“사이버 보안 강화로 5G 특화망 신뢰성 강화해야”
상태바
“사이버 보안 강화로 5G 특화망 신뢰성 강화해야”
  • 강석오 기자
  • 승인 2022.06.01 09:30
  • 댓글 0
이 기사를 공유합니다

심층적인 레이어 7 가시성 확보 필수 … 지능형 모니터링·진단 도구 갖춰야
▲ 정기원 넷스카우트코리아 이사
▲ 정기원 넷스카우트코리아 이사

[데이터넷] 5G를 ‘신뢰할 수 있는 네트워크’로 만드는 데 중점을 두는 영역 중 하나는 사이버 보안이다. 악의적인 행위자가 확산돼 대기시간을 저하시키거나 서비스를 완전히 중지시킬 수도 있다. 디도스(DDoS) 공격이 대표적으로, 인터넷 트래픽의 방향을 전환해 의도한 대상에 과부하 유발과 서비스 가용성을 방해를 중요한 애플리케이션을 이용하는 5G 사용자에게는 치명적일 수 있다.

5G와 사이버 보안
프로토콜 수준에서 5G에는 훨씬 강력한 암호화 알고리즘 등 개선된 사이버 보안 기능이 많이 적용돼 있다. 이를 통해 조직은 데이터 무결성을 유지하는 데 필수적인 고급 256비트 암호화 키로 데이터를 암호화할 수 있다. 또한 사용자와 운영자 간에 메시지는 가로채기 공격으로부터 잘 보호된다.

이처럼 프로토콜 계층은 보다 안전해졌지만 5G 및 사이버 보안에 대해서는 장치와 애플리케이션 보호를 위해 더 많은 작업이 수행돼야 한다. 5G 생태계는 이전 세대보다 훨씬 더 다양하며 5G 인프라의 확산은 악의적인 행위자들에게 다양한 공격 벡터를 제공한다. 5G의 보안은 프로토콜 계층만큼 이러한 구성 요소의 적절한 구현, 구성 및 모니터링에 달려 있다.

특히 디도스 공격은 안전하지 않은 장치에서 번성한다. 최근 몇 년 동안 공격자의 힘을 증폭시키는 멀웨어에 감염된 장치 네트워크인 ‘봇넷’을 활용해 디도스 공격은 기하급수적으로 증가하고 강력해졌다. 현재 악성 봇은 전체 인터넷 트래픽의 20%를 차지하는 것으로 추정되며 실제로는 과소평가된 것일 수도 있다.

5G 네트워크 보안은 이러한 공격으로부터 장치를 보호해야 하지만 손상된 장치를 식별하고 추가 공격을 시작하지 못하도록 격리도 필요하다. 이는 인바운드 및 아웃바운드 모두에 해당된다.

위협은 봇넷만이 아니다. 랜섬웨어와 같은 다른 형태의 공격은 5G의 프로토콜 계층 보안 개선만으로는 보호할 수 없으며 해킹할 수 있는 사물인터넷(IoT) 장치들은 도처에 분포돼 있다.

현재 공공 안전 분야에서 의료, 운송 등에 이르기까지 다양한 산업 분야에서 5G를 활용하기 위한 계획이 진행 중으로, 해킹이 가능한 수십억 개의 스마트 장치들이 5G 네트워크에 연결될 수밖에 없는 상황이다.

예를 들면 의사는 환자에게 5G로 연결된 센서를 장착해 의료 분석 및 해석을 위한 데이터를 전송할 수 있다. 이러한 장치가 해커에 의해 손상되면 환자의 데이터가 조작되거나 유출될 수 있다. 따라서 5G 애플리케이션 및 서비스를 안전하게 보호해야 멀웨어의 위험을 완화하고 많은 5G IoT 장치를 보호할 수 있다.

