산업용 5G 특화망 기기 식별·인증 보안 요구사항과 PQC 전환

[보안뉴스= 전숙현 한국정보통신기술협회 국방ICT·특화망팀 팀장] 최근 이동통신사 핵심망 침해와 USIM 인증 정보 유출 이슈는 5G 보안이 통신사 내부에만 국한되지 않음을 보여준다. 2025년 4월 SK텔레콤 HSS(Home Subscriber Sever) 침해 사고 이후 SIM 복제·스와핑 위험이 공식 경고되며, 인증·식별 체계가 공격받을 때 파급 효과가 커질 수 있다는 점이 확인됐다. 산업 현장에 확산 중인 5G 특화망(이음5G)은 공장 자동화 설비, 로봇, 드론, AGV, 센서, CCTV 등 수많은 기기가 실시간으로 연결되는 산업 제어망이므로, 단 한 번의 기기 식별 오류나 인증 실패가 공정 중단과 안전사고로 직결될 수 있다.


특화망의 위협은 무선과 산업 환경의 특성이 겹치며 더 복잡해진다. 우선 OT 기기는 수명이 길고 패치가 느려 USIM/eSIM 재사용이나 관리 부주의로 식별자와 자격 증명이 노출될 가능성이 크다. 또한, 공격자가 가짜 기지국을 구축해 정상 산업 기기의 접속을 유도하고, 인증 메시지를 탈취하거나 조작하는 중간자 공격 위협도 존재한다. 더 나아가 슬라이싱·MEC·클라우드 연동이 늘수록 하나의 취약점이 IT-OT 경계를 넘어 횡적으로 확산할 수 있어, 특화망은 ‘폐쇄망이라 안전하다’라는 가정 대신 다층 방어를 전제로 설계돼야 한다.

이런 배경에서 기기 식별 및 인증은 특화망 보안의 출발점이자 핵심 요구사항이다. ‘3GPP 5G-AKA/EAP-AKA’ 기반 상호 인증과 SUCI 기반 신원 보호를 준수하되, 산업 기기의 진본성과 고유성을 더 강하게 보장해야 한다. 이를 위해 USIM만으로 신뢰를 맡기지 않고 TPM/TEE/보안칩과 같은 하드웨어 루트-오브-트러스트를 결합한 ‘USIM-기기 바인딩’을 요구할 필요가 있다. 특히 eSIM은 소프트웨어형(eUICC)만으로는 복제·추출 위험이 있기에 보안칩/SE에 탑재되는 하드웨어 기반 eSIM 구현을 필수로 포함해 물리적 신뢰 근거를 확보해야 한다. 또한 세션키 수명·회전 정책, 가짜 기지국 탐지, 슬라이스·MEC 서비스 접근 시 최소권한과 연속 재검증을 요구하는 제로트러스트 운영 정책, 그리고 SIM 복제, 가짜 기지국 인증 위조 등 위협 시나리오 기반 시험 검증 기술도 함께 개발돼야 한다.

아울러 양자컴퓨팅 시대를 대비한 양자내성암호(PQC) 적용은 이제 선택이 아니라 준비 과제다. NIST가 2024년 ‘ML-KEM(CRYSTALS-Kyber)’과 ‘ML-DSA(CRYSTALS-Dilithium)’, ‘SLH-DSA’를 PQC 표준으로 확정한 만큼, 특화망 인증도 기존 절차와 PQC를 병행하는 하이브리드 방식으로 상호운용성과 성능을 확보한 뒤 단계적으로 전환하는 로드맵이 바람직하다.

이러한 방향 아래 TTA는 정보보호핵심기술개발사업 중 ‘양자보안기반 5G특화망 기기식별기술 및 시험검증 기술개발’ 과제를 통해 양자 기술이 접목된 하드웨어 기반 eSIM 개발을 진행 중이며, 2026년에는 산업용 특화망 테스트베드에서 양자보안 기기식별 기술 및 시험검증 표준을 실증할 계획이다. 또한, 향후 PQC 전환에 따라 관련 기술을 특화망 보안 요구사항에 적극 반영해 지속적으로 고도화해 나갈 것이다.

[글_ 전숙현 한국정보통신기술협회 국방ICT·특화망팀 팀장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>