죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

5G 보안에 필요한 융합 기술

PDF 다운로드

글/스테판 에반크주크(Stephen Evanczuk), Mouser Electronics

다양한 첨단 기술이 융합되어 구현되는 5G 네트워크는 유례없는 수준의 성능과 서비스를 바탕으로 전자제품, 개인, 기업, 심지어 국가들까지 무선으로 상호연결 할 것을 약속한다. 5G 인프라를 뒷받침하는 기술들은 기존 통신 네트워크들이 디지털 방식으로 변환되는 과정을 완성하며, 빠르게 변화하는 수요에 대응할 수 있도록 더욱 유동적으로 네트워크를 구성한다. 그러나 이러한 네트워크와 사용자들을 보호하려면 다양한 첨단 기술들을 결합해서 사이버 공격을 거르는 체가 아니라 방패로 작동하도록 기능을 확립해야 한다. 5G 네크워크는 연결된 현대 사회의 모든 영역에 도달할 것으로 예상되기 때문에 이러한 과제는 반드시 해결해야 한다.
5G 네트워크 내 계층에서 핵심 기술들은 이동통신의 본질을 변화시키는데, 종종 근본적인 변화를 가져오기도 한다. 최저 계층에서 보더라도 5G 무선 밀리미터파(mmWave) 주파수는 가용 주파수대를 대폭 높이지만 네트워크 토폴로지에 근본적인 변화를 가져온다. 현재 운영 중인 대형 기지국 형태의 셀룰러 네트워크 대신 GHz 주파수 신호는 도달 범위가 축소되고 구조물 통과 능력이 제한적이어서 더 많은 5G 셀을 촘촘하게 배치해야 한다. 사용자 인근 또는 심지어 개별 건물에 위치하는 5G 스몰셀은 새로운 네트워크 아키텍처의 변화를 가장 분명하게 보여주는 증거로, 통신용 네트워크보다 계층에 따라 배분되는 컴퓨팅 환경과 더욱 유사하다. 5G 인프라에서 스몰셀 주변에 설치되는 무선 접속 네트워크(RAN)는 로컬 다중접속 엣지컴퓨팅(MEC) 시스템을 이용해서 최종 장치에 대한 대기시간을 줄이고 로컬에서 데이터를 처리함으로써 클라우드에 대한 부하를 줄이는 방식으로 소프트웨어 기반의 5G 코어 네트워크 클라우드와 상호작용한다.
스몰셀의 경우 5G 네트워크에 대한 사용자의 관점과 긴밀하게 연관되는 경우가 많지만 5G 코어는 이러한 새로운 소프트웨어를 기반으로 하는 통신 프레임워크의 핵심이다. 현재 제공되는 공공 클라우드 서비스처럼 5G 코어는 소프트웨어 정의 네트워킹 및 가상화 개념을 중심으로 개발된 소프트웨어 기술을 이용해서 애플리케이션과 서비스를 하드웨어의 속박에서 해방시킨다.
• 소프트웨어 정의 네트워킹(SDN): 제어 영역과 데이터 영역을 분리해서 통신 네트워크 구성과 성능에서 더 많은 유연성 제공. 이 과정은 어떠한 숫자로 정의된 경로에서도 코어를 통해 데이터 흐름을 허용한다.
• 가상화: 하드웨어 리소스로부터 애플리케이션 또는 서비스 수준의 기능을 분리. 이렇게 분리된다는 것은 네트워크 공급자들이 컴퓨팅 백본의 규모를 키워서 가상화 된 서비스를 채용함으로써 성능에 대해 변화하는 수요를 충족시킬 수 있음을 의미한다. 아래에서 설명할 내용이지만, 이러한 능력을 갖춘 네트워크 공급자는 네트워크에서 어떠한 점에서 라도 특수화된 서비스를 추가할 수 있다. 지금까지 네트워크 내 특정 물리적 위치에서 리소스를 프로비저닝 하려면 비용과 지연시간이 발생했지만 앞으로는 그럴 일이 없다.

