네트워크

“5G 핵심 기술 ‘네트워크 슬라이싱’, 공격에 취약할 수 있다”

Maria Korolov and Alex Korolov | Network World 2023.06.02
5G는 속도 향상, 지연 시간 단축, 훨씬 더 많은 수의 커넥티드 기기 지원을 보장한다. 하지만 기기와 새로운 애플리케이션의 증가로 공격 표면이 확장돼, 악의적인 행위자가 보안 허점을 활용할 새로운 기회도 제공할 것이다. 또 다른 신기술과 마찬가지로, 기업이 5G를 대규모로 구축하고 보호하는 방법을 익히는 동안 잘못된 구성, 오류, 패치되지 않은 취약점이 발생할 가능성이 매우 높다.

글로벌데이터와 노키아의 2022년 11월 설문조사 결과에 따르면 전 세계 통신 서비스 업체의 약 75%가 지난 1년 동안 최대 6건의 5G 네트워크 보안 침해를 경험했다고 말했다. 전체 응답자의 절반은 고객 데이터가 유출되는 공격을 경험했다고 밝혔으며, 거의 4분의 3은 공격으로 인해 서비스가 중단되었다고 답했다.

하지만 5G 네트워크는 이전 네트워크에 비해 뛰어난 보안 이점을 가지고 있으며, 그중 하나는 ‘네트워크 슬라이싱(network slicing)’, 즉 단일 물리적 인프라 위에서 네트워크를 여러 가상 네트워크로 세분화하는 기능이다. 각 네트워크는 고유한 구성, 성능 매개변수, 서비스 품질을 가질 수 있다. 이를 통해 서로 다른 애플리케이션이 동일한 물리적 인프라를 공유할 수 있을 뿐만 아니라 추가적인 격리 및 보안 계층을 제공해 공격자의 움직임을 방해한다.
 
ⓒGetty Images Bank

IT 서비스 업체 인사이트(Insight)의 서비스 관행 개발 부문 매니저 더그 가토에 따르면 “5G는 4G 기술에 많은 기술 혁신과 개선 사항을 가져왔지만, 가장 중요한 기술 중 하나가 네트워크 슬라이싱이다. 보안이 가장 큰 이점이고, 공격을 하나의 슬라이스로 격리해 사이버 공격의 영향을 크게 줄일 수 있다.” 

가토는 하지만 잘못 구성된 5G 네트워크 슬라이스는 서비스 거부 공격, 중간자 공격, 기본 구성 공격 등 여러 위협에 취약하다고 언급했다. 또 슬라이스가 제대로 설계되지 않으면 공격자가 한 슬라이스에서 다른 슬라이스로 이동할 수도 있다고 덧붙였다. 가토는 이 위협이 비교적 새로운 것이고 특정 침해에 관한 공개 데이터는 아직 보지 못했지만, 이런 종류의 공격이 이미 일어나고 있다고 말했다. 

게다가 5G 네트워크 슬라이싱이라는 개념도 매우 새로운 것이다. 이를 위해서는 통신사가 기존 4G LTE 네트워크에 5G 계층을 추가하는 대신, 독립형 5G를 구축해야 한다. 이런 인프라가 널리 보급되고 있으며, 통신사는 이제 막 슬라이싱을 실험하기 시작했다. 예를 들면 지난 2월 싱텔(Singtel)은 ‘앞으로 몇 달 안에’ 사용할 수 있는 5G 슬라이스 보안(slice-as-a-slice) 기능을 공개했다. 또 같은 달 에릭슨(Ericsson)은 5G 슬라이싱을 ‘단기적인 기회’라고 부르는 보고서를 발표했다. 이어 3월 버라이즌(Verizon)의 공공 부문 관리 파트너 브라이언 스크롬스키는 버라이즌이 올해 말 네트워크 슬라이싱을 구현할 계획이라고 밝혔다.

