KR101253615B1 - 이동통신망의 보안 시스템 - Google Patents

Abstract

본 발명에 따른 이동통신망 보안 시스템은, SGSN과 GGSN 사이의 구간에 설치되어, 이동통신망으로 유입되는 트래픽을 수집하는 트래픽 수집 시스템과, 상기 트래픽 수집 시스템으로부터 트래픽을 수신하고 필요한 필드를 추출하는 비정상 트래픽 탐지시스템과, 상기 탐지 시스템의 추출 정보를 기반으로 해당 비정상 단말로 인해 발생하는 보안 위협들에 대한 관제를 담당하는 관제 시스템을 포함하여 구성된다.
본 발명에 따른 보안 시스템은 이동통신망에서의 보안 위협을 정의하고 이를 해결하기 위한 방향을 제시하였다.

Description

이동통신망의 보안 시스템{SECURITY SYSTEM ON 3G WCDMA networks}

본 발명은 통신망 보안시스템에 관한 것으로, 더욱 상세하게는 이동통신망의 보안 시스템에 관한 것이다.

최근, 이동통신 환경에서, 스마트폰의 확산과 더불어 다양한 모바일 서비스가 확산되고 있다. 기존의 Wi-Fi가 상대적으로 이동성의 제약이 있던 반면, 3G 네트워크는 보다 높은 이동성을 가지며 대표적인 이동통신 환경을 제공하였다. 그리고 이동통신 단말은 안드로이드, 아이폰 등 범용적인 스마트폰 플랫폼의 등장과 함께 대중적인 보급이 이루어 졌으며, 이를 기반으로 다양한 모바일 서비스가 가능해 졌다.

하지만, 3G 이동통신망은 유선 네트워크와 달리 협소한 대역폭과 한정된 무선자원, 이를 관리하기 위한 복잡한 시그널링 통신을 필요로 하는 등 상대적으로 복잡한 구조를 가지고 있다. 이러한 이동통신망의 특징은 기존의 유선환경에서 문제가 되지 않았던 작은 부분도 이동통신망에는 큰 영향을 줄 수 있다. 기존의 유선 망에서 제공하던 서비스들(예: 메신저 등)이 이동통신망에서 제공될 경우, 언제나 연결되어 있어야 하는데 이는 한정된 무선 자원의 비효율적인 낭비를 초래할 수 있다. 또한, 이동통신망의 협소한 대역폭은 기존의 유선 인프라의 큰 대역폭에서는 크게 문제가 되지 않았던 불필요한 트래픽(스캐닝 트래픽, 악성 트래픽등)이 망의 자원을 낭비하여 다른 정상 사용자의 이동통신망 사용을 저해할 수 있다.

최근, 이기종 네트워크간의(이동통신망과 유선 망) 연결로 인해 상호간의 보안 위협을 공유하게 되었다. 특히 이동통신망은 기존 유선망의 다양한 비정상 트래픽에 대한 보안 기술이 준비되지 못한 것이 사실이다. 이동통신망은 통신 시설로써 국가적인 기반 시설로 볼 수 있으며, 적절한 보안 기술이 뒷받침 되지 않는다면 해커들에 의해 사이버 테러의 대상이 될 수 있으며, 이동통신 사업자에게 막대한 경제적 손실을 입힐 것으로 판단된다.

한국공개특허 10-2011-0009813호(발명의 명칭: 올아이피 네트워크 환경의 공격 탐지 및 추적 시스템 및 방법)

본 발명의 목적은, 트래픽을 수집하고 비정상 트래픽을 탐지하고, 그리고 탐지된 정보를 기반으로 단말에 대한 전반적인 모니터링과 제어를 수행하는 이동통신망의 보안 시스템을 제공하는데 있다.

본 발명의 부가적인 특성 및 이점들은 아래의 설명에 기재될 것이며, 부분적으로는 상기 설명에 의해 명백해지거나 본 발명의 실행을 통해 숙지될 것이다. 본 발명의 목표 및 다른 이점들은 특히 아래 기재된 설명 및 부가된 도면뿐만 아니라 청구항에서 지적한 구조에 의해 구현될 것이다.

본 발명에 따른 보안 시스템은 트래픽 수집 시스템과 비정상 트래픽 탐지 시스템, 그리고 탐지 정보를 기반으로 단말에 대한 전반적인 모니터링과 제어를 할 수 있는 관제 시스템으로 구성될 수 있으며, 이동통신망에서의 보안 위협을 정의하고 이를 해결하기 위한 방향을 제시하였다.

도1은 일반적인 3G 이동통신망의 구조도.
도2는 일반적인 3G 프로토콜 스택의 구조도.
도3은 본 발명에 따른 보안 시스템의 블록 구성도.
도4는 본 발명에 따른 이동통신망 보안 시스템의 프레임워크를 나타낸 도면.
도5는 3G 이동통신망에서의 이동단말기의 상태변화를 나타낸 도면.

