호출 프로토콜의 설계 원리 악용하는 세 가지 공격법 등장
IMSI 번호와 위치 정보 공격자가 가져가 각종 공격 감행할 수 있어

[보안뉴스 문가용 기자] 4G와 5G 모바일 프로토콜에서 프라이버시 침해로 이어질 수 있는 오류가 발견됐다. 이를 악용할 경우 공격자들은 걸려오는 전화를 중간에서 가로채거나, 가짜 경보나 알림을 내보내거나, 위치 추적 등을 할 수 있다고 한다. 이에 대해 퍼듀대학교와 아이오와대학교의 연구 팀이 이번 주 바르셀로나에서 열린 모바일 월드 콩그레스(Mobile World Congress, MWC)에서 발표했다.


연구 팀에 의하면 “문제의 근원은 무선 전화 호출 혹은 방송 프로토콜”이라고 한다. “모바일 장비는 전력을 낮게 사용하는 모드나 상태에 들어가면, 진행 중인 서비스를 주기적으로만 실행 혹은 유지함으로써 배터리를 아낍니다. 주로 기지국과 장비가 활발히 통신을 주고받지 않을 때 이런 상태가 유지되죠.” 연구에 참여한 엘리사 베르티노(Elisa Bertino), 오마르 초드허리(Omar Chowdhury), 미치우 에체베리아(Mitziu Echeverria), 사이드 라피울 후세인(Syed Rafiul Hussain), 닝후이 리(Ninghui Li)의 설명이다.

“그런 상태에서 문자 메시지나 전화 호출이 도착하면, 전화기 장비가 이 부분의 기능을 발동시키는데, 이 때 사용되는 것이 무선 전화 호출 프로토콜입니다. 이 프로토콜의 핵심은 전화기의 주요한 서비스들을 제대로 구현하는 것과 전력을 아끼는 것, 이 두 가지의 균형을 맞추는 데 있습니다.”

그리고 연구원들은 이 부분을 남용하는 방법을 세 가지 발견했다. “3개의 공격 유형을 완성시키는 데 성공했습니다. 가장 주요한 공격법은 토피도(ToRPEDO)라고 이름을 붙였습니다. ‘호출 메시지 배포를 통한 추적(TRacking via Paging mEssage DistributiOn)’을 줄인 겁니다. 토피도 공격을 사용하면 특정 장비의 위치를 확인할 수 있게 됩니다. 또한 공격자가 가짜 호출 메시지를 주입함으로써 DoS 공격을 할 수도 있습니다.”

토피도 공격이 있어서 나머지 두 개의 공격도 가능하게 된다. 하나는 IMSI 크래킹 공격이고 다른 하나는 피어서(PIERCER, 코어 네트워크를 통한 지속적 정보 노출) 공격이라고 한다. “이 두 가지 공격을 통해 해커는 피해자의 고유 국제 모바일 가입자 구별자(IMSI) 번호를 알아낼 수 있습니다. 다만 공격자가 전화번호를 미리 알고 있어야 가능합니다. 그렇게 된 후에는 사용자가 어디에 있든 위치 추적이 가능하게 되죠.”

토피도 공격?
전력 소비가 낮은, 이른바 아이들 모드(idle mode)에 돌입한 장비에 전화나 문자, 혹은 푸시 알림이 도착하면, 네트워크의 모바일 관리 객체(Mobile Management Entity, MME)가 발동하며, 가장 가까운 기지국에 호출 메시지를 방송해달라고 요청한다. 이 때 기기의 임시 이동 가입자 식별 번호(Temporary Mobile Subscriber Identity, TMSI)도 함께 전달된다.

TMSI란, MME가 무작위로 배정하는 숫자로, IMSI를 부채널 공격으로부터 숨기는 기능을 하고 있다. TMSI는 말 그대로 ‘임시’ 번호이기 때문에 주기적으로 바뀌는 것이 정상이다. 하지만 늘 그렇지는 않다. 바로 이 부분 때문에 성립 가능한 스니핑 공격이 이전에도 연구되고 증명된 바 있다. “공격자는 한 장비에 다량의 통화 요청을 짧은 시간 안에 집중시킬 수 있습니다. 그리고 이를 통해 호출 메시지를 스니핑할 수 있게 되죠. 그럴 때 호출 메시지 내에 같은 TMSI가 가장 많이, 충분한 횟수로 나타난다면 공격자는 피해자의 장비가 현존한다는 걸 알 수 있습니다.”

이런 류의 공격은 TMSI 번호가 주기적으로, 자주 바뀌면 막을 수 있다. “혹은 MME가 무작위의 값을 TMSI 번호로 지정해도 어느 정도 방어가 됩니다. 하지만 토피도 공격을 하게 되면 이러한 방어법을 무용지물로 만들 수 있습니다. 심지어 전혀 관계가 없는 TMSI 번호들이 호출 페이지 두 개 당 하나 꼴로 연속해서 나타난다고 하더라도, 피해자의 장비가 지역 내 무선 망에 있는지 없는지 확인이 가능합니다.”