[그림 1] 넷옵스와 섹옵스를 위한 넷스카우트 단일 인스트루먼테이션 플랫폼 구조
[그림 1] 넷옵스와 섹옵스를 위한 넷스카우트 단일 인스트루먼테이션 플랫폼 구조

5G 특화망 사용자 보안 첫 단계 ‘인지’
5G 특화망의 기업 사용자를 위한 보안의 첫 번째 단계는 ‘인지’다. 각 특정 산업, 구성 및 애플리케이션에 어떤 잠재적 위협이 있는지 이해하는 것이다. 현재 디도스 솔루션은 레이어4 정보를 사용해 디도스 공격을 식별하고 완화하지만 5G에서는 서비스를 중단하는 악의적인 행위자를 식별하고 격리하기 위해 보다 심층적인 레이어 7 가시성이 필요하다.

넷스카우트 ‘옴니스 쓰렛 디펜더(Omnis Threat Defender)’ 솔루션은 5G NSA(Non-Stand Alone)는 S1-U 인터페이스, 5G SA(Stand Alone)는 N3 인터페이스 구간에서 프로빙을 통해 사용자 평면 데이터 패킷을 수집하고 모니터링한다. 이는 기존 서비스 보증을 위해 프로빙해 수집하는 동일한 패킷을 이용하고 동일한 프로빙 플랫폼을 사용한다.

따라서 <그림 1>과 같이 프로브를 한번 구축함으로써 중복 투자를 피하는 효과가 있다. 또 하나의 인스트러먼트 플랫폼에서 동시에 서비스 보증과 사이버 보안을 위한 두 가지 기능을 제공한다.

넷스카우트 레이어 7 가시성은 S1-U/N3 구간에서 GTP 터널을 파싱해 GTP 패킷 내의 이너 패킷 분석을 제공한다. 이에 모든 제어 평면과 사용자 평면 트래픽의 가시성이 제공되고 전화번호, IMSI, IMEI, IP 주소 등과 같은 사용자 아이덴티디와 함께 연관 분석을 제공한다.

최종적으로는 5G 특화망 운영자에게 디도스 공격, C&C 공격, 멀웨어 감지 등을 제공하고 4G LTE/5G NSA/5G SA 상의 손상된 UE(User Equipment)를 식별할 수 있게 한다. 이 식별된 정보는 각 네트워크 인프라인 eNB, gNB, SGW/PGW, UPF, 애플리케이션 IP/URL 별로 가시성이 제공이 된다.

[그림 2] 포괄적인 모바일 네트워크 L7 가시성 제공을 위한 프로빙 예시
[그림 2] 포괄적인 모바일 네트워크 L7 가시성 제공을 위한 프로빙 예시

제공된 레이어 7 가시성을 통해 운영자는 5G 네트워크 인프라, 사용자 엔드포인트와 서비스들을 다양한 보안 위협으로부터 보호할 수 있다. 이것이 넷스카우트 옴니스 쓰렛 디펜더 솔루션의 목적이자 역할이다.

뿐만 아니라 옴니스 쓰렛 디펜더 솔루션은 써드파티 SIEM 솔루션과 연동이 가능한 구조로 돼 있다. 여기서 옴니스 쓰렛 디펜더에 보안 위협으로 판별된 것들은 시스로그 알람을 통해 SIEM과 연동되며, SIEM에서 통합 관리되며 필요시 옴니스 쓰렛 디펜더 솔루션으로 드릴다운해 상세 보안 포렌식 분석을 제공한다.

디도스 및 보안 위협의 블로킹 및 미티게이션의 경우도 API를 통해 AF(Application Function)로 UE 데이터가 포함된 옴니스 피드를 제공해 정책 제어를 통한 감염된 디바이스에 대한 완화가 이뤄진다.

[그림 3] 옴니스 쓰렛 디펜더 솔루션과 SIEM 연동 구조
[그림 3] 옴니스 쓰렛 디펜더 솔루션과 SIEM 연동 구조

종단 간 가시성 확보로 보안 위협 완화
5G 특화망의 기업 사용자를 위한 보안의 두 번째는 ‘가시성’이다. 사용자 안전을 보장하고 서비스 수준 계약을 충족하기 위해 5G가 진정으로 신뢰할 수 있는 네트워크가 되려면 연결된 다양한 장치 및 애플리케이션에 대한 종단 간 가시성이 필요하다. 이러한 종단 간 가시성을 통해 여러 보안 위협을 다루며 완화할 수 있다.

