2024-03-29 07:45 (금)
카이스트, 이동통신 보안취약점 점검 툴 개발...51개 취약점 공개
상태바
카이스트, 이동통신 보안취약점 점검 툴 개발...51개 취약점 공개
  • 길민권 기자
  • 승인 2019.01.07 17:21
이 기사를 공유합니다

김용대 교수 "LTEFuzz 확장해 다양한 잠재적 버그들 발견할 수 있도록 작업중"

▲ 테스트 케이스. 카이스트 제공.
▲ 테스트 케이스. 카이스트 제공.
카이스트 시스템보안연구실(김용대 교수)은 전기 전자 기술자 협회(IEEE)에 'Dynamic Security Analysis of the LTE Control Plane’ 논문을 발표하고 이번에 개발한 점검툴 ‘LTEFuzz’을 활용해 LTE에서 생길 수 있는 51개 보안취약점을 공개했다.

해당 연구실은 이동통신사를 통해 해당 테스트 결과를 베이스밴드 칩셋 벤더사와 네트워크 장비 벤더사에 보고했다. 사양 문제로 인해 발생한 공격에 대해서는 3GPP, GSA의 Coordinated Vulnerability Discolsure programme, 사기 및 보안 그룹 등에 보고를 완료한 상태다.

김용대 교수는 "이번 연구를 통해 업링크와 다운링크방향 모두에서 동적 테스트 방법을 기반으로 LTE 네트워크 운영상의 Control Plane(제어 평면) 절차에서 발생할 수 있는 잠재적 문제를 조사했다. LTE 코어 네트워크와 베이스밴드 칩셋이 예외 케이스에서 정확하게 처리되는지 여부를 확인하는 것"이라며 "이를 위해 3GPP(3rd Generation Partnership Project)표준 규칙을 지키지 않는 LTE 메시지를 생성하고, 테스트 대상인 코어 네트워크와 베이스밴드의 응답을 검증했다. 그 결과, 셀룰러 네트워크에서 예외 처리가 올바르게 이루어지지 않았다는 결론을 내렸다"고 설명했다.

이번 테스트 과정은 다음과 같다.

이동통신사에서 활용할 수 있는 보안점검툴인 ‘LTEFuzz’의 접근 방식은 반자동 방식으로 동적 보안 테스트를 수행하기 위한 세가지 주요 단계로 구성된다.

먼저, 보안 속성 추출 단계다. 보안 측면에 초점을 맞춰 제어 평면 절차의 LTE 표준을 광범위하게 분석한다. 분석을 바탕으로, 네트워크와 모바일 기기가 알려지지 않은 보안 위협에도 보호될 수 있도록 세가지 보안 속성을 만든다.

두번째는 테스트 케이스 생성 및 실행이다. 제어 평면 요소가 보안 속성을 위반하는 상황을 식별하기 위한 테스트 케이스들을 생성한다. 테스트 케이스는 대상 프로토콜 메시지의 지정된 규칙과 각 속성의 필드들을 기반으로 생성된다. 그 후, 오픈소스 LTE 구현(업링크의 경우 srsLTE, 다운링크의 경우 openLTE)을 활용해 타깃 네트워크 구성 요소에 테스트 케이스를 보낸다.

세번째 단계는 문제가 있는 행위 분류와 공격 시나리오 구성이다. 테스트 사례를 실행할 때, 모바일 장치 측면에서 어떤 반응과 상태 변화가 문제 행위로 분류되는지를 결정해야한다. 이를 위해 간단한 결정 트리로직을 구현했다. 해당 모델은 테스트 케이스가 실행되었을 때 기기 측면에서의 제어 플레인 로그와 상태만을 고려한다.

테스트 결과, 2개의 이동통신사와 상용 모바일 기기에 대한 동적 테스트를 통해 서로 다른 타깃 네트워크 구성 요소와 장치 벤더사에서 총 51개 취약점을 발견했다.

새로운 취약점 36개와 기존에 알려진 취약점 15개다. 발견한 취약점은 아래 5가지 유형으로 분류할 수 있다.

1)비보호 초기 제어 평면 절차

2) 조작된 일반 요청(plain request)의 부적절한 처리

3) 무결성으로 보호된 메시지의 부적절한 처리

4) 재생된 메시지의 부적절한 처리

5) 필수 보안 절차 우회

이번 카이스트의 연구 결과는 △단일 이동통신사 내에서도 두개의 코어 네트워크 구성 요소들(서로 다른 벤더사 가능)이 다른 취약점을 가지고 있다는 것 △그리고 단일 벤더사의 두개 코어 네트워크 구성 요소들(서로 다른 두개의 이동통신사)가 다른 취약점을 가지고 있다는 점에서 흥미로운 결과물이다.

아래 도표는 이번 연구 결과 요약표다. 속성 1-1 연구 결과는 사양(표준) 문제이고, 1-2, 2-1, 2-2, 2-3에 속하는 문제는 구성 요소의 구현및 구성 결함으로 발생한다.

속성 1-1은 명세에 의해 허용된 평문 메시지가 공격자에게 악용될 수 있는지 여부를 확인한다.

속성 1-2는 메시지의 무결성 보호가 필요하다는 명세에도 평문 메시지가 수용되는지 여부를 확인한다.

속성 2-1은 수신 엔티티가 수신된 메시지의 무결성을 올바르게 확인하는지 검사한다.

속성 2-2는 수신 엔티티가 이전 시퀀스 넘버를 가진 메시지를 허용하는지 검사한다.

속성 3은 공격자가 인증,보안 모드 명령 프로시저와 같은 필수 보안 절차를 우회할 수 있는지를 확인한다.

아래 표에서 B는 양성 경우, FLU는 잘못된 위치 업데이트, P는 플레인(일반), I는 유효하지 않은 MAC, R은 재연(replay)을 의미한다.

KIM-55-1.jpg
◇이번 취약점을 통해 가능한 공격

공격자가 해당 취약점들을 알고 있다면 다음과 같은 공격을 수행할 수 있다.

-BTS 자원 고갈 공격: 셀의 연결 자원을 고갈시킴

-블라인드 DoS 공격: 사용자 연결 정보를 조작, 들어오는 서비스를 블락

-원격 등록 취소 공격: 정상적인 사용자 차단

-SMS 피싱 공격: 스푸핑된 SMS 메시지를 보내기

-AKA 우회 공격: 사용자 데이터 트래픽을 도청하고 조작가능

공격자는 LTE 네트워크에 연결하기 위해 어떠한 유효한 폰이나 다른 사용자의 암호화 키도 필요하지 않다. 대신 작동하는 LTE 네트워크에서 일부 공개 정보를 가진 LTE 신호 송수신용 SDR(Software Defined Radio) 장치가 필요하다.

김용대 교수는 "이번 논문에 제시된 취약점은 암호화 키가 없는 초기 상태에 조작된 악의적인 인풋으로 인한 응답을 분석해 발견된 것이다. 다른 상태에서 발생할 수 있는 잠재적인 취약점은 아직 다루지 않았다. 현재 LTEFuzz를 확장해 여러 상태의 잠재적 버그들을 미리 발견할 수 있도록 작업중이다"라고 설명했다.

이번 논문은 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★