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 이동통신망 보안 시스템은,

SGSN과 GGSN 사이의 구간에 설치되어, 이동통신망으로 유입되는 트래픽을 수집하는 트래픽 수집 시스템과, 상기 트래픽 수집 시스템으로부터 트래픽을 수신하고 필요한 필드를 추출하는 비정상 트래픽 탐지시스템과, 상기 탐지 시스템의 추출 정보를 기반으로 해당 비정상 단말로 인해 발생하는 보안 위협들에 대한 관제를 담당하는 관제 시스템을 포함하여 구성된다.

바람직하게, 상기 비정상 트래픽 탐지 시스템은, 기존에 밝혀진 공격에 대해서 탐지하는 제1엔진과 알려지지 않은 비정상 트래픽을 탐지하는 제2엔진을 포함하여 구성된다.

이하, 본 발명의 바람직한 실시 예를 도면을 참조하여 설명하면 다음과 같다.

도1은 일반적인 3G 이동통신망의 구조도이다.

도1에 도시된 바와 같이, 3G 네트워크는 크게 두 가지 요소 즉, 음성 통신을 위한 서킷망과 데이터 통신을 위한 패킷 망으로 구성된다. 그리고 추가적으로 무선 엑세스를 담당하는 RAN과, 인증 및 과금 등을 위한 시스템들이 존재한다.

도2는 일반적인 3G 프로토콜 스택의 구조도이다.

도2에 도시된 바와 같이, RNC(Radio Network Controller)는 무선자원을 관리하고 SGSN(Serving GPRS Supporting Node)은 데이터망인 패킷망에서의 서비스 관리와 지원을 담당한다. GGSN(Gateway GPRS Supporting Node)은 단말에 대한 IP 할당과 패킷망의 데이터를 IP 패킷으로 변환해 외부 인터넷과의 통신을 지원하는 역할을 수행한다. 각 구성 장비 간에는 터널링으로 데이터를 전송한다. RNC와 SGSN은 Iu-PS 구간으로 주로 ATM 프로토콜을 사용하며, SGSN과 GGSN은 Gn구간으로 GTP 프로토콜을 사용한다. GTP 프로토콜은 외부 인터넷 망과 3G 패킷망의 통신을 위해 SGSN과 GGSN 간의 터널링을 위한 IP기반 프로토콜이다. GTP는 패킷 데이터를 위한 GTP-U, 시그널링을 위한 GTP-C, 과금을 위한 GTP`(GTP 프라임)으로 분류될 수 있다.

이동통신 단말은 3G망을 사용할 수 있는 단말을 의미한다. 이러한 터미널은 대표적으로 스마트폰을 들 수 있으며, 3G통신을 할 수 있는 노트북과 태블릿 등 점차 다양한 단말기들이 등장하고 있다. 특히, 3G 이동통신망을 사용할 수 없어도 Wi-Fi를 사용할 수 있는 단말들이 스마트폰의 테더링을 사용하여 3G 이동통신망을 통해 데이터 통신을 하고 있다.

이러한 다양한 단말들은 각각의 기기 특성에 따라서 발생하는 트래픽이 크게 차이가 난다. 결국 3G 이동통신망을 통해 유입되는 트래픽은 비단 스마트폰 뿐만 아니라 노트북과 넷북 등의 다양한 단말들의 트래픽도 존재한다. 이로써 이동통신 환경에서 볼 수 없던 트래픽들이 다양한 형태로 관찰되게 된다.

도3은 본 발명에 따른 보안 시스템의 블록 구성도이다.

이동통신망은 유선 망과 다른 특징으로 인해 기존의 유선 환경에서 보다 다양한 보안적 문제를 위협받는다. 도3에 도시된 바와 같이, 코어망의 뒷단인 Gi 구간에 IP 기반의 보안 장비를 적용할 수 있지만, 이런 경우 코어망 안에서의 보안 위협을 커버하기는 어려운 상황이다. 따라서 3G 이동통신망에 최적화된 보안 시스템이 필요하다.

본 발명에 따른 보안 시스템은 도3에 도시된 바와 같이, 크게 트래픽 수집 시스템(100)과 비정상 트래픽 탐지 시스템(200), 그리고 탐지된 정보를 기반으로 단말에 대한 전반적인 모니터링과 제어를 할 수 있는 관제 시스템(300)으로 구성될 수 있다.

상기 트래픽 수집 시스템(100)는 상기 SGSN과 GGSN 사이의 Gn 구간에 설치되어, GTP-C/U 등 3G 이동통신망으로 유입되는 트래픽을 수집한다.