<그림 4>는 옴니스 쓰렛 디펜더 솔루션의 스마트 데이터가 집중하는 보안 위협들에 대한 예시가 제시돼 있다. 예를 들면 사용자 엔드포인트의 경우 사용자 평면 IoC 매칭을 통해 멀웨어에 감염된 장치들을 식별해 얼마나 많은 봇넷들이 5G 내에 존재하며, 멀웨어의 종류와 위험 존재 여부를 식별해 서비스 품질을 저하시키는 장치들을 완화시킬 수 있도록 API 연동 기능을 제공한다.

또한 행위 탐지의 경우 IoT 장치들의 행위들을 분석해 얼마나 자주, 얼마나 많이, 누구와 어떤 프로토콜로 통신하는지에 대한 분석과 이해를 통해 해당 IoT 장치들이 하지 말아야 하는 행위 시작의 빠른 식별을 제공한다.

RAN/코어에서는 주로 eMBB에 의한 디도스 공격에 대한 식별과 완화를 제공한다. 5G 네트워크는 LTE에 비해 더 큰 대역폭을 제공하기 때문에 기존 디도스보다 더 큰 디도스 공격으로 이어질 수 있다.

디도스 공격의 타깃은 모바일 네트워크 내의 어떠한 것들이 될 수도 있고 인터넷을 넘어선 다른 타깃이 될 수도 있다. 따라서 5G망 자체를 흔드는 큰 위협이 될 수 있는 디도스에 대한 식별을 통해 디도스를 발생시키는 IoT 또는 다른 장치들을 완화하는 것은 보안 관점에서 매우 중요하다.  

서비스 경우의 예시로는 제어 평면 스톰, 제어 평면 자원 고갈이 있다. 제어 평면 트래픽이 스톰 형태로 급증하면 그만큼 라디오 및 코어망 자원은 소진되며, 이는 이상 행동이나 잘못된 행위를 발생하게 한다. 불필요한 베어러(Bearer) 설정을 통해 자원을 비정상적으로 소진시키고, 이러한 위협 행위들에 대한 식별과 완화를 통해 5G 망 자원을 보호할 수 있다.

[그림 4] 스마트 데이터 쓰렛 포커스 분야
[그림 4] 스마트 데이터 쓰렛 포커스 분야

IoT 장치 보호 필수
신뢰할 수 있는 네트워크는 민감한 데이터를 안정적으로 안심하고 전송할 수 있는 네트워크로, 실제로 엔터프라이즈 5G(5G 특화망)은 민감하다. 기업은 가장 중요한 기능 중 일부를 처리하기 위해 5G를 찾고 있고, 이러한 중요한 서비스는 자동화된 공장에서 원격의료(예: 원격 수술), 운송(예: 자가 운전 자동차), 스마트 그리드 등 다양하다. 비즈니스에 심각한 영향을 미치지 않도록 모두 엄격한 서비스 수준 계약(SLA)이 요구된다.

5G를 신뢰할 수 있는 네트워크로 만드는 또 다른 중요한 요소는 IoT 장치의 보호다. IoT는 복잡한 작업을 실시간으로 모니터링하고 조정할 수 있는 빠르게 확장되는 장치의 세계를 의미하며, 5G는 대규모 IoT 채택을 위한 근본적인 동력이다.

IoT는 모든 산업에서 워크플로우를 변환하고 극적인 효율성을 실현할 잠재력이 있어 IoT 장치의 확산은 엄청날 것으로 기대된다. 향후 5년 이내에 5G 네트워크는 210억 개 이상의 IoT 장치를 지원해야 할 것으로 추정된다.

그러나 최근 몇 년간 컴퓨팅 성능이 크게 증가한 스마트폰과 같은 소비자 장치와 비교할 때 엔터프라이즈 IoT 장치는 네트워크 기반 보호의 지원 없이 공격으로부터 스스로를 보호하는 컴퓨팅 능력이 부족하다. 대부분의 경우 엔터프라이즈 IoT 장치를 스마트하게 만드는 데 드는 비용 부담이 크기 때문에 이는 의도된 것이다. 오작동 기계에서 발생하는 진동을 모니터링하는 공장의 네트워크 연결 센서를 생각해 보면 이러한 장치가 지나치게 복잡할 필요는 없기 때문에 서비스 및 보안 보증은 엔터프라이즈 IoT를 위한 네트워크 측에서 이뤄져야 한다.

