"5G망 장비, 국가핵심통신망 합법적 잠입 가능 우려"
입력
수정
"무선접속 구간 등에 보안위험…디도스 공격도 가능"
전문가들 '국방보안콘퍼런스'서 '軍 5G보안강화' 주문5G(5세대 이동통신) 상용화로 국가의 핵심통신망들도 각종 사이버 위협에 노출될 수 있다는 우려와 함께 이에 대한 대책 마련이 시급하다는 지적이 제기됐다.이용환 SK인포섹 대표이사는 13일 오전 서울 용산 국방컨벤션에서 '국방개혁 2.0과 스마트 국방보안'을 주제로 열린 군사안보지원사령부의 '2019 국방보안 콘퍼런스' 특별강연에서 5G 기술에는 무선접속구간 등에서 다양한 보안 위협이 존재한다고 경고했다.
이 대표는 미리 배포된 발제문에서 "가상화 S/W(소프트웨어) 공격을 통해 불법으로 (보안 정보에) 접근하고 데이터를 유출할 수 있다"며 "채널 공격으로 다른 슬라이스(서비스)의 암호키를 취득하고 중요정보를 유출할 수 있다"고 말했다.
또 엣지(edge·소형클라우드)-코어(core·핵심 데이터센터) 간에 전송되는 인증정보를 도청하거나 무선재밍(jamming·전파방해) 공격으로 데이터 수신을 방해할 수 있으며, 사물인터넷(IoT) 단말을 감염시켜 '5G 랜(RAN) 분산서비스거부(DDoS·디도스) 공격'에 활용하는 것도 가능하다고 분석했다.이옥연 국민대 정보보안암호수학과 교수는 '5G 시대, 국방무선 네트워크 도입 시 보안대책' 발제문을 통해 현재 5G는 이동 통신사업자를 위한 보안만 규정돼 있다고 지적했다.
이 교수는 또 "4G, 5G 모두 핵심망 장비의 백도어 문제는 제조사 이외는 확인이 불가능하다"며 "정상적인 보안기능 시험성격이 강한 CC(국제공통평가 기준) 인증으로는 백도어 검출이 불가능하다"며 주장했다.
특히 통신사에서 백도어 여부를 검출하는 것이 불가능할 것으로 예상되는 만큼, 국가 핵심통신망에 대한 합법적 잠입도 가능하다고 분석했다.백도어는 시스템 보안이 제거된 비밀 통로로, 서비스 유지·보수의 편의를 위해 만들어 놓은 것인데 삭제되지 않고 남아 있으면 인증되지 않은 사용자에 의해 시스템 기능이 무단으로 사용되는 등 컴퓨터 범죄에 악용될 수 있다.
'CC 인증'은 정보보호 제품 안정성과 신뢰성 검증을 평가하는 제도로, 국가·공공기관에서 정보보안 제품 도입 시 필수 인증제도로 활용된다.
이번 콘퍼런스는 지난해 9월 국군기무사령부(기무사) 해체로 안보지원사가 창설된 이후 처음 열린 것으로, 정보보호 전문가와 중앙부처 관계자, 대학교수 등 1천400여 명이 참석해 국방보안 발전 방안을 놓고 머리를 맞댔다.
/연합뉴스
전문가들 '국방보안콘퍼런스'서 '軍 5G보안강화' 주문5G(5세대 이동통신) 상용화로 국가의 핵심통신망들도 각종 사이버 위협에 노출될 수 있다는 우려와 함께 이에 대한 대책 마련이 시급하다는 지적이 제기됐다.이용환 SK인포섹 대표이사는 13일 오전 서울 용산 국방컨벤션에서 '국방개혁 2.0과 스마트 국방보안'을 주제로 열린 군사안보지원사령부의 '2019 국방보안 콘퍼런스' 특별강연에서 5G 기술에는 무선접속구간 등에서 다양한 보안 위협이 존재한다고 경고했다.
이 대표는 미리 배포된 발제문에서 "가상화 S/W(소프트웨어) 공격을 통해 불법으로 (보안 정보에) 접근하고 데이터를 유출할 수 있다"며 "채널 공격으로 다른 슬라이스(서비스)의 암호키를 취득하고 중요정보를 유출할 수 있다"고 말했다.
또 엣지(edge·소형클라우드)-코어(core·핵심 데이터센터) 간에 전송되는 인증정보를 도청하거나 무선재밍(jamming·전파방해) 공격으로 데이터 수신을 방해할 수 있으며, 사물인터넷(IoT) 단말을 감염시켜 '5G 랜(RAN) 분산서비스거부(DDoS·디도스) 공격'에 활용하는 것도 가능하다고 분석했다.이옥연 국민대 정보보안암호수학과 교수는 '5G 시대, 국방무선 네트워크 도입 시 보안대책' 발제문을 통해 현재 5G는 이동 통신사업자를 위한 보안만 규정돼 있다고 지적했다.
이 교수는 또 "4G, 5G 모두 핵심망 장비의 백도어 문제는 제조사 이외는 확인이 불가능하다"며 "정상적인 보안기능 시험성격이 강한 CC(국제공통평가 기준) 인증으로는 백도어 검출이 불가능하다"며 주장했다.
특히 통신사에서 백도어 여부를 검출하는 것이 불가능할 것으로 예상되는 만큼, 국가 핵심통신망에 대한 합법적 잠입도 가능하다고 분석했다.백도어는 시스템 보안이 제거된 비밀 통로로, 서비스 유지·보수의 편의를 위해 만들어 놓은 것인데 삭제되지 않고 남아 있으면 인증되지 않은 사용자에 의해 시스템 기능이 무단으로 사용되는 등 컴퓨터 범죄에 악용될 수 있다.
'CC 인증'은 정보보호 제품 안정성과 신뢰성 검증을 평가하는 제도로, 국가·공공기관에서 정보보안 제품 도입 시 필수 인증제도로 활용된다.
이번 콘퍼런스는 지난해 9월 국군기무사령부(기무사) 해체로 안보지원사가 창설된 이후 처음 열린 것으로, 정보보호 전문가와 중앙부처 관계자, 대학교수 등 1천400여 명이 참석해 국방보안 발전 방안을 놓고 머리를 맞댔다.
/연합뉴스