모바일 네트워크 보안 위협 및 대응방안 (Mobile Network

Security Threats and Respond)

한국인터넷진흥원

임 채 태 팀장(chtim@kisa.or.kr)

2 KRnet 2011

목 차

1.모바일 네트워크 개요

2.모바일 보안 위협

3.관련 기술 동향

4.대응 방안

3 KRnet 2011

PS(PacketSwitch))

CS(CircuitSwitch)

PSTN

Internet

RNC

RNC

MSC GMSC

SSGN GGSN UE(User

Equipment) UTRAN (UMTS Terrestrial Radio

Access Network) CN(CoreNetwork)

HLR Billing Center

Node-B

Node-B

SMS Gateway

• 3G 모바일 망은 음성 및 데이터 서비스를 제공해 줄 수 있는 이동통신 인프라 - 3G망은 모바일 단말(UE : User Equipment)과 무선자원 등을 관리하는 UTRAN, 데이터 처리/인증/과금 등을 처리하는 코어망(CN)으로 구성

- UE와 UTRAN은 무선구간, UTRAN 이후 구간은 유선으로, 제어 및 통신을 위해 ATM 및 GTP 프로토콜 등 사용 ※ 최소한 2018년 까지 3G 망 운용 예정

•PSTN : Public Switched Telephone Network •RNC : Radio Network Controller •GGSN : Gateway GPRS Support Node •SSGN : Serving GPRS Support Node •GMSC : Gateway MSC •HLR : Home Location Register •UMTS : Universal Mobile Telecommunications System •MSC : Mobile Switching Center

1. 모바일 네트워크 개요 (1/3)

4 KRnet 2011

• 모바일 망 개방화 및 스마트폰 사용자/트래픽량 급증으로 3G망 안전성 위협 - 모바일 망의 개방 및 3G 서비스 사용자 급증에 따라 적은 대역폭을 가진 Node B, RNC 및 SGSN 등에서의 망 안전성 위협 존재 ※ 국내 스마트폰 이용자는 1,000만명에 육박하며, 연내 2,200만명 예상(디지털데일리, 2011.3))

- 데이터 트래픽 폭팔적인 증가에 따른 다수의 무선자원 할당 및 해제, 지속적인 무선자원 점유 등을 통해 3G망 가용성 저해 ※ 모바일 데이터 트래픽은 ’15년까지 연평균 92% 증가할 것으로 예상 (Cisco VNI, 2010)

3G망의 개방성, 사용자/데이터 트래픽/서비스의 폭팔적 증가, 모바일 악성코드 증가 등으로 망 안전성 보호기술 필요

제한적 데이터 서비스 폐쇄적인 망 구조 Killer App의 부재

기존의 모바일 망 (Before 3G)

다양한 데이터 서비스 개방적인 망 구조 다양한 Killer App (메시징, 게임, SNS등) 정형화된 요금제(무제한 요금제 등)

현재의 모바일 망 (WCDMA)

Global Mobile Data Traffic Forecast

Source: Cisco VNI, 2010

2010년 220 Petabytes/month

2014년 3.5 ExaBytes/month

Peta: 10 15,

Exa: 10 18

1. 모바일 네트워크 개요 (2/3)

5 KRnet 2011

• 향후, 4G망에서도 3G망 보안위협 상속하여 발생 예상 - 2015년 예상 트래픽량은 3G + LTE 수용 용량의 3.2배 수준으로 급격하게 증가하여, 망 안정성 위협 상존 - 향후, 4G(LTE, LTE Advanced)에서는 3G망에서 발생했던 보안위협을 상속하며, 보다 다양한 서비스가 제공됨됨에 따라, 악의적인 공격 시도가 증가할 것으로 예상

3G망에서의 이상 트래픽 탐지/대응기술을 통한 4G망 보안 기반 기술 확보

Source : HSN 2011, KT

1. 모바일 네트워크 개요 (3/3)

6 KRnet 2011

2. 모바일 보안 위협

7 KRnet 2011

2. 모바일 보안위협 – 모바일 악성코드 (1/4)

모바일 악성코드 감염 경로

모바일 기기 특성에 따른 악성코드 감염 경로 확대

모바일 악성코드 감염 통계

블루투스, MMS를 통한 악성코드 감염이 대부분

현재까지 대부분의 모바일 악성코드는 블루투스

또는 멀티미디어 메시지를 통해 유포되었으나

향 후 앱 스토어, 외부 저장장치를 통한 감염이 증가할 것

으로 예상

MMS, 블루투스 등 모바일 단말의 데이터 전송 경로를 통한 악성코드 감염

PC 싱크, 유/무선 통신 환경을 통한 악성코드 감염

8 KRnet 2011

앱 스토어를 통한 모바일 악성코드 감염 시나리오

앱 스토어의 컨텐츠가 악성코드에 감염된 상태로 배포되어 사용자에게 전파 되거나 구매한 컨텐츠 설치 과정에서 웜, 바이러스 등에 감염될 수 있음

악의적인 사용자

악성코드가 있는 APP 등록

등록된 APP 크랙

2. 모바일 보안위협 – 모바일 악성코드 (2/4)