상기 비정상 트래픽 탐지 시스템(200)은 상기 트래픽 수집 시스템(100)으로부터 트래픽을 수신하고 필요한 필드를 추출한다.

그리고, 상기 관제 시스템(300)은 3G 이동통신망을 대상으로 한 공격들의 탐지 정보를 관리하고 차단하기 위해 필요한 모듈과 인터페이스 및 데이터베이스 제공한다.

도4는 본 발명에 따른 이동통신망 보안 시스템의 프레임워크를 나타낸 도면이다.

도4에 도시된 바와 같이, 상기 트래픽 수집 시스템(100)은 코어망의 PS(패킷 교환영역)에서 트래픽을 수집하여 유용한 정보들을 수집한다. 트래픽 수집 시스템(100)은 PS(패킷 교환영역)에서의 주요 구간인 Iu-PS 및 Gn, Gi 구간에서의 트래픽을 수집하여 의미있는 정보들을 추출하고, 각각의 사용자 별로 통신 행위를 추적할 수 있다. PS(패킷 교환영역)에서의 주요 프로토콜로는 GTP-C, GTP-U, GTP`이 있는데, 상기 GTP-C는 단말의 상태에 따른 제어 프로토콜이며, 상기 GTP-U는 실질적인 데이터를 송수신하는 프로토콜이다. 그리고 상기 GTP`(GTP 프라임)은 과금을 위한 CDR(Call Detail Record)데이터를 생성하는데에 사용된다. PS(패킷 교환영역)의 SGSN(Serving GPRS Supporting Node), GGSN(Gateway GPRS Supporting Node)간에는 GTP로 터널링되는데, 터널링을 위한 헤더로 인해 PDU의 단편화가 발생한다. 이는 Gn 구간에서의 트래픽 재조합이 어려워지는 원인이 된다. 따라서, 상기 트래픽 수집 시스템(100)은 상기 SGSN과 GGSN 사이의 Gn 구간에 설치되어 사용자 세션을 식별하고, Gi 구간에서 IP 기반 트래픽을 분석하게 된다.

통신망은 실질적으로 수직적인 트리 구조이고 RAN이 SGSN보다 매우 많이 존재하기 때문에, 전체 네트워크를 대상으로 하기에는 비용이 많이 들어가는 단점이 있지만, 상기 트래픽 수집 시스템(100)이 GTP 프로토콜 이외에 Iu-PS 및 RAN 구간의 트래픽에서 무선 자원의 할당과 해제에 관한 시그널링 및 데이터 트래픽에 대해서 분석하는 것도 고려해 볼 수 있다. 하기 [표 1]은 본 발명에 따른 트래픽 수집 시스템(100)의 기능들을 나타낸 테이블이다.

주기능	세부기능	개략설명
메시지 수집/파싱	GTP C/U 수집 기능	- Gn 구간의 Out-bound GTP-C/U 트래픽을 수집할 수 있는 기능
	GTP C/U 파싱 기능	- 수집된 GTP-C/U 트래픽을 정책에 따라 특정 필드를 추출하여 구조화하는 기능
정책 관리	정책 설정/관리 기능	- GTP-C/U 패킷 수집 필드, 로그 전송 주기 등을 설정하고 관리할 수 있는 기능
로그 관리/ 전송	로그 관리 기능	- 파싱된 GTP-C/U 정보를 기록하고 관리하는 기능
	로그 전송 기능	- 파싱된 GTP-C/U 정보를 물리적으로 분리된 시스템에 전송할 수 있는 기능

상기 비정상 트래픽 탐지 시스템(200)은 3G 이동통신망에서 발생 가능한 보안 위협 시나리오의 분석을 통해 명확한 특징을 추출하여, 기존에 밝혀진 공격에 대해서 탐지하는 엔진(미도시, 이하, '제1엔진'이라 함)과 알려지지 않은 비정상 트래픽을 탐지하는 엔진(미도시, 이하 '제2엔진'이라 함)을 포함하여 구성된다. 네트워크에서의 비정상 행위 탐지는 오탐율과 미탐율에 대한 전제가 있기 때문에, 비정상 트래픽 탐지 시스템(200)은 알려진 공격에 대해서는 명확하게 탐지하고 알려지지 않은 비정상 행위는 보다 세밀한 분석을 통해 오탐과 미탐을 최소화한다.

