Home > 전체기사

5G와 LTE 망에서 발견된 새로운 취약점 스패로우에 유의하라

  |  입력 : 2021-09-27 16:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
무선 MAC 레이어에서 발견된 새 취약점은 저전력 장비들 간 비밀 통신 채널을 새롭게 개설해 준다. 따라서 공격자들은 상업 망에 가입하지 않고도 원거리의 장비와 소통하며 갖가지 악성 행위를 할 수 있게 된다. 전혀 눈에 띄지 않은 채로 말이다. 따라서 보안 업계의 관심이 요구된다.

[보안뉴스 문가용 기자] LTE와 5G망의 MAC 층위의 프로토콜을 공략하는 새로운 공격 기법이 얼마 전 발견됐다. 공격자들은 이 방법을 사용해 멀리서 다른 사람들의 네트워크에 드나들기 시작했다. LTE/5G MAC 레이어 프로토콜 표준에서 발견된 이 새로운 취약점은 다른 유형의 무선 대역폭 표준들에도 영향을 줄 수 있는 것이며, 승인이 되지 않은 장비를 가지고 통신사 인프라를 통해 짧은 메시지를 주고받을 수 있게 해 주는 특성을 가지고 있는 것으로 분석됐다.

[이미지 = utoimage]


취약점 익스플로잇의 기본 원리는 생각보다 간단했다. 망이 사용자 승인을 하기 직전에 최초 메시지의 일부 요소들이 망에 접속하도록 하는 것이었다. 그러니 승인이 나지 않은 사용자도 기지국과 통신사 망을 활용해 간단한 문자를 보내고, 또 받을 수 있게 되는 것이다. 통신사에 가입하지 않은 사용자라도 이를 활용하면 소통을 할 수 있게 된다.

MAC 레이어는 무선 자원의 할당 서비스를 제공하는 장소로, 데이터를 상위 층위로 전달하는 역할을 담당하고 있다. 데이터를 전달한다는 건 그와 관련된 여러 가지 임무를 수행한다는 뜻인데, 요청의 스케줄을 정하고, 버퍼 상태를 보고하며, 임의 접근과 하이브리드 자동 재생 요구도 할 수 있다. 따라서 여기서 발생하는 취약점 익스플로잇이 단순 불법적인 망 이용에 그치지 않을 수 있다는 뜻이 된다.

필자가 소속된 보안 회사에서 발견한 이 취약점에는 CVD-2021-0045라는 번호가 붙었다. 하지만 필자의 회사에서는 이를 스패로우(Sparrow)라는 별명으로 부른다. 이 취약점은 MAC 레이어 프로토콜을 관리하는 GSMA에 비밀리에 전달됐고, GSMA는 이를 접수해 취약점 보완 작업을 서둘렀다.

필자는 키사이트 ATI 연구센터(Keysight ATI Research Center)에 소속된 연구원으로, 무선 대역폭 자원을 상업 통신망에서 악용하는 데이터 유출 기법을 계속해서 연구하고 찾아내는 작업을 진행하고 있다. 보안 연구원이자 엔지니어로서 우리가 일상적으로 사용하는 네트워크와 인터넷에 얼마나 많은 위협이 도사리고 있는지도 잘 알고 있다. 그런 상황에서 ‘취약점’이란 ‘시스템이나 애플리케이션을 기획 의도와 다르게 활용할 수 있게 해 주는 기회’라고 필자는 정의하고 있다. 취약점을 찾는다는 건 그런 기회를 찾아낸다는 것과 같은 말이다.

사이버 보안 업계에서 데이터 탈취 시나리오에 대한 연구는 영원이 끝나지 않는 숙제와 같다. 악성 행위자들이 피해자를 비롯해 그와 관련된 모든 사람들이 알 수 없는 통신 채널을 개설하고, 이를 통해 데이터를 내보내는 행위가 바로 데이터 탈취다. 이것이 발견되면 보안 업계가 방어벽을 치고, 그걸 넘는 방법이 개발되면 더 두터운 방어벽이 마련되는 것이 여태까지 우리가 해커들과 주고받은 일이다.

필자도 무선 보안이라는 분야에서 계속해서 “이러면 어떨까?”와 “저러면 어떨까?”를 계속해서 묻곤 했다. 그리고 그 질문에 답하는 과정에서 여러 가지 데이터 탈취 기법이 발견되기도 했다. “MAC 레이어 프로토콜을 익스플로잇 하면 어떨까?” 역시 이러한 질문들 중 하나였고, 그걸 통해 여러 취약점 중 하나가 발견됐다.

