신 기술의 취약점 
전문가들은 5G 기술 보안 문제를 경고해왔다. 로저 피쿼라스 조버는 올해 슈무콘 컨퍼런스(Shmoocon conference)에서 보안 문제를 거론했다. 일부 IT기업이 5G가 안전하다고 선전하는 것과 달리, 전문가들은 5G가 시작되기도 전에 문제를 지적하고 있는 것이다(조버는 블룸버그 L.P.의 CTO 사무국에서 보안 엔지니어로 일하고 있지만, 가외로 모바일 기술을 연구하고 있다. 그의 모바일 기술 분석은 블룸버그의 견해를 반영하지 않는다). 

그는 자신의 프레젠테이션에서, 그리고 이후 이어진 <CSO>와의 인터뷰에서, 이전 세대의 모바일 기술의(GSM, 4G, LTE) 고질적 문제들이 5G 표준 및 계획에서 전혀 해결되지 않았다고 지적했다. 특히 기지국과 이동통신 타워 사이의 이른바 사전 인증 메시지를 중간에서 가로채는 능력은 5G 규격과 제안 아키텍처에서도 여전히 존재하고, 공격자는 메시지를 간단히 가로챌 수 있다. 

조버는 <CSO>에게 “이동통신에서 이용자 스마트폰은 타워에서 나오는 방송 메시지를 수신한다. 3G, 4G, 5G 모두 마찬가지다. 타워가 ‘내가 통신사다’라는 메시지를 보내는 것이다. 그런데 이를 검증할 수 있는 암호적 방식이 없고, 따라서 이를 암묵적으로 신뢰할 수밖에 없다”라고 말했다. 

통신사는 암호적 핸드세이크와 함께 메시지의 라우팅을 시작한다. 여전히, 인증 전 단계에서, “이용자가 암묵적으로 신뢰하는 메시지들이 양방향으로 교환된다. 이용자는 실제 통신사와 커뮤니케이션 하고 있다고 믿고, 통신사는 스마트폰과 커뮤니케이션하고 있다고 믿는 것이다”라고 조버는 지적했다. 

이렇게 보호되지 않은 메시지를 이용해 악의적인 사람들은 무엇이든 할 수 있다. LTE와 5G 표준은 이러한 세계적인 모바일 가입자 신원 절취를 차단하기 위해 개발되었다. 5G 기술 용어로는 SUPI 공격(Subscription Permanent Identifier attacks)이라는 것이다. 그런데 이들은 선택적 기능이다. 조버는 선택적 기능은 전혀 이행되지 않는 것이 보통이라고 밝혔다. 

디지털 인증서 해법 
조버에 따르면 이 문제에 대한 한가지 해법은 매우 확실하다. 5G에 디지털 인증서를 구현하고, 여기에 접속이 암호 기술을 이용하고 있음을 표시하는 표현자를 추가하는 것이다. 조버는 “인증서는 10년 넘게 사용된 매우 성숙한 기술이다. 이를 사용하지 않을 이유가 있는가?”라면서 “나는 주소 표시줄에 HTTPS 잠금 아이콘이 있다면 신용카드를 입력하는데 개인적으로 거부감이 없다”라고 이야기했다. 암호화 접속을 의미하기 때문이다. 

조버는 “디지털 인증서에 의해 기기가 실제로 기지국과 통신하고 있음을 암호적으로 검증할 수 있다”라고 말했다. 또한 인증서는 부적절한 출처 내지 위치로부터의 사이트를 배제하는 데에도 유용하다. 그는 “디지털 인증서를 이용하면 신뢰성 있는 인증기관을 매우 쉽게 판별할 수 있다”라고 덧붙였다. 

조버는 몇 가지 문제가 없지 않다고 지적했다. 첫째, 그가 슈무콘에서 인정한 것처럼, “이는 세계 수준의 표준 작업이 필요하다.” 현재 5G 표준에 이런 종류의 암호 인증이 없기 때문이다. 둘째, 과거에 신뢰되었지만, 현재는 파기된 인증서를 사전에 차단할 방법이 스마트폰에 없다. 이용자가 이통사에 실제로 접속할 때까지 인터넷에 접근할 수 없기 때문이다. 

하버드 케네디 스쿨의 암호 전문가인 브루스 슈나이어(Bruce Schneier)는 <CSO>에게 “5G 네트워크에 디지털 인증서를 도입한다면 유익하겠지만, 5G에는 수많은 문제가 있고, 이는 그 가운데 하나일 뿐이다”라고 말했다. 
 
인증서만으로 5G 신뢰성 문제를 해결하지 못한다 
슈나이어는 조버의 연구를 검토했다고 말했지만, 5G를 전개하는 데에는 그 외에도 훨씬 더 크고 더 중요한 보안 문제들이 있다고 주장했다. 슈나이어는 “인증되지 않은 메시지를 식별하는 인증서 시스템만으로 ‘신뢰’ 문제가 해결되지 않는다. 화웨이가 자신의 칩에 백도어를 심어 놓는다는 우려가 있다. 이는 인증되지 않은 메시지와 아무 관계가 없는 신뢰 문제다”라고 설명했다. 

조버와 슈나이어가 인정하는 것처럼, 보안 문제는 5G 프로토콜 스택의 다양한 계층에 산적해 있다. 두 사람은 퍼듀대학교와 아이오와대학교의 연구원들이 내놓은 5G리즈너 제안(5GReasoner proposal)을 지지하는 듯하다. 이는 5G를 둘러싼 복합적이고, 응용 분야에 따른 문제를 처리하는 프레임워크이다. 조버는 <CSO>에게 “이는 이동통신 역사상 최고의 연구다”라고 평가했다. 

슈나이어는 <CSO>에게 “현실은 아무도 5G 보안을 원하지 않는다는 것이다. 정부는 5G의 감시 활동을 좋아한다. 이통사는 별로 신경 쓰지 않는다. 이들은 법을 준수할 뿐이다”라고 말했다. 

슈나이어에 따르면 4G로부터 넘어온 취약점 가운데 많은 것이 정부가 배치한 것이거나, 최소한 표준 제정 기구인 ITU가 교정하지 않은 것이다. 간단히 말해, 5G 보안을 위해 근본적 수준에서 무언가를 하기에는 이미 늦은 시점이다. 그렇다면 6G에서 보안 문제가 해결될 때까지 기다려야 한다. 대다수 전문가에 따르면 6G는 2030년경에 상업적으로 전개될 전망이다. ciokr@idg.co.kr

X