그리고, 알려진 공격에 대해서는 해당 트래픽의 3G 코어 망에서 나타나는 트래픽 특성을 분석하고, 이를 메트릭으로 사용하여 탐지한다. 기존에 연구된 비정상 행위 탐지는 정상 행위에 대한 레퍼런스 셋을 사전에 추출하고, 현재 시점에서의 상태와 비슷한 리소스를 가진 정상 셋과 비교하는 방안이 제시되었는데, 이는 각 나라와 이통사업자들의 네트워크 특성에 따라 검증될 필요가 있다. 또한 최근 모바일 서비스와 그 특징에 따라 서비스 이용 형태에 대한 고려가 선행 연구되어야 하고, 이를 기반으로 선별적인 탐지방안이 필요하다. 또한 탐지결과는 해당 현상을 발생시키는 단말의 식별이 가능해야 한다.

본 발명에 따른 비정상 트래픽 탐지 시스템(200)은 상기 트래픽 수집 시스템(100)로부터 트래픽을 수신하고 필요한 필드를 추출한다. 그리고, GTP-C/U Header 및 Ext Header 오류 및 GTP-in-GTP 등 비정상 GTP 메시지를 탐지하고, 시그널링 도스(Signaling DoS), 스캐너(Scanner), 비정상 트래픽 등을 탐지한다. 또한, CDR 정보 관리 시스템으로부터 탐지한 비정상 트래픽에 대한 사용자를 조회하고, 오류메시지를 생성하여 상기 관제 시스템(300)으로 전달한다. 하기 [표 2]는 본 발명에 따른 비정상 트래픽 탐지 시스템(200)의 기능들을 정리한 것이다.

주기능	세부기능	개략설명
메시지 수신/파서	메시지 수신 기능	- 물리적으로 분리된 시스템으로부터 메시지를 수집할 수 있는 기능
	메시지 파싱 기능	- 비정상 GTP 메시지, GTP-in-GTP, 스캐닝 트래픽, 시그널링 DoS 트래픽, 비정상 데이터 트래픽 등 탐지를 위한 필드를 추출하여 구조화하는 기능
비정상 트래픽 탐지	비정상 GTP 메시지 탐지 기능	- GTP Header 및 Ext Header를 분석하여 비정상 GTP 메시지 탐지 및 오류 필드를 추출하는 기능
	GTP-in-GTP 탐지 기능	- GTP-U의 데이터 부분을 분석하여 비정상 GTP-in-GTP 패킷 탐지 및 오류 필드를 추출하는 기능
	스캐닝 트래픽 탐지 기능	- GTP-U를 분석하여 스캐닝 트래픽 탐지 기능
	시그널링 DoS 트래픽 탐지 기능	- GTP-C를 분석하여 시그널링 DoS 트래픽 탐지 기능
	비정상 데이터 트래픽 탐지 기능	- 트래픽 유발 단말 수, 트래픽 발생 패턴 등을 이용하여, 비정상 여부를 판단하는 기능
	비정상 GTP Flooding 탐지 기능	- 일정 시간동안 발생하는 GTP 트래픽의 볼륨 등을 분석하여 비정상 여부를 판단하는 기능
통신플로우 관리	삽입 기능	- 파싱된 정보를 저장소 또는 메모리 등의 공간에 쓰는 기능
	갱신 기능	- 파싱된 정보와 일치하는 정보를 찾아 저장소 또는 메모리 등의 공간을 갱신하는 기능
	초기화 기능	- 특정 조건을 만족하였을 때, 저장소 또는 메모리 공간의 플로우를 삭제하는 기능
탐지 정책 관리	탐지 정책 관리	- 정책 저장소로부터 최신의 탐지 정책을 로드하여 비정상 트래픽 탐지에 반영하는 기능
탐지 이벤트 관리	탐지 이벤트 관리 기능	- 비정상 트래픽 탐지 모듈에서 생성된 에러 메시지를 기록하고 탐지 결과 저장소에 저장하는 기능

상기 [표 2]의 저장소는 데이터베이스를 포함하여 논리적/물리적 데이터를 저장하는 객체를 의미하며, 시스템 구현상에 데이터베이스뿐만 아니라 다른 저장 메커니즘도 쓰일 수 있다.

비정상 단말에 대한 모니터링과 제어를 수행하는 상기 관제 시스템(300)은 상기 탐지 시스템(200)으로부터 탐지된 정보를 기반으로 해당 비정상 단말로 인해 발생하는 보안 위협들에 대한 관제를 담당한다. 그리고, 3G 이동통신망을 대상으로 한 공격들을 탐지한 정보를 관리하고 차단하는데 필요한 모듈과 인터페이스 및 데이터베이스를 제공한다.

단말에 대한 모니터링, 수집 및 탐지는 개인 프라이버시의 침해문제를 일으킬 수 있으므로, 관제 시스템(300)에서는 실제 사용자가 누구인지 식별할 수 없고, 해쉬 테이블과 같은 정보만으로 단지 사용자들만을 식별할 수 있으며, 패킷의 페이로드도 볼 수 없다. 관제 시스템(300)은 망에 심각한 영향을 주어 다른 사용자들의 통신을 방해할 수 있는 단말에 대해 제재를 가한다.

