2019-09-14 23:20 (토)
[2019 MOSEC] 김용대 교수 “이동통신 보안테스팅 표준 없고 외부와 불통이 보안취약점 양산”
상태바
[2019 MOSEC] 김용대 교수 “이동통신 보안테스팅 표준 없고 외부와 불통이 보안취약점 양산”
  • 길민권 기자
  • 승인 2019.05.30 16:46
이 기사를 공유합니다

김용대 교수연구실, 이동통신 자동화된 보안테스팅 툴 개발…글로벌 통신사들 관심

▲ 2019 MOSEC에서 이동통신 취약점 연구 결과에 대해 강연을 진행하고 있는 김용대 KAIST 교수. (중국 상하이=데일리시큐)
▲ 2019 MOSEC에서 이동통신 취약점 연구 결과에 대해 강연을 진행하고 있는 김용대 KAIST 교수. (중국 상하이=데일리시큐)
(중국 상하이=데일리시큐) 최신 모바일 해킹 보안 기술을 한 눈에 볼 수 있는 2019 MOSEC(Mobile Security Conference)이 5월 30일부터 31일까지 중국 상하이 메리어트 호텔에서 700여 명의 중국을 비롯한 전세계 모바일 보안연구가들이 참석한 가운데 성황리에 개최되고 있다.

이 자리에서 김용대 카이스트(KAIST) 교수는 ‘Fuzzing Cellular Networks for fun and profit - if allowed’를 주제로 유창한 영어 강연을 진행해 참관객들의 큰 관심을 끌었다.

강연 후, 현장에서 데일리시큐와 인터뷰를 진행한 김용대 교수는 우선 “카이스트 시스템보안연구실에서 지난 2012년부터 8년간 연구한 결과물들을 짧은 시간이었지만 공개한 자리였다”며 “한국은 통신사들이 협조를 잘해줘서 이동통신 보안연구가 가능했다. 예를 들어 LTE 취약점 같은 경우, 세계적으로 200여 개가 발견됐는데 그 중 100여 개를 카이스트 시스템보안연구실에서 찾아 공개했을 정도로 독보적인 연구실적을 기록하고 있다. 한국 통신사들이 보안테스트를 위해 우리 연구실과 협력하고 취약점이 나오면 패치하려고 노력하는 등 협조를 많이 해준 덕분이다. 해외 통신사에서는 절대 찾아볼 수 없는 상황이다. 대부분의 통신사들이 높은 벽을 치고 자신들을 들여다 보길 거부하고 있다. 이 점이 이동통신 보안의 가장 큰 문제점이다”라고 말했다.

이동통신 보안 연구는 한국이 최상위에 있다. 다른 나라에서는 불법이라 하지 못하는 연구를 한국 이통사들은 대학에서 연구할 수 있도록 테스트베드를 오픈해 주고 거기서 나온 취약점들을 패치해 나가고 있다는 점에서 긍정적으로 평가할 수 있다. 실제로 카이스트는 이동통신 표준, 제조사, 통신사 문제 점들에 대해 다른 나라에서 할 수 없는 연구를 진행하면서 글로벌에서도 주목을 받고 있다.

▲ 500여 명 이상의 중국 및 글로벌 모바일 보안연구가들이 참가한 MOSEC에서 김용대 교수가 이동통신 취약점에 대해 발표를 진행하고 있다. (중국 상하이=데일리시큐)
▲ 500여 명 이상의 중국 및 글로벌 모바일 보안연구가들이 참가한 MOSEC에서 김용대 교수가 이동통신 취약점에 대해 발표를 진행하고 있다. (중국 상하이=데일리시큐)
김 교수는 “이동통신 보안 문제는 기술적인 문제라기 보다는 시스템적인 문제가 더 크다. 통신은 10년에 한 번 새로운 기술들이 나오고 있다. 그때마다 새로운 표준과 구현방식이 달라진다. 그러면서 새로운 취약점이 나오는 것”이라며 “하지만 새로운 기술이 나왔다고 해서 그 전 기술을 사용한 서비스가 모두 사라지는 것은 아니다. 5G 시대가 왔지만 지금도 2G, 3G를 사용하고 있다. 기술이 오버랩 되는 과정에서 새로운 보안문제들이 생성되는 것이다. 통신사 입장에서는 과거 2G와 3G 보안에 신경쓸 겨를이 없다. 그래서 보안문제가 발생하는 것”이라고 설명했다.

