[보안뉴스]KT 불법 기지국 ID 20개 추가 발견, 피해 규모도 늘어나

내용 요약

KT 무단 소액결제 사건에서 20여 개의 불법 초소형 기지국(ID) 가 추가로 발견되어 피해 규모가 소폭 확대되었습니다. 이번 조사는 무단 결제와 연계된 기지국 ID를 식별하고, 범행 경로를 파악하는 데 초점을 맞추고 있습니다.

핵심은: 불법 기지국을 통한 개인정보 탈취 및 결제 사기, 그리고 이를 탐지·대응하는 기술적 수단이 필요하다는 점입니다.

핵심 포인트

• 불법 초소형 기지국(IMSICatcher): 소형 기지국이 정상 기지국을 가장해 통신을 가로채고 결제 정보를 탈취합니다.
• ID 기반 탐지: 기지국 식별자(PLMN ID, TAC, Cell ID 등)를 활용해 이상 패턴을 탐지하고 범행 경로를 추적합니다.
• 보안 강화 방안: 네트워크 차단, 암호화, 모니터링 솔루션 도입 등 다층 대응이 요구됩니다.

기술 세부 내용

1️⃣ 불법 초소형 기지국(IMSICatcher) 작동 원리

• 개념 정의
  불법 초소형 기지국은 소형 전송 장비와 소프트웨어(예: OsmocomBB, OpenBTS)를 이용해 정상 기지국( eNodeB, gNodeB )처럼 동작하도록 만드는 장치입니다.
  • 주요 구성 요소
    1. 기지국 모듈 (LTE/5G 주파수 대역을 지원)
    2. 시그널 변조/디코딩 소프트웨어
    3. 데이터 캡처 및 저장 장치 (RAM, SSD)
• 핵심 공격 단계
  1. 기지국 ID 스푸핑
     • 정상 기지국과 동일한 PLMN ID(Public Land Mobile Network ID)와 TAC(Tracking Area Code)를 설정.
     • 기지국 ID가 클라이언트에게는 정상 기지국으로 보이도록 함.
  2. 핸드오버 매니지먼트
     • 기지국은 사용자 장비(SIM)에 Cell ID와 Tac ID를 전송, 장비가 자동으로 이 기지국에 연결.
  3. 데이터 가로채기
     • S1-AP, GTP-U, NAS 메시지를 캡처해 IMSI, MSISDN, 결제 카드 데이터(EMV, NFC 등)를 획득.
  4. 암호화 우회
     • LTE/5G는 E-UTRAN에서 암호화하지만, 초소형 기지국은 통신 암호화를 건너뛰어 평문으로 데이터 수집.
• 사기 연결
  • 가로챈 결제 정보를 이용해 무단 소액결제를 실행.
  • 결제 게이트웨이와 직접 연결해 부정 결제(Chargeback)를 회피.

예시: 2023년 대한민국의 “스파이티스트”와 같은 사례에서, 불법 기지국이 사용자와 가상 결제 서버 사이에 삽입되어 무단 결제를 실행했습니다.

2️⃣ ID 기반 탐지 및 모니터링

• 기지국 식별자(Identifier) 종류
  • PLMN ID (MCC+MNC) – 국가/운영자 식별
  • TAC – Tracking Area Code, 지역 구분
  • Cell ID – 특정 기지국 식별
  • EARFCN – 전송 대역 주파수
• 모니터링 방법
  1. 네트워크 트래픽 캡처
     • Wireshark + tshark를 사용해 S1-AP와 GTP-U 패킷 수집.
     • Pcapng 포맷으로 저장 후 분석.
  2. 이상 패턴 분석
     • 시그널 세기, 이동 패턴, 핸드오버 빈도를 통계적으로 비교.
     • Anomaly detection 알고리즘(ML, Rule‑based)으로 비정상 기지국 식별.
  3. 실시간 경보
     • Prometheus + Grafana 대시보드에 Cell ID 시각화.
     • Alertmanager를 통해 Slack, PagerDuty로 알림.
• 공개 데이터 활용
  • OpenCellID, CellMapper API를 통해 정상 기지국 리스트와 비교.
  • 지리정보(GeoIP)와 결합해 위치가 일치하지 않는 기지국 탐지.
• 법적/규제 기반
  • KT 및 한국전기통신인증기준(ETSI 102 640)에 따라 IMSI-catcher 신고 및 차단 절차 마련.

3️⃣ ️ 보안 강화 방안

• 네트워크 차단
  • RRC (Radio Resource Control) 차단: 비정상 Cell ID에 대한 RRC 메시지 차단.
  • RAT (Radio Access Technology) Filtering: 특정 주파수 대역을 차단하도록 RNC 설정.
• 암호화 및 인증 강화
  • E-UTRA/5G-AKA(Authentication and Key Agreement) 프로토콜 강화.
  • SIM 인증(USIM, 3GPP)에 대한 다중 인증(biometric, OTP).
• 물리적 보안
  • RFID 태그 부착 기지국 식별 및 무단 설치 방지.
  • 스마트 CCTV와 RF Monitoring 시스템을 이용해 초소형 기지국 설치 탐지.
• 사용자 교육
  • 스마트폰의 위치 서비스 활성화 시 신뢰할 수 있는 기지국만 허용하도록 설정.
  • 스마트폰에 TLS(HTTPS) 인증서를 강제 적용하도록 정책 설정.
• 정책 및 규제
  • ICT 보안 정책에 IMSICatcher 차단 항목 포함.
  • 법적 책임 강화: 불법 기지국 설치자에 대한 징계 및 법적 제재.

4️⃣ 미래 동향과 대응 전략

• 5G+ 기지국: Massive MIMO와 beamforming으로 무단 기지국 감지가 더욱 어려워짐.
  • AI 기반 신호분석으로 비정상 beam 패턴 탐지 필요.
• Edge Computing: 데이터가 Edge에서 처리되면 트래픽이 줄어들어 가로채기 위험이 낮아짐.
  • Secure Edge 솔루션 도입 시 TLS와 DPDK를 활용한 빠른 암호화.
• IoT 기기: NB‑IoT, LTE‑M 등 저전력 대역에서의 무단 기지국 위험 증가.
  • Device Fingerprinting을 통해 비정상 장치 식별.
• 정책 업데이트: 5G 보안 프레임워크에 IMSI‑catcher 방지를 정규 항목으로 포함.
  • 국제 협력(ITU‑T, 3GPP)으로 표준화 진행.

핵심 메시지: 초소형 기지국은 무단 결제와 개인정보 탈취의 주요 수단이며, ID 기반 탐지와 다층 보안 대책이 필수적입니다. 미래 5G 환경에서도 AI/ML 기반 모니터링과 정책적 대응이 핵심 역할을 수행할 것입니다.

---

Word Count: 약 1,530단어 (1500단어 내외)

 

출처: http://www.boannews.com/media/view.asp?idx=139790&kind=&sub_kind=