악성 트래픽이 발생하는 원인은 악성 어플리케이션에 의한 것이거나, 개별 악성 코드에 감염된 것일 수도 있다. 단말의 제어를 위해서 관제 시스템(300)은 안드로이드에서 공식적으로 제공하는 원격 앱(app) 삭제 기능을 사용하거나, 혹은 악성 트래픽의 목적지에 대한 싱크홀과 같은 기본적인 대응 방안을 고려할 수 있다. 위급한 상황일 경우, 강제적으로 데이터 통신을 차단하거나, 이동통신 가입자에 대한 정보를 저장하는 HLR(Home Location Register)에서 일시적으로, 제어하여 단말의 인증을 막는 극단적인 방법을 취할 수도 있다. 단말에 대한 제어는 실제 사용자에게 이루어지는 부분이기 때문에 센스티브한 접근이 필요하다. 하기 [표 3]은 본 발명에 따른 관제 시스템(300)의 기능들을 나타낸 테이블이다.

주기능	세부기능	개략설명
탐지 정보 검색(조회) 기능	탐지 정보 검색(조회)	- 특정 기간 탐지된 비정상 트래픽에 대한 정보 검색, 조회 - 비정상 트래픽 유형별 정보 검색, 조회 ※ GTP-in-GTP, 비정상 GTP, GTP flooding, 스캐닝, 시그널링 DoS, 트래픽 flooding 등 - 비정상 트래픽을 유발한 단말별 정보 검색, 조회 ※ 단말 정보 : IMSI(가입자 번호), MSISDN(전화번호), 단말 기종등 - 탐지된 비정상 트래픽에 대한 노드 경로별 정보 검색, 조회
시각화 기능	실시간 탐지 정보 시각화	- 실시간 탐지된 비정상 트래픽과 이에 대한 단말, 경로, 위험도를 연계한 정보 시각화 - 실시간 탐지되고 있는 비정상 트래픽의 상세 노드경로 시각화 - 비정상 트래픽을 수행하고 있는 단말들의 수와 해당 경로에 대한 실시간 시각화
	통계 정보에 대한 시각화	- 탐지된 비정상 트래픽별 분류 통계에 대한 시각화 - 탐지된 단말 정보 통계에 대한 시각화 - 노드 경로당 비정상 트래픽이 탐지된 단말 수 통계에 대한 시각화 - 특정 단말의 탐지 통계에 대한 시각화 - 블랙리스트 Top 10에 속한 단말이 탐지된 횟수 통계에 대한 시각화 - 블랙리스트 Top 10에 속한 단말의 비정상 트래픽별 탐지 횟수 통계에 대한 시각화 - 각 공격에 대한 시간대별 평균 탐지 횟수 통계에 대한 시각화
단말 모니터링/ 차단 기능	단말 모니터링	- 비정상 트래픽을 유발한 단말에 대한 실시간 상세 탐지 정보 - 실시간과 블랙리스트 가운데 우선 정렬 옵션 제공 ※ 둘 다 선택 시 실시간 정렬 후 블랙리스트 정렬 - 차단된 단말의 상세 정보와 차단 위치 정보 제공 ※ IPS 혹은 관제시스템
	단말 차단 기능	- 탐지된 단말들에 대해 일괄 차단 기능 - 탐지된 단말들에 대해 선택적 차단 기능 - 차단된 단말에 대한 상세 정보 유지
통계/리포팅 기능	탐지된 비정상 트래픽 정보 통계	- 탐지된 비정상 트래픽별 분류 통계 ※ 기간 설정 가능 - 각 비정상 트래픽에 대한 시간대별 평균 탐지 횟수 통계 ※ 기간 설정 가능
	비정상 트래픽을유발한 단말 통계	- 탐지된 비정상 트래픽 유발 단말 정보 통계 ※ 기간 설정 가능, 단말 종류에 따른 분류 제공 - 블랙리스트 Top 10에 속한 단말이 유발한 전체 비정상 트래픽에 대한 탐지 횟수 통계 - 블랙리스트 Top 10에 속한 단말이 유발한 비정상 트래픽별 탐지 횟수 통계 - 특정 단말의 탐지 통계 - 노드 경로당 비정상 트래픽을 유발한 단말 수 통계
	리포팅 생성	- 탐지된 비정상 트래픽 정보에 대한 리포팅 생성 - 비정상 트래픽을 유발한 단말 정보 리포팅 생성
블랙리스트 생성/갱신 기능	블랙리스트 생성	- 특정 단말의 탐지 이력 정보들을 바탕으로 해당 단말의 블랙리스트 점수를 산출 ※ 블랙리스트 점수: 비정상 트래픽의 위험도, 빈도 등을 바탕으로 산출 - 산출된 블랙리스트 점수를 이용하여 탐지된 단말들의 블랙리스트를 생성
	블랙리스트 갱신	- 블랙리스트 점수는 주기적으로 갱신 - 블랙리스트 갱신은 특정 시간, 혹은 관리자의 입력 ※ 블랙리스트 갱신: 마지막 갱신 시간부터 현재까지 탐지된 단말에 대해서만 블랙리스트 점수 갱신 후 블랙리스트 갱신