상업용 무선망 신호들이 세계 어디서나 잡히는 시대가 되면서, 이 신호들을 통한 데이터 탈취 시나리오도 점점 많아지고 있다. 당연히 이런 지점들을 미리 파악하고 마련한 방어 도구들도 존재한다. 하지만 공격자들은 이런 방어 체제를 계속해서 시험하고 있다. 하지만 필자가 알기에 무선 MAC 레이어 즉 L2 프로토콜들을 익스플로잇 해서 비밀 통신 채널을 개설하는 방법이 언급된 적은 한 번도 없다.

필자나 필자의 회사가 대단한 성과를 거뒀다는 게 아니다. 사이버 보안 전문가와 집단들마다 ‘위험’이나 ‘침해’, ‘통신 채널’, ‘데이터 유출’에 대한 다른 견해를 가지고 있기 때문에 서로 집중하거나 연구에 힘을 쏟는 분야가 다르다. 누군가에게 가장 위험한 건 L1 무선 시그널일 수 있다는 것이다. 필자가 L2에 관심을 쏟는 동안 다른 연구자들은 L1이나 L3, L7에 집중했다. 그리고 그에 맞는 성과들을 거둬내고 있다.

그럼에도 필자는 이 스패로우 취약점이 가진 위험성에 대해 강조하고 싶다. 보안 전문가들마다 서로 다른 견해를 가지고 있겠지만 이 스패로우에 관심을 가져달라고 요청하는 것이다. 스패로우가 위험한 이유는 다음과 같다.

1) 강력한 익명성 : 스패로우 취약점을 가진 장비들은 호스트망에 인증을 받지 않고도 작동한다. 그러므로 네트워크 보안 시스템에는 노출되지 않게 된다. 스펙트럼 스캐너와 합법적인 인터셉트 시스템들로부터도 사라지게 된다. 사용하는 자원도 최소화 되기 때문에 호스트 네트워크 서비스들에 부하를 주지도 않는다.

2) 장거리 공격 가능 : 스패로우 취약점을 가진 장비들은 수 킬로미터 떨어진 상태에서 기지국이나 비지상계 기술들의 대역폭 전력을 악용할 수 있다. 기지국을 여러 개 건너 뛰면서 통신할 경우 초장거리의 익스플로잇도 불가능한 게 아니다.

3) 저전력과 저난이도 : 스패로우 취약점을 가진 장비들은 상업용 소프트웨어 정의 무선 기술(SDR)에 설치된 현존 프로토콜 구축 라이브러리를 활용한다. 그러므로 배터리나 환경에서 에너지를 추출해 자원으로서 전환시킬 수 있게 된다. 그렇다는 건 공격 지속 시간이 길어질 수 있다는 것이다.

그러므로 다음과 같은 공격 및 위협들이 가능하다.
1) 무선 데이터 유출 : 스패로우 장비들은 동글처럼 아주 작고 간단한 것이라고 하더라도 네트워크 데이터 유출 도구로서 활용될 수 있다.
2) 지휘와 통제 : 원격의 악성 사물인터넷 장비들과의 익명 소통이 가능하게 된다. 사업 통신망들을 통해 공격자에 대한 정보를 전혀 노출시키지 않고 갖가지 악성 행위를 할 수 있게 된다는 뜻이다.
3) 은밀한 공격 : 에이전트들을 통해 스패로우 취약점이 발동된 장비들과 소통하는 게 가능하다. 즉 적대적 지역에 흔적을 남기거나 탐지될 만한 신호를 발생시키지 않은 채 주요 네트워크에 접속할 수 있게 된다는 뜻이다.

그러므로 필자는 다음과 같은 결론을 내릴 수 있다.
1) 무선 MAC 프로토콜을 활용한 불안전한 메시지들을 익스플로잇 함으로써 저비용 사용자 장비들 간 은밀한 소통 채널을 형성하는 게 가능하고, 이를 악용하는 것 또한 가능하다. 그러므로 이 부분에서의 보안 평가 방법과 절차도 산업 내에서 마련해야 할 것이다.

2) 이 취약점이 꽤나 오랜 기간 동안 전혀 언급되지 않은 채 존재해 왔었다는 건, 누군가 발표만 하지 않았지 이미 악용해 왔을 가능성이 낮지 않음을 시사한다. 프로토콜 사양을 만드는 조직이나 기관들에서는 보다 여러 가지 측면에서 보안 점검을 해 볼 필요가 있다.

3) 맥 프로토콜은 다양한 통신 기술에서 활용되고 있다. 그러므로 각 통신 기술 유형의 전문가들은 스패로우 취약점에 대해 연구할 필요가 있다. 이 취약점에 대한 상세한 정보는 여기(https://www.gsma.com/security/gsma-mobile-security-research-acknowledgements/)서 열람이 가능하다.

글 : 레자 수사하비(Reza Soosahabi), 수석 엔지니어, Keysight Technology
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)