토피도 공격으로 표적 장비가 무선 망에 있는지 파악하는데 필요한 호출은 TMSI가 자주 바뀐다고 해더라도 10개도 되지 않는다고 연구자들은 설명한다. “게다가 공격 과정에서 호출 메시지를 받기 위해 장비가 정확히 언제 아이들 모드를 벗어나는지 알 수 있고, 장비의 IMSI 번호까지도 파악할 수 있게 됩니다.” 이는 토피도 공격이 “호출 프로토콜이 기지국과 장비 사이의 일치화(synchronization)를 반드시 필요로 한다는 사실을 악용하는 원리를 가지고 있기 때문”이다.

토피도 공격을 할 수 있게 되면 공격자는 어떤 무선 망 영역 내에서도 표적으로 삼은 장비의 존재 유무를 확인할 수 있게 된다. “물론 여기에는 한 가지 전제 조건이 붙습니다. 해당 무선 망 영역 내에서 스니핑 공격을 할 수 있어야 한다는 겁니다. 하지만 성공한 이후에는 해당 장비의 위치는 물론 현재 연결 상태까지도 상세하게 파악할 수 있습니다.”

그렇다는 건 어느 정도 ‘근처’만 파악하는 위치 추적과 다른, 보다 심각한 공격이 가능하다는 뜻이다. “예를 들어 공격자가 토피도를 통해 피해자의 위치와 연결 상태 등을 파악했다고 칩시다. 그 다음 공격자는 이러한 정보를 바탕으로 피해자의 호출 채널을 가로챌 수도 있습니다. 그러면 이 채널을 통해 조작되거나 비어 있는 메시지를 잔뜩 보냄으로써 디도스 공격을 할 수 있게 됩니다. 피해자는 그 어떤 메시지도 받을 수 없게 됩니다. 혹은 응급 경고 메시지를 주입해 사용자의 패닉을 일으킬 수도 있습니다.”

연구원들은 여기에 더해 피해자의 트위터 앱에도 영향을 미칠 수 있다는 걸 발견해냈다. “연구를 더 진행하면 다른 앱이나 서비스들도 이 공격의 영향을 받을 수 있다는 게 발견될 것으로 보입니다.”

IMSI 크래킹 공격과 피어서 공격
앞서 언급했다시피 토피도 공격은 IMSI 크래킹과 피어서 공격이라는 것도 가능하게 만들어준다. “토피도 공격을 사용하면 ISMI 정보 중 7비트가 공격자에게 넘어가게 됩니다. 이 정보와 함께 피해자의 전화번호를 연결시키면 4G 및 5G의 IMSI 크래킹이 가능하게 되죠. 크래킹의 원리는 브루트포스 즉, 무작위 대입입니다. 수학적으로 이 공격에 걸리는 최장 시간은 13시간입니다.”

또 연구원들은 “특정 서비스 제공업자들이 TMSI를 사용해야 하는 자리에 IMSI 번호를 대신 사용하고 있다는 것을 알아냈다.” 이런 경우 토피도 공격을 사용하고 전화번호를 알아내게 된다면, 스니핑 공격과 가짜 기지국 공격을 통해 피해자의 ISMI와 전화번호를 연결시킬 수 있게 된다고 한다. “즉, 토피도나 IMSI 크래킹 공격은 어느 정도 IMSI와 관련된 정보가 있어야만 IMSI를 알아낼 수 있게 해주는 공격인데 반해, 피어서 공격은 전화번호만 알고 있어도 충분한 공격이라는 겁니다.”

다행히도 이 세 가지 공격 유형에는 어느 정도 한계가 존재한다. “토피도 공격의 경우, 공격자가 피해자와 같은 무선 망에 스니퍼를 설치해야 한다는 조건이 붙습니다. 그러므로 피해자가 존재할 가능성이 높은 위치가 여러 개 있다면, 스니퍼를 여러 개 설치해야 한다는 건데, 공격자로서는 적지 않은 비용이 발생하게 됩니다. 피어서 공격도 실행 비용이 낮지 않은 편에 속합니다. IMSI 크래킹의 경우 최장 13시간 동안 사용자가 ‘전화기가 작동하지 않는다’는 걸 알아채지 않아야 합니다. 공격할 수 있는 조건이 한정적이라는 것이죠.”

그럼에도 이번 연구는 4G와 5G의 무선 망과 그 망을 이루는 호출 프로토콜에 구조적 결함이 존재한다는 걸 드러냈다는 점에서 가치가 있다고 평가를 받고 있다. “이번 연구를 통해 드러난 세 가지 공격법 모두, 실제 상황에서 실험을 해봤고 공격 가능성이 있음을 확인한 바 있습니다. 이론상으로만 존재하는 위협이 아닙니다.”

상세 논문 내용은 여기 주소(https://www.ndss-symposium.org/ndss-paper/privacy-attacks-to-the-4g-and-5g-cellular-paging-protocols-using-side-channel-information/)를 통해 열람이 가능하다.

3줄 요약
1. 4G와 5G 무선 망 프로토콜에서 구조적 결함 발견됨.
2. 이 결함 악용한 공격 유형 세 가지(토피도, IMSI 크래킹, 피어서)가 실험실에서 탄생함.
3. 이 공격들을 성공시키면 사용자의 IMSI 정보와 위치 정보를 파악하고, 이 정보를 바탕으로 각종 공격을 이어갈 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>