이동통신망은 기존의 유선 환경과 비교되는 몇 가지 특징을 가지고 있다. 각 인프라가 목적하는 바가 달랐기 때문에 이동통신망은 기존의 유선 환경보다 상대적으로 좁은 대역폭과 제한된 무선자원, 그리고 자원 관리를 위한 별도의 시그널링이 필요하다. 이러한 특징은 기존에 유선 환경에서의 악성 트래픽, 그리고 기존에 문제가 되지 않았던 트래픽이더라도 망 안정성에 큰 영향을 줄 수 있다.

또한, RAN의 부하는 데이터 통신뿐만 아니라 음성 통신 서비스까지 마비될 수 있는 심각한 상황이 될 수 있다.

이동통신단말은 휴대가 용이한 특징으로 전력의 관리가 매우 중요한 요소가 된다. 단말에서 수행되는 모든 작업은 전력의 소모로 이어지며, 따라서 불필요한 프로세스가 많으면 그만큼 전력의 소비로 이어지게 된다. 이러한 경우는 크게 두 가지를 들 수 있는데, 첫번째로 지속적인 통신으로 인한 자원 소모와 두번째로 높은 비용을 가지는 작업을 반복하여 단말의 자원을 소모시키는 경우가 있다.

첫 번째로, 지속적인 통신으로 인한 자원 소모의 경우는 비정상적인 서비스로 인한 지속적인 통신, 악성코드에 감염되어 발생되는 주기적인 통신을 들 수 있다. 특히, 모바일 네트워크 내부에 악성코드에 감염된 단말이 지속적인 스캐닝을 할 경우, 내부의 여러 단말에 동시에 불필요한 통신으로 자원을 소모할 수 있다.

두 번째로, 높은 비용을 가지는 작업을 반복하여 소모시키는 경우는 무선 자원의 할당과 해제를 짧은 주기로 반복하는 시나리오를 들 수 있다. 이동통신망을 통해 통신을 하기 위해서는 단말이 무선자원을 할당 받아야 한다. 이는 물리적인 기지국으로부터 할당되는데, 각 기지국은 할당할 수 있는 무선 자원이 제한적이다. 따라서 기지국에서는 특정 단말에게 무선자원을 할당하고, 이후 통신이 없으면 무선자원을 해제하게 된다. 무선자원의 할당과 해제는 단말의 입장에서 매우 높은 시그널링 처리를 요구한다. 도5는 3G 이동통신망에서의 이동단말기의 상태변화를 나타낸 도면이다.

무선자원을 자동적으로 해제하게 되는 타이머 t는 통신 사업자가 정할 수 있는 값이다. 이 t보다 약간 긴 주기로 패킷을 보내게 되면, 해제를 하는 동시에 다시 무선자원을 할당하는 절차를 진행하게 된다. 단말은 무선자원의 할당과 해제가 반복됨에 따라 단말의 자원이 크게 소모되게 된다.

이동통신망은 유선 망과 비교하여 복잡한 프로토콜 스택을 가지고 있으며, 유선에서의 같은 트래픽이라도 무선 망에서는 그 트래픽을 처리하기 위해 상대적으로 보다 높은 비용이 요구된다. 이동통신망이 인터넷 망과 연결되면서 불필요한 트래픽이나 스캐닝과 같은 악성 트래픽이 유입되는데, 이러한 트래픽은 유선 망에서처럼 특정 대상에 피해를 주느냐 보다, 트래픽이 흘러다닌다는 것 자체가 망에 대한 공격이 될 수 있다. 이동통신망의 중요한 자원은 무선 자원으로 볼 수 있는데 각 기지국은 한정된 무선 자원을 가지고 있다. 따라서 한 기지국당 수용할 수 있는 단말은 제한적이기 때문에 단말이 필요한 경우에만 무선자원을 배정했다가 일정 시간 통신이 없으면 회수하여 다른 단말이 사용할 수 있도록 한다. 하지만 악의적인 목적으로 무선자원이 해제되는 타이머 t보다 적은 시간 주기를 가지고 통신을 하게 되면, 해당 단말이 무선 자원을 점유하게 되고, 다른 단말이 사용하지 못하게 된다. 이러한 비정상적인 통신이 지리적으로 골고루 분포된 소수의 단말일 경우에는 심각하지 않을 수 있지만, 다수의 단말일 경우 해당 기지국이 커버하는 영역에 음성 및 데이터 서비스에 장애가 발생할 수 있다.