9 KRnet 2011

2. 모바일 보안위협 – 모바일 악성코드 (3/4)

10 KRnet 2011

보이스 피싱

전화 피싱을 통한 피해 시나리오

2. 모바일 보안위협 – 모바일 악성코드 (4/4)

11 KRnet 2011

• 모바일 악성코드 증가에 따라 DDoS 공격 등 망 가용성 저해 - 악성코드에 감염된 단말은 대량의 국제전화 및 SMS 발송, 데이터 트래픽 발생시도를 통해 과금피해 유발 및 3G망 가용성 저해 ※ ’10년8월 안드로이드 전용 악성코드 출현 이후 현재까지 2151개 출현(카스퍼스키랩, ’11.2)

- 3G 뿐 아니라, 인터넷망으로의 개인정보 노출, 스마트폰 데이터 노출, 스팸, DDoS 공격 등 다수의 보안위협 존재

모바일 악성코드 증가 예상

안드로이드 등 범용 운영체제 사용

스마트폰 이용자 큰폭 증가

(연내 2,000만명 예상)

스마트폰 데이터 트래픽 처리량 향상

다수 APP 개발/유통, 검증되지 않은

블랙마켓 증가

Always-On 형태의 서비스 증가

모바일 악성코드 피해 유형

비정상 과금발생으로 소비자 피해 유발

- 대량의 국제젂화/SMS 발생

- 060 등 유료젂화 통화 유도

DoS/DDoS 공격 등으로 망 가용성 저해

-한정된 무선자원 고갈 형 DDoS 공격

개인정보 유출/스팸 등 다수 피해 발생

- 스마트폰에 저장된 개인정보 노출/

스팸발송 등 보안위협 존재

2. 모바일 보안위협 - 3G 망 잠재적 보안 위협 (1/3)

12 KRnet 2011

• 비정상 음성/SMS/데이터 트래픽에 따른 3G망 주요장비 장애발생 가능 - 비정상 음성/SMS/데이터 트래픽은 과금체계 혼란, 과다 트래픽 발생 가능 - 특히, 적은 대역폭을 가진 기지국/SGSN 등 3G망 주요장비 대상 공격발생 가능

3G 코어 네트워크에서 비정상 트래픽 탐지/대응 필요

Core Network

Internet

테더링을 통한 과다 트래픽 유발로 망 주요장비 장애

지속적인 무선자원 할당/해제를 반복하여, 취약장비 장애유도

지속적인 무선자원 점유를 통해, 취약장비 장애유도

SSGN

과부하에 따른 기지국 가용성 저하

모바일 망에 대한 DoS/DDoS 공격 효과 유발

Billing Center

- 비정상 국제통화/060 유료통화 발생 위협 존재 - 사용자는 요금 고지서를 받은 후에 비정상 과금여부 인지하게 되며, 분쟁조정 등으로 해결하는 실정임

- 비정상 데이터 트래픽 증가로 인해, 기지국/SGSN 장애 위협 존재 - 현재, GGSN 뒷단 IP 구간에서 QoS 관리 및 CDR 분석을 통한 비실시간 대응 수행

2. 모바일 보안위협 - 3G 망 잠재적 보안 위협 (2/3)

13 KRnet 2011

• 다양한 단말/서비스 환경(테더링등)에 따른, 3G망 이상징후 탐지 및 대응의 어려움 - 스마트폰 테더링을 통한 노트북/타블릿 등에서의 대량의 데이터 트래픽 발생 ※ 테더링된 노트북은 기존 핸드폰보다 평균 515배 데이터 트래픽 발생(Cisco, 2010)

- 테더링 여부에 따라 이상 트래픽 탐지/대응 방법은 큰 차이가 존재하나, 현재 테더링 여부조차 파악하지 못하는 실정임 ※ 테더링(Tethering) : 인터넷 접속이 가능한 기기를 이용하여, 다른 기기도 인터넷에 접속할 수 있게 해주는 기술

< 일반 핸드폰과 LAPTOP 등에서의 트래픽 발생량 비교 > < 테더링을 통한 트래픽 발생 >

일반 핸드폰

감염된 노트북

타블릿

PDA/PMP

테더링 스마트폰

2. 모바일 보안위협 - 3G 망 잠재적 보안 위협 (3/3)

14 KRnet 2011

• 비정상 데이터 트래픽 탐지/대응 기술 미비(1/2) - 망 부하가 큰 무선채널 형성, 지속적인 무선자원 점유 등을 유발하는 악성 트래픽 발생 - DoS/DDoS, 공격비정상 스캐닝 등 단말 및 망 가용성 저해 ※ 현재, QoS 관리 수준에 머물러 있으며, 실시간 대응에 한계 존재