MEC: 보안 및 개인정보 보호 성능 향상

SDN, 가상화, 클라우드 서비스는 절대 새로운 개념이 아니다. 그러나 5G의 계층 아키텍처에서 다른 소프웨어 기반의 요소들과 결합해서 사용되면서 보안 수준을 향상시킬 수 있는 참신한 능력들이 개발되었다. MEC 리소스를 사용할 수 있으면 이러한 네트워크에서 보안과 개인정보 보호 성능을 대폭 개선할 수 있다. 보안 성능을 개선하기 위해 이러한 엣지 컴퓨팅 리소스는 로컬 RAN 내에서 더욱 확장된 운용 방법을 채용할 수 있으며, 셀 커미셔닝/디커미셔닝 및 셀 펌웨어의 안전한 무선 업데이트 등 관리에 필요한 필수 기능을 제공할 수 있다.
MEC 시스템은 최종 장치와 클라우드 기반 서비스를 연결하는 과정에서 여러 방법을 이용해서 보안과 사용자의 개인정보를 향상시킬 수 있다. 예를 들어, MEC 시스템은 중재자의 역할을 맡아 더욱 안전한 인증 결과를 도출할 수 있다. 덕분에 중간자 공격의 가능성이 감소하고, 도청될 수 있는 개인 식별 정보(PII)의 양도 감소한다. 이러한 기본적인 서비스에서 수행하는 역할 이외에도 MEC 시스템은 최종 장치와 하이브리드 클라우드 간 연결장치의 역할도 맡아서 PII 등 민감한 데이터를 보호하는 민간 자원과 공공 클라우드 코어를 결합할 수 있다.
MEC 구성요소들이 보안을 강화하는 데 도움을 줄 수 있지만 5G 네트워크의 확장된 소프트웨어 기초는 새로운 접근 방식을 통해 보안 성능을 향상시킨다. 가령, 5G 네트워크에서 가상화는 클라우드 가상 머신 또는 컨테이너 등 가상화 된 환경과 일반적으로 관련된 절연 이상의 기능을 제공한다. 5G 무선에서 이러한 개념은 네트워크 기능 가상화(NFV)라고 부르는 개념으로 확대된다. NFV는 부하 분산기 또는 방화벽 등 기존 하드웨어를 기반으로 하는 네트워크 노드의 기능을 소프트웨어 기반의 서비스로 변경해서 서비스 공급자가 필요한 곳에 배치할 수 있는 것으로, 변화하는 수요에 맞춰 규모를 변경할 수 있다.

NFV: 필수 조력자

NFV는 5G 비전을 구현하기 위한 필수 조력자로, 적합한 성능, 신뢰도, 기능에 맞춰 네트워크-서비스 공급을 조율해서 특정 서비스 목표를 충족할 수 있는 잠재력을 갖췄다. NFV는 이미 5G 테스트베드 및 초기 배치에서 모니터링 및 검사 등 개발에 필요한 기능을 제공한다.
보안과 관련해서 NFV 개념은 현재의 접근방식보다 큰 장점을 갖췄다. 가상화 개념을 이용해서 성능을 확대하는 것 이외에도 서비스 공급자는 NFV를 이용해서 위험 감지 및 반응 속도 성능을 향상시킬 수 있다. 첫 번째 공격 신호가 감지되면 서비스 공급자의 모니터링 시스템은 NFV 방화벽을 업그레이드해서 필터링 성능을 강화하고 심지어 하드웨어 리소스를 확장해서 공격이 지속되는 동안 동일한 품질의 서비스를 제공할 수 있다. 서비스 공급자는 SDN 특성을 이용해서 네트워크를 재구성하고 방어 노드를 공격이 시작된 지점에 더욱 가까이 위치시켜서 궁극적으로 배드 트래픽을 굿 트래픽으로부터 분리할 수 있다. 이렇게 광범위한 접근방식을 이용해서 서비스 공급자와 서드파티는 결국 구성, 노드 능력, 클라우드 기반의 애플리케이션을 매개변수로 설정해서 서비스로서의 주문형 보안(on-demand security-as-a-service) 서비스를 제공할 수 있다. 이러한 개념은 네트워크 슬라이싱이라는 5G 기능으로 자리하고 있다.

네트워크 슬라이스

네트워크 슬라이스는 원래 동결된 네트워크 구성 방식으로, 동일한 5G SDN 및 가상화 성능을 이용해서 네트워크 이벤트에 대해 동적 실시간 반응을 가능하게 한다. 공유된 리소스를 통해 암호화된 트래픽을 VPN 서버로 전달하는 가상 사설망(VPN)과 달리 네트워크 슬라이스는 SDN 설정에서 정의되고 NFV 서비스로 제공되는 전용 가상 리소스 세트로 구성된다. 앞서 기술했듯이 보안 수준이 높은 슬라이스에는 공격에 대해 주문형 반응보다는 향상된 NFV 방화벽과 방어 노드가 ‘동결된’ 구성의 일부로 포함될 것이다.
이와는 반대로, 사물인터넷(IoT) 애플리케이션용으로 개발된 슬라이스는 일부 보안 정책을 완화시킬 것이므로, 예를 들어, 자원에 제한이 있는 IoT 센서가 제공하는 비교적 가벼운 보안 성능을 따를 것이다. 동시에 금융 네트워크에 사용되는 슬라이스는 상이한 SDN 설정을 이용해서 보안뿐만 아니라 대용량, 저대기시간 거래에 최적화된 NFV 서비스가 제공될 것이다. 특정 도메인에 대한 요구사항에 최적화된 슬라이스를 매칭할 수 있는 능력이 있으면 과장될 수 없는 중요한 보안 성능을 제공한다. 절연 기능을 향상시키는 미세 분할(micro-segmentation) 같은 개념과 결합된 5G 솔루션은 고유의 주문형 네트워크(ASN)를 지원 및 보호하는, 부상 중인 다양한 도구들을 서비스 제공자에게 제공한다.