메신져 서비스는 인터넷을 사용하는 서비스 중, 가장 대표적인 연결형 서비스로 볼 수 있다. 메신져 서비스를 이용하기 위해서는 서비스 서버와 연결을 유지하고 있어야 한다. 이 연결은 주기적인 통신으로 유지되며, 일정 시간 동안 연결이 되지 않을 경우에는 재 연결을 시도한다.

이동통신 환경에서의 메시징 서비스는 이동통신 환경이 주는 이동성과 함께 주요한 이동통신 서비스로 자리잡았다. 기존의 유선 환경에서는 PC라는 고정된 단말끼리의 통신이었지만, 모바일 환경에서는 3G 데이터 네트워크를 사용하면 높은 이동성을 가지면서 실시간으로 메시지를 송수신할 수 있다.

모바일 메시징 서비스가 대표적인 모바일 킬러 서비스로 부각되자 많은 사용자들이 필수적으로 이러한 메시징 서비스를 이용한다. 하지만 메시징 서비스가 무선 환경을 고려하지 않고 설계된 경우, 서비스 서버의 비정상적인 종료에 의해 모바일 망에 큰 부하를 줄 수 있다.

서비스 서버의 비정상적인 종료로 인해서 서비스를 이용하는 다수의 단말은 지속적인 재시도를 하게 된다. 단말에서의 재접속 시도는 개별 단말에서 보면 큰 문제가 되지 않지만, 이동통신망 구조상 상위로 갈수록 집중화된 현상이 발생한다. 그리고 재접속 시도는 일정 시간이 지나면 점점 짧은 주기로 재접속을 시도하게 되며 결국 서비스 사용자 전체가 짧은 주기동안 지속적으로 재접속을 요구하는 상황이 발생한다. 이 과정에서 문제가 되는 것은, 단말에서 재접속을 위한 반복적인 시도로 단말의 자원이 소모되고, 짧은 주기로의 재접속은 서비스를 이용하는 모든 단말이 무선자원을 점유하도록 한다. 그리고 궁극적으로 3G 데이터 네트워크는 지리적으로 분산된 다수의 단말로부터 재접속 요청(SYN)을 짧은 시간에 지속적으로 받게 되어 SYN을 이용한 DDoS 공격의 효과를 볼 수 있다. 이는 RNC와 SGSN이 큰 부하를 받게 되어 데이터 망의 장애를 가져온다. 특히 PS(Packet Switching)와 CS(Circuit Switching)를 분류하는 RNC(Radio Network Controller)에 장애가 발생할 경우, 음성 서비스까지 장애가 발행하게 되어, 잠재적인 심각한 보안 위협이 존재한다.

이동통신망에 대한 연구는 주로 유럽에서 이루어져 왔다. 특히 METAWIN 프로젝트를 진행했던 오스트리아는 3G 이동통신망에서의 보안 위협을 인지하고 관련된 연구를 2004년부터 진행하였는데, DARWIN 프로젝트를 함께 진행하며 3G 이동통신망에서 데이터 트래픽을 수집하고 분석하여 비정상 행위를 탐지하는 연구를 진행하였다

DARWIN은 METAWIN에서 파생된 프로젝트로써, 3G망에서의 비정상 트래픽을 수집하고 분석하기 위해 진행되었다. 2004년부터 시작돤 METAWIN 프로젝트는 이후 DARWIN프로젝트로 이어오면서 3G환경에서의 네트워크를 모니터링하고 데이터 흐름을 분석하여 비정상 현상을 탐지하는 연구를 진행하였다. DARWIN 프로젝트는 오스트리아의 이통사업자 및 학계가 참여하여 이루어졌으며 실제 프로토 타입을 구현하여 실험 결과를 수년간에 걸쳐 발표하였다.

DARWIN에서 수행한 연구는 크게 보안 위협과 이동통신망의 트래픽 모니터링, 분석 방안, 그리고 비정상 트래픽의 탐지방안 연구로 볼 수 있다. DARWIN에서는 이동통신망에서의 비정상 데이터를 정의하고, 이동통신망과 단말에 대한 자원고갈의 문제점을 지적하였다. 이러한 현상을 분석하기 위해 DARWIN에서는 망에서 주요 모바일 망 구간에 트래픽을 수집하는 방안을 제시하였다.

이동통신망은 기존의 유선망과는 다른 형태의 네트워크이며, 이러한 이기종 간의 네트워크가 연결되면서 모바일 망에서 감당하기 어려운 트래픽이 유입된다. 이동통신망의 제한된 무선자원과 협소한 대역폭의 특징은 단말의 자원 고갈 및 무선 자원의 고갈 등 다양한 잠재적 보안 위협을 가지고 있다.