또 “통신사가 ‘갑’이고 제조사가 ‘을’인 상황에서 발생하는 문제도 많다. 제조사가 아무리 취약점 테스트를 잘해서 단말기를 만들어도 통신사가 잘못해서 나오는 취약점이 많다. 통신사 측에서 안전하지 않은 것을 요구하면 제조사가 따를 수 밖에 없는 구조이기 때문이다. 한편 한국의 통신사들은 카이스트와 협력을 통해 취약점이 발견되면 대응하려고 노력하지만 해외 통신사들은 벽을 쌓고 있다. 절대 움직이지 않는다. 우리가 취약점을 찾아 제보를 하거나 그 내용이 미국 CERT에 통보돼 CERT에서 이통사에 보안문제를 지적해도 복지부동이다. 이런 상황이라 취약점이 발생하기 딱 좋은 환경이다”라고 지적했다.

그리고 통신사들은 서로 커뮤니케이션을 하지 않는다고 지적했다. 특정 통신사에 보안문제를 알려주면 이 내용들이 다른 통신사와 공유가 된다면 빠르게 보안 문제가 해결될 수 있는데 전혀 그렇지 않다는 것도 문제다.

더불어 이동통신 보안이 어려운 점은 통신 기술도 알고 보안 기술도 아는 전문 인력이 턱없이 부족하다는 점이다. 통신 표준을 이해하는 보안전문가도 드물고 보안을 이해하는 이동통신 전문가도 부족하기 때문이다. 통신사 내부에서도 전체 기술을 이해하기 보다는 단위별 기술만 이해하고 있는 것이 대부분이기 때문에 구현 시에 취약점이 발생할 수밖에 없다는 것이 김교수의 지적이다.

▲ 2019 MOSEC. 김용대 교수. (중국 상하이=데일리시큐)
▲ 2019 MOSEC. 김용대 교수. (중국 상하이=데일리시큐)
이어 그는 “이동통신 보안테스팅 표준이 없다는 것이 가장 큰 문제였다. 이를 해결하기 위해 자동화된 LTE Fuzz 툴을 개발했다. 이 툴을 이용해 다양한 이동통신 보안취약점을 발견하게 됐고 이를 논문으로 발표했다. 그래서 최근 티모바일, 버라이존, 구글 등에서 발표요청을 해오는 등 관심을 보이고 있다. 전세계 어떤 조직에서도 못하는 연구를 하고 있는 것이다. 논문 혹은 이번과 같은 컨퍼런스 발표 등을 통해 이동통신 표준에는 어떤 문제들이 있는지, 어떻게 공격이 가능한지, 벤더는 어떤 문제가 있는지, ISP는 어떤 문제가 있는지, 새로운 기술에는 어떤 문제가 있는지 근거를 제시해 나가고 있다”고 밝혔다.

그는 이번 2019년 MOSEC에서 이동통신 정책 때문에 만들어진 취약점이나 로밍 관련 취약점 등 이동통신 표준이 근본적으로 내재하고 있는 보안문제점에 대해 연구결과와 데모시연을 보여줘 눈길을 끌었다. 안전하지 않은 이동통신 표준 문제가 많은 취약점을 생성시키고 있다는 요지다. 이를 표준화된 자동화 보안테스팅 툴을 통해 발견하고 개선해 나가는 것이 중요하다고 강조했다. 특히 이동통신사들의 보이지 않는 장벽을 허물고 서로 정보를 공유하고 발표된 취약점에 대해 빠르게 대응하는 것이 무엇보다 중요하다고 지적했다.

마지막으로 김용대 교수는 “통신사마다 각각의 취약점을 우리 연구실은 많이 알고 있고 계속 연구해 나갈 계획이다. 글로벌 이동통신사들이 오픈 마인드로 보안문제에 접근하길 바란다. 한국 통신사들은 이에 비해 연구에 적극 협조해 주고 있고 빠르게 대응하려고 노력하고 있다. 이 연구들을 기반으로 글로벌 이동통신사들을 대상으로 사업화도 고려 중이다. 6명의 카이스트 시스템보안연구실 연구원들이 많이 고생하고 있다. 감사를 전한다”고 밝혔다.

MOSEC은 올해 5회째로 한국의 POC시큐리티와 중국의 판구(PANGU)팀이 공동주최하는 모바일 전문 보안컨퍼런스다.

★정보보안 대표 미디어 데일리시큐!★