하지만 지난 12월 미국 국가안보국(NSA)과 사이버보안 및 인프라 보안국(CISA)이 경고를 발표하고, 이런 위험을 완화하기 위한 조언을 제공했을 정도로 5G 네트워크 슬라이스를 둘러싼 보안 위험은 심각하다. 보안 문제는 개별 슬라이스에 대한 공격에만 국한되지 않으며, 네트워크가 보호되는 자산이 아니면 슬라이스 간에 교차할 수도 있다고 당국은 지적했다. 보고서에 의하면 “잘못된 네트워크 슬라이스 관리로 인해 악의적인 행위자가 다른 네트워크 슬라이스의 데이터에 액세스하거나, 우선순위가 지정된 사용자의 액세스를 거부할 수 있다.”

딜로이트(Deloitte)와 버지니아 공대(Virginia Tec)의 연구진은 최근 개념증명 테스트를 수행했고, 실제로 측면 이동이 가능하다는 것을 증명했다. 딜로이트의 부사장 압둘 라만은 “특정 기기가 하나의 네트워크 슬라이스에 연결돼 있다고 가정할 때, 구글에서 공급업체 웹 사이트를 검색해 기본 사용자 이름과 비밀번호가 무엇인지 알아낸 다음, 네트워크 내의 다른 지점에서 해당 사용자 이름과 암호를 시도하는 스크립트를 작성하기만 하면 된다”라고 전했다. 

그다음 초기 슬라이스가 손상되면 해당 액세스를 사용해 다른 네트워크 슬라이스로 이동하고 다른 고객이 사용하는 데이터 또는 기기를 손상시킬 수 있다는 설명이다. CISA 보고서에 따르면 3대 5G 네트워크 슬라이스 위협은 서비스 거부(DoS) 공격, 기본 구성 공격, 중간자 공격이다.
 

DoS 공격은 여러 슬라이스 간 서비스를 저하시킬 수 있다

DoS 공격은 악의적인 행위자가 네트워크나 중요한 애플리케이션 또는 구성 요소에 트래픽을 폭증시켜 동일한 슬라이스를 사용하는 모든 기기의 서비스를 중단시킨다. 올해 초 ENEA 어댑티브모바일 시큐리티(ENEA AdaptiveMobile Security)가 발표한 보고서에 따르면 5G 네트워크에 대한 서비스 거부 공격은 오늘날의 접근 방식과 기술로는 완화할 수 없다.

네트워크 슬라이스를 사용하면 DoS 공격의 영향을 개별 네트워크 세그먼트로 격리해 공격 범위를 줄일 수 있지만, 인프라가 적절하게 구성됐을 때만 가능하다. 하지만 일부 유형의 공격은 적절한 예방 조치를 취하지 않으면 다른 슬라이스로 확산될 수 있다. 예를 들면 맬웨어가 5G 네트워크에 연결된 IoT 기기를 손상시키고 네트워크에 메시지를 폭주시키면 동일한 스펙트럼이나 기타 물리적 리소스를 공유하는 모든 네트워크 슬라이스의 신호 품질이 저하될 수 있다.

또 다른 가능성은 악성 모바일 엣지 컴퓨팅 애플리케이션이 한 슬라이스를 감염시키고, 가짜 연산 집약적 작업을 생성하기 시작할 수 있다는 점이다. 이 작업은 엣지 컴퓨팅 리소스를 소모하며 맬웨어가 컴퓨팅 리소스 분할 정책을 우회할 수 있는 경우, 동일한 엣지 컴퓨팅을 공유하는 다른 모든 슬라이스의 성능에 영향을 미칠 수 있다. 

딜로이트와 버지니아 공대는 4월 5G 네트워크에 관한 서비스 거부 공격 벡터를 요약한 보고서를 발표했다. 딜로이트의 5G 및 엣지 부문 전문가 리더 셰하디 데이예크는 “연구실 환경 내에서 통제된 연구였지만, 현실성이 있다. 또한 두 슬라이스에서 모두 사용하는 공통 인프라에 리소스 제약을 가할 수 있다”라면서, “아울러 네트워크 설계자는 각 슬라이스에 모든 네트워크 기능을 복제하고 싶지 않을 수 있기 때문에 특정 네트워크 기능 공격이 해당 기능을 사용하는 모든 슬라이스에 영향을 미칠 수도 있다”라고 말했다.