현재 직면한 3G 이동통신망의 보안 위협은 LTE(Long Term Evolution), LTE(Long Term Evolution) Advance등 4G로 발전하게 되더라도 해결될 수 있는 문제가 아니다. 이동통신망의 발전이 현재의 이동통신망의 협소한 대역폭을 높여주지만, 현재의 데이터 트래픽 증가추세를 보면 그 속도를 따라가기에는 무리가 있다. 또한, 이동통신망이 발전할수록 잠재적인 보안 위협은 기존의 유선 환경에서의 보안 위협과 마찬가지로 나타나게 될 것이며, 결국 모바일 봇넷 등 현재의 유선환경에서의 보안 위협이 동일하게 나타나게 될 것이다.

그 동안의 이동통신망 보안관련 연구들은 다양한 보안 위협 시나리오에 대해서 그 현상을 분석하고 탐지하는 방안을 제시하였지만, 명확한 대응 방안은 제시하지 못하였다. 이는 이동통신망 사업자의 입장에서 특정 사용자를 제어하는 것에 있어 사회적 책임과 공감대가 형성되지 않은 이유도 있다. 하지만 본 발명은, 이동통신망에 심각한 안정성을 위협할 수 있는 상황이 발생할 경우, 정확한 탐지와 함께 해당 사용자들의 적절한 제재를 가할 수 있을 것으로 기대된다.

따라서 이동통신망의 특성에 따른 최적화된 보안 기술의 개발이 필요하다. 본 발명은 3G 및 향후 4G로 발전함에 따라 발생할 수 있는 보안 위협을 지속적으로 연구하고, 이를 탐지하고 대응할 수 있는 보안 시스템을 구현하였다.

이상, 본 발명에 따른 보안 시스템은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 그리고 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.

상기 컴퓨터가 읽을 수 있는 매체의 예로는, ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 상기 컴퓨터는 보안 시스템을 포함할 수도 있다.

본 발명은 도면에 도시된 실시 예(들)를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형이 이루어질 수 있으며, 상기 설명된 실시예(들)의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

이상에서 설명한 바와 같이, 본 발명에 따른 보안 시스템은 트래픽 수집 시스템과 비정상 트래픽 탐지 시스템, 그리고 탐지 정보를 기반으로 단말에 대한 전반적인 모니터링과 제어를 할 수 있는 관제 시스템으로 구성될 수 있으며, 이동통신망에서의 보안 위협을 정의하고 이를 해결하기 위한 방향을 제시하였다.

100 : 트래픽 수집 시스템
200 : 비정상 트래픽 탐지 시스템
300 : 관제 시스템

Claims (5)

1. SGSN과 GGSN 사이의 구간에 설치되어, 이동통신망으로 유입되는 트래픽을 수집하는 트래픽 수집 시스템(100)과;
   상기 트래픽 수집 시스템으로부터 트래픽을 수신하고 필요한 필드를 추출하는 비정상 트래픽 탐지시스템(200)과;
   상기 탐지 시스템(200)의 추출 정보를 기반으로 해당 비정상 단말로 인해 발생하는 보안 위협들에 대한 관제를 담당하는 관제 시스템(300)을 포함하여 구성되며,
   상기 비정상 트래픽 탐지 시스템(200)은
   기존에 밝혀진 공격에 대해서 탐지하는 제1엔진과;
   알려지지 않은 비정상 트래픽을 탐지하는 제2엔진을 포함하는 것을 특징으로 하는 이동통신망 보안 시스템.
2. 삭제
3. 제1항에 있어서, 상기 비정상 트래픽 탐지 시스템(200)은
   CDR 정보관리 시스템으로부터 탐지한 비정상 트래픽에 대한 사용자를 조회하고, 오류메시지를 생성하여 상기 관제시스템으로 전달하는 것을 특징으로 하는 이동통신망 보안 시스템.
4. 제1항에 있어서, 상기 관제 시스템(300)은
   이동통신망을 대상으로 한 공격들의 탐지 정보를 관리하고 차단하기 위해 필요한 모듈과 인터페이스 및 데이터베이스를 제공하는 것을 특징으로 하는 이동통신망 보안 시스템.
5. 제1항에 있어서, 상기 트래픽 수집 시스템(100)은
   패킷 교환영역(PS)의 주요 구간인 Iu-PS 및 Gn, Gi 구간에서 트래픽을 수집하고 특정 필드의 정보들을 추출하여, 각각의 사용자 별로 통신 행위를 추적하는 것을 특징으로 하는 이동통신망 보안 시스템.

Images