따라서 보안 측면에서 IoT가 멀웨어에 감염돼 봇넷으로 이용될 때를 고려해 봐야 한다. <그림 5>와 같이 5G 망에 접속돼 있는 여러 IoT는 그 수와 밀집도가 상상이상으로 높다. 그리고 LTE에 비해 5G 망에서 제공되는 높은 대역폭과 속도로 인해 LTE 대비 100배 이상의 디도스 공격력을 갖추게 된다.

[그림 5] 손상된 IoT 단말의 디도스 공격으로 5G 자원 소진과 부하 발생 사례
[그림 5] 손상된 IoT 단말의 디도스 공격으로 5G 자원 소진과 부하 발생 사례

이에 따라 다양한 보안 위협에 노출돼 있는 IoT들로 인해 디도스 공격이 개시되고, 이는 5G의 유무선 자원들을 고갈시켜 망의 성능을 지연시키거나 심지어는 멈추게 할 수 있다. 더욱 큰 문제는 5G 망에 연결돼 있는 다른 IoT와 장치들 그리고 연관된 여러 서비스들까지 디도스 공격의 영향으로 인해 서비스가 지연되거나 멈추게 될 수 있다는 사실이다.

이 경우 5G 망 운영자의 임무는 IoT 장치를 손상시키고 추가 공격을 시작하기 위해 봇넷으로 전환될 수 있는 인바운드 공격으로부터 IoT 장치를 보호해야 한다. 또한 IoT 장치가 손상된 경우 다른 장치를 중단시키고 네트워크 및 애플리케이션의 다른 부분에 손상을 줄 수 있는 아웃바운드 공격 방지를 위해 격리하는 것도 똑같이 중요하다.

[그림 6] 인/아웃바운드 디도스 공격으로 인한 중요 자산 서비스 중단 사례
[그림 6] 인/아웃바운드 디도스 공격으로 인한 중요 자산 서비스 중단 사례

인력과 지능형 모니터링 도구 확보해야
5G를 신뢰할 수 있는 네트워크로 만들기 위해 네트워크 사업자가 수행해야 하는 두 가지 조치가 있다. 먼저 운영 측면에서 적절한 인력 구성은 아무리 강조해도 지나치지 않다. 앞서 언급한 서비스 중단 위험은 이를 완화하기 위한 솔루션과 마찬가지로 광범위한 전문 지식에 걸쳐 있다.

네트워크 진단에서 머신러닝에 이르기까지 네트워크 운영자가 획득해야 하는 경험과 기술은 그 어느 때보다 광범위하다. 5G 아키텍처는 정보가 전달되고 관리되는 방식을 극적으로 변화시키므로 네트워크를 설계, 구축, 운영 및 보호하는 사람들에게는 기본 기술에 대한 완전한 이해가 무엇보다 중요하다.

두 번째로 운영 팀은 서비스에 부정적인 영향을 미치기 전에 문제를 사전에 감지하고 해결할 수 있도록 하는 넷스카우트 솔루션과 같은 지능형 모니터링 및 진단 도구의 도움이 필요하다. 이를 효과적으로 수행하려면 AI/머신러닝 기반의 워크플로우와 결합된 레이어 7 가시성이 필수다.

넷스카우트 레이어 7 가시성은 클라이언트 유형, 제어 및 사용자 평면 트랜잭션을 포함하되 이에 국한되지 않는 광범위한 서비스 메트릭에 대한 패킷 데이터를 통해 정확한 통찰력을 얻을 수 있는 기능이다. 5G의 복잡하고 광범위한 생태계 내에서 다양한 상황을 진단할 수 있는 거의 유일한 방법이다.

기업이 5G로 구현되는 IoT 혁명을 온전히 실현하려면 무선 생태계에 대비해야 한다. 기업의 5G 특화망은 적시에 네트워크 운영 인텔리전스를 제공하는 올바른 종단 간 가시성을 통해 무한한 비즈니스 가능성을 만들어 나갈 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.