보안에 대한 도전

(1) 물리적 침입
5G 인프라에 기본 포함된 기술들이 잠재적으로 많은 장점이 있지만 이러한 기술들을 새로운 아키텍처에서 구현하는 것은 보안에 대한 도전을 의미한다. 심지어 가장 기본적인 요소인 스몰셀조차 보안에 대한 우려사항을 증대시킨다. 현재 사용 중인 기지국도 물리적 공격에 대해 적어도 일정 수준 취약하지만, 스몰셀은 물리적으로 더욱 취약하며, 대량 배치할 필요가 있는 상황에서는 더욱 간단하게 스몰셀에 접근할 수 있다.
그러나 스몰셀에 물리적으로 접근해서 네트워크에 침투할 가능성은 현실적으로 최소한의 수준에 불과하다. 이렇게 볼 수 있는 이유는 가령 관련 산업에서 공공설비에 스마트 계량기를 설치하면서 꽤 많은 통찰력과 경험을 쌓았으며, 스마트 계량기에서 사용되는 조작 및 침입 감지 메카니즘의 성능이 입증되어 스몰셀에 대한 물리적 공격의 영향이 제한적이기 때문이다. 물론 사이버 도둑은 5G 네트워크 인프라, 서비스, 또는 사용자를 공격하기 위해 스몰셀을 물리적으로 접근하지는 않는다. 사실 소프트웨어 비중이 높은 과중한 아키텍처와 새로운 운영 모델이 결합되면 단순히 물리적으로 접근하는 것보다 5G 네트워크에서 더욱 다양한 형태로 위협이 발생할 것이다.

(2) 소프트웨어적 침입
소프트웨어 주도의 서비스를 기반으로 구축되는 5G 아키텍처는 다양한 원인 제공자에 권한을 부여하는, 급격하고 새로운 모형을 가능하게 한다. 그 결과 오늘날 모바일 서비스에서 단일 제공자 모델이 제공하는 영향력과 감독 기능이 감소한다. 새로운 서비스 제공자가 5G 소프트웨어 구성요소들을 합리적인 비용으로 패키징 해서 제공하면서도 서비스 도달 범위, 대기시간, 대역폭 등 소비자와 연관된 매개변수들을 최적화하는 새로운 기회가 나타날 것이다. 이와 동시에 자격을 갖춘 서드파티 개발자들은 개별 구성요소와 관련된 애플리케이션 프로그래밍 인터페이스(API)를 개발할 수 있고, 고유의 NFV 서비스, 특화된 SDN 구성, 심지어 기업 수준의 ‘앱’까지 제공할 수 있을 것이다.
다른 복잡한 소프트웨어 결합과 마찬가지로 API, 프로토콜, 이해관계자가 상이한 여러 소프트웨어의 구성요소들을 결합하면 최종 서비스에서 보안상 취약점이 생길 수 있다. 개별 소프트웨어 구성요소가 가장 강력한 보안 성능을 제공하겠지만 구성요소 자체의 코드 또는 개발에 사용되는 소프트웨어 라이브러리를 통해 보안상 취약점이 우연히 발생할 수 있다. 이러한 유형의 내부 취약점이 발생하면, 안전할 것으로 간주되어 광범위하게 배포되는 코드에서조차 ‘제로 데이’ 결함이 공통적으로 발견되고, 발전 중인 코드 세트에서 그러한 결함은 걱정거리로 남는다.
5G 네트워크처럼 복잡한 소프트웨어 구성요소들이 협력하는 시스템에서 보안상 결함이 발생할 가능성은 급격히 증가한다. 구성요소, 서브시스템, 또는 시스템들이 경계를 넘어 결합한다는 것은 API 또는 관련된 트랜잭션 프로토콜에서 취약점이 발생할 잠재력이 있음을 의미한다. API 개발과 프로토콜 분석에 필요한 도구들의 성능이 발전하고 있지만 5G 네트워크에는 잠재적으로 서드파티가 개발한 소프트웨어 제품이 넘쳐날 것이며, 소프트웨어마다 보안상 취약해서 사이버 범죄자들의 먹잇감이 될 것이다.
비록 이러한 보안상 취약점 중 일부는 미래에 활용하기 위해 계획적으로 만들어 둔 것일 수도 있지만 일부 취약점들은 개발자들이 새로운 성능을 갖춘 첫 번째 제품을 출시하기 위해 급하게 개발하면서 발생할 수도 있다. 불행하게도 현대 산업에는 이러한 사례들이 많다. 보안 성능이 부족한 채 연결된 제품들이 급하게 출시되면 대규모로 분산 서비스 거부(DDoS) 공격을 감행하는 봇넷의 희생양이 될 뿐이었다. 5G 구성요소들을 초기 5G 네트워크에 급하게 연결하면 잠재적으로 더 큰 규모에서 문제가 있는 접근 방식이 재현될 것이다.
더욱이 주요 셀룰러 사업자들과 새롭게 참여하는 사업자들이 서둘러 서비스를 제공하고 있기 때문에 5G의 장점을 선점하려는 사고방식은 더 광범위한 5G 서비스들을 위협한다. 지난 역사를 보면 복잡한 소프트웨어 시스템에서 보안을 보장하는 일은 성취하기 어렵고, 검사 단계에서 드는 비용은 부족한 일정에 비례해서 증가한다.