또한 모든 슬라이스가 사용해야 하는 공유 리소스도 있다. 예를 들면 한 통신사가 5G 네트워크 슬라이스를 사용해 동일한 지역의 여러 기업 고객에게 사설 네트워크를 제공한다고 해보자. 데이예크는 “결국 하나의 기지국을 활용해 여러 고객에게 서비스를 제공하게 될 것이다. 모든 개별 고객에 기지국을 복제할 수는 없다. 따라서 특정 공유 리소스가 손상되면 다른 고객에도 영향을 미치게 된다”라고 설명했다.
 

구성 공격은 광범위한 침해를 초래할 수 있다

데이예크는 동일한 공유 리소스를 통해 맬웨어가 슬라이스 간에 확산될 기회도 제공할 수 있다고 언급했다. 예를 들면 네트워크 기능에서 공통 서버 집합을 사용해 서로 다른 네트워크 슬라이스에 있는 서로 다른 고객의 서로 다른 기기 유형에 서비스를 제공할 수 있다. 이때 한 고객의 IoT 기기는 다른 고객의 커넥티드 차량과 동일한 네트워크 기능 및 기본 인프라에 액세스해야 할 수 있다. 데이예크는 “완전히 다른 산업과 다른 고객이지만 동일한 네트워크 기능을 가진 동일한 컴퓨팅 노드에서 서비스를 받는다”라며, “IoT 기기 내에 공격자가 악용할 수 있는 취약성이 있다면 동일한 네트워크 기능을 통해 연결된 다른 기기에 맬웨어를 푸시할 수 있다”라고 전했다.

이어 데이예크는 “IoT 기기는 악명 높은 보안 위험 요소다. 대부분 오래된 데다가, 펌웨어 역시 오래돼 패치되지 않은 경우가 많아서다”라면서, “하지만 다른 네트워크 구성 요소도 기본 사용자 이름과 비밀번호를 사용하거나 패치되지 않은 취약점을 가지고 있을 수 있다”라고 지적했다 

CISA에 따르면 구성 공격은 광범위한 악영향을 미칠 수 있다. 악의적인 행위자는 동일한 네트워크 슬라이스에 있는 다른 사용자의 데이터를 훔칠 수 있지만, 공유 구성 요소 액세스 방식에 취약점이 있는 경우 공격자는 다른 슬라이스에도 액세스할 수 있다. CISA는 “가상화된 아키텍처에서는 이런 네트워크를 통과하는 트래픽 유형을 탐지 및 인식하고, 새로운 위협을 완화하기가 더 어려워진다”라고 경고했다.
 

중간자 공격은 데이터를 위험에 빠뜨린다

CISA에 의하면 5G 네트워크 슬라이스는, 공격자가 두 네트워크 참여자 간의 암호화되지 않은 대화 중간에 끼어드는 중간자 공격에 취약하다. 여기서 공격자는 두 사람의 대화를 엿듣고 데이터를 훔치거나, 손상된 데이터를 전달하거나, 통신을 종료하거나 느리게 만들 수 있다. CISA는 “악의적인 행위자가 메시지 내용을 수정해 잘못된 정보나 허위 정보를 제공할 수 있기 때문에 위험하다”라고 언급했다. 
 

네트워크 슬라이스를 보호하는 방법

CISA에 따르면 네트워크 슬라이스 보안의 2가지 핵심은 ▲ZTA(Zero Trust Architecture)와 ▲지속적인 모니터링이다. ZTA는 다중 계층 보안, 암호화, 격리와 함께 개별 슬라이스 내 및 여러 슬라이스에 걸친 공격에서 데이터와 시스템을 보호할 수 있다. 모니터링은 악의적인 활동을 탐지할 수 있지만, 많은 도구가 악의적인 공격이 아닌 성능에 초점을 맞추고 있다고 당국은 경고했다. 

가토는 “네트워크 사업자는 성능 모니터링과 서비스 품질 모니터링을 원한다. 하지만 실제 네트워크 로직을 모니터링해 악의적인 행위자로부터 네트워크를 보호할 수 있는 컨트롤 플레인 모니터링이 필요하다”라고 말했다. 아울러 이상 탐지 및 침입 방지 시스템도 고려해야 한다고 가토는 덧붙였다. 이런 시스템은 위험한 행동을 식별하고 차단할 수 있다는 설명이다.