진화하는 표준

시스템 통합에서 예상되는 어려움 외에도 5G 네트워크 개발자들은 본질적으로 복잡한 프레임워크를 다루고 있다. 표준 및 근본 이슈들이 여전히 진화 중이기 때문이다.
업계 내 이해관계자들은 주요 보안 협약, 인증, PII 이동 등 중요한 기능과 관련된 표준을 설정하는 과정에서 많은 세부사항을 결정하고 있다. 이러한 표준 자체가 어려운 문제이지만 표준을 설정하더라도 추가로 문제가 발생한다. 특히 5G 영역에서 보안과 개인정보 보호를 최대화하면서도 이전 세대의 네트워크와 호환성을 유지해야 하기 때문이다. Wi-Fi 등 다중 접속 네트워크를 통한 5G 연결은 이 모델의 표준 및 근본 보안 프로토콜을 더욱 복잡하게 만든다.
5G 네트워크에 필요한 표준이 발전하면서 5G 보안은 유사한 공격 벡터뿐만 아니라 새로운 공격 벡터 등 5G 네트워크의 신선한 요소들을 악용하려는 다양한 위협에 계속 직면할 것이다. 가령, SDN, 가상화 등 유사한 기술을 이용해 구축되는 5G 네트워크는 내장된 각각의 기술에서 발생했던 동일한 위협들에 직면한다. 그러나 이러한 기술들을 5G 네트워크에 집적시켜도 완전히 새로운 형태의 공격들이 발생한다.
적절한 사례를 들자면, 동적으로 네트워크를 구성하거나 슬라이스를 구축하는 데 사용되는 파일들은 스마트 제품들에서 펌웨어 업데이트에서 발생하는 유사한 일련의 위협에 처한다. 구성 절차에 대한 보안을 위해 5G 네트워크 공급자들은 안전한 업데이트 메카니즘을 적용할 필요가 있으며, 더 높은 수준의 보안 정책을 내장시킬 필요도 있을 것이다. 그 후에는 이러한 정책들이 미들웨어 및 더 높은 수준의 서비스들을 아우를 필요가 있으며, 심지어 기업 수준에서 다른 기업들과 협력하는 것도 포함할 것이다. 역동적으로 변화하는 네트워크에서 적합한 신뢰 모델을 정의하고 실행하는 것은 다소 시간이 걸리겠지만 최적화하는 데는 훨씬 적은 시간이 소요될 것이다.

5G 네트워크는 ‘충분히’ 안전한가?

새로운 5G 네트워크 인프라에 필요한 신뢰 모델을 구축하고 포괄적인 보안 대책을 구축하기 위해 진심 어린 노력들이 광범위하게 진행되고 있다. 그러나 이러한 노력들은 아직 튼튼하게 자리잡지 못하고 있다. 특히 보안에 대한 인지도가 가장 높은 조직이 보안에 드는 총 비용을 향후 5G 시장에서의 기회가 갖는 규모와 비교하지 못하도록 막는 수준까지는 이르지 못했다. 사실 알려지지 않은 숫자의 장치, 서비스, 개인들을 연결하기 위한 프레임워크들이 ‘완벽한’ 보안을 달성할 것으로 예상한다면 이는 비현실적인 자세이다.
현실적으로 보면 시스템은 ‘충분히’ 안전해야 한다. 개별 위협을 파악하려고 시도하는 것부터 시스템의 기초에 보안 기능을 심는 등 필요사항이 변동되고 있기 때문이다. 5G에는 보안을 향상시킬 수 있는 많은 특징이 있지만 가장 근본적인 접근방식은 5G 네트워크의 개별 구성요소의 보안을 지속적으로 인지하는 데 있다. 이러한 접근방식을 취한다는 것은 보안상 공격으로 피해가 발생한 후 패치를 제공하기보다 설계 단계에서 보안 기능을 넣어 개발함을 의미한다.