데이예크는 네트워크 보안은 가시성 확보에서 시작된다고 권고했다. “인프라의 위치를 파악하고, 각 구성 요소가 어떤 리소스를 사용하는지 파악하며, IoT 기기를 추적하고, 알려진 기기이든 알 수 없는 장치이든 연결된 기기를 추적할 수 있어야 한다. 가시성이 확보되면 연결 보안과 관련된 정책과 규칙을 적용할 수 있다”라고 데이예크는 설명했다. 

하지만 쿠버네티스 서비스의 확장 및 배포 그리고 통신 기능의 컨테이너화된 배포는 통신사에게 도전 과제가 되고 있다고 데이예크는 언급했다. 이어 “네트워크 트래픽과 액세스에 대한 가시성과 제어 역량을 갖추는 것이 점점 더 어려워지고 있으며, 가시성, 탐지 및 대응의 복잡성을 가중시키고 있다. 특히 매일 수백 대 또는 수천 대의 새로운 기기가 네트워크에 접속하는 상황에서는 더욱 그렇다”라고 전했다. 

마지막으로 예방 조치가 실패할 경우를 대비한 계획을 세워야 한다. 공격이 발생했을 때를 대비하는 것이 중요하다고 데이예크는 강조하면서, “어떤 것이 다운됐을 때 어떻게 대처할 계획인가? 네트워크의 추가 손상을 제어하고 방지할 방법이 있어야 한다”라고 말했다.  
 

실제 공격은 아직 드러나지 않았다

데이예크는 딜로이트가 주요 클라우드 하이퍼스케일러에 연결된 연구소 환경에서 테스트를 실행한다고 밝혔다. “IoT 장치에는 여러 가지 취약점, 개방형 포트, 오래된 소프트웨어가 있을 수 있다. 주요 조직은 현시점에서 우선 무엇이 연결돼 있는지 완전한 가시성을 확보하지 못하고 있다는 게 분명하다”라고 데이예크는 말했다. 데이예크는 “실제로 취약한 슬라이스 타깃의 공격이 성공한 사례는 아직 보지 못했지만, 이런 (취약한) 슬라이스가 존재한다고 확신하며, 위에서 설명한 동일한 취약점이 적용된다고 본다”라고 언급했다. 

가토 역시 네트워크 슬라이스가 성공적으로 공격당했다는 공개 데이터를 본 적은 없지만, “아마도 공격이 일어나고 있을 수 있다”라면서, “한 가지 희망은 단기적으로 셀룰러 기술이 작동하는 방식 때문에 네트워크 슬라이싱 공격이 행해지기가 더 어려워질 것이라는 점이다. 일반적으로 5G는 개방돼 있는 와이파이와 달리, 기본적으로 보안이 설정돼 있기 때문에 손상되기가 더 어려울 것”이라고 전했다. 와이파이에서는 네트워크에 접속하기 위해 비밀번호 또는 일종의 보안 인증서 교환만 있으면 되지만, 5G에서는 네트워크 또는 네트워크 슬라이스에 접속하기 위해 물리적 심카드나 eSim이 필요하다고 가토는 설명했다. 

글로벌 사이버 보안 업체 소포스(Sophos)의 응용 연구 분야 CTO 체스터 위스니에우스키는 공격 자체가 성공하려면 상당히 복잡해야 한다고 말했다. 위스니에우스키는 “현재까지 국가를 제외하고는 이런 공격을 효과적으로 수행할 자원을 가진 곳이 거의 없다”라고 말했다.

그렇지만 위스니에우스키는 주의를 촉구했다. 위스니에우스키는 “미션 크리티컬 애플리케이션에 5G를 채택하는 경우, 5G가 항상 사용할 수 있고 해킹이 불가능할 것이라고 가정해서는 안 된다. 공용 네트워크를 통해 통신하는 기기와 마찬가지로 기기는 항상 암호화를 사용하고, 통신하기 전에 클라이언트와 서버 ID를 모두 확인해야 한다”라고 조언했다. 
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.