비정상 데이터 트래픽 탐지/대응기술 개발 필요

테더링 서비스를 통한 비정상 데이터

트래픽

비정상 스캐닝 등 단말/모바일망 자원

고갈 트래픽

반복적인 페이징 유발, 지속적인 Keep-alive 등

단말/이동통신망 자원 고갈 트래픽

PS Network

집중화된 트래픽에 따른 망 부하

Internet

비정상 서비스 및

모바일 봇넷 C&C등

무선자원 고갈

무선자원 고갈

자원고갈형 악성 트래픽

단말의 자원 고갈

스캐닝 및 모바일 봇넷 트래픽

2. 모바일 보안위협 – 비정상/공격 데이터 트래픽 (1/4)

15 KRnet 2011

• 비정상 데이터 트래픽 탐지/대응 기술 미비(2/2) - GGSN 코어 장비는 외부 인터넷과 연동하는 프락시 역할을 수행 - DDoS 공격 탐지가 어려운 소량의 패킷을 발송하지만, 대량 세션 생성 등 자원고갈형 공격가능 ※ 외부에서 유입되는 비정상 트래픽에 대한 탐지 및 대응에 집중하고 있음

GGSN 장비의 자원을 고갈시키는 소량의 비정상 트래픽 탐지 기술 필요

DDoS 공격 탐지가 어려운 소량의 트래픽으로 대량

세션 생성 등 자원고갈형 트래픽 발생

PS Network

자원고갈형 트래픽에 따른 장비 장애 유발

Internet

게이트웨이 장애 발생

2. 모바일 보안위협 – 비정상/공격 데이터 트래픽 (2/4)

GGSN

GGSN은 외부인터넷과 연동하는 역할을 수행(프락시)

하나의 GGSN은 광역을 담당 (장애 발생시 광역에서

데이터 통신 불능)

16 KRnet 2011

CS Network 모바일 악성코드 감염 모바일 단말

무단 국제전화 및 060등 유료 전화 발신

봇넷 구성 모바일 좀비

대량의 SMS 메시지 무단 발송

SMS Gateway

SMS 발송 서비스 해킹을 통한 대량의

SMS 발송

Billing Center

• 비정상 음성 트래픽 탐지/대응기술 미비 - 무단 국제전화/060 유료 전화 등 비정상 과금 유도, 폭탄 SMS로 인한 단말/망 가용성 저해 - 모바일 악성코드 증가에 따라, 지속적인 공격 발생 예상

비정상 음성/SMS 트래픽 탐지/대응기술 개발 필요

특정 단말에 대한 SMS 폭탄

불특정 다수에 대한 스팸 SMS

PSTN

집중화된 트래픽에 따른 망 부하

비정상과금

2. 모바일 보안위협 – 비정상/공격 음성 트래픽 (3/4)

17 KRnet 2011

• 비정상 악성 트래픽 모니터링 및 종합관제 기술 부재 - 현재 헤비 유져에 한해서 관리자가 직접 수동으로 대응 (자동화된 스크립트조차 없음) ※ 헤비유져(HeavyUser) : 일일 데이터 사용량이 지나치게 많아 망에 부하를 주는 사용자(예 하루 10G)

- 모바일 망의 종합적인 모니터링/악성 트래픽 대응 및 정책관리 부재 ※ 트래픽의 양 뿐만 아니라, 어떠한 트래픽인지 모니터링이 되지 않고, 체계화된 대응 방안이 미비

이상 징후 모니터링/악성트래픽 대응 등 종합 관제기술 개발 필요

트래픽에 대한 선별적 파악 부재

자동화된 체계적 대응 부재

주요 자원에 대한 보안 위협 모니터링 부재

선별적 트래픽 분석 및 탐지

자동화된 체계적 보안 정책 대응

전사적 보안 위협 모니터링

기존 인터넷 환경에서의 IPS, DDoS 등 보안장비 적용 불가 - 무선채널 형성/지속적 채널유지 시도 등 3G망 주요공격 탐지/대응 불가(3G 망 프로토콜 처리 불가) - 단말 IP의 빈번한 변경(유동IP), NAT 환경 등으로 IP 기반 탐지/대응 불가 - 3G망의 음성/데이터/제어용 다양한 프로토콜 처리가 불가능하며, 이상 트래픽 패턴도 상이함

2. 모바일 보안위협 – 보안 관제 및 관리 (4/4)

18 KRnet 2011

•연초대비 1,000% 데이터 증가에 따른 중계기 다운 및 통화품질 저하(전자신문, ’10.12) •인구밀집 지역에 대한 Call Drop 현상 증가(아주경제, ’10.1) ※ Call Drop : 통화가 갑자기 끊기거나, 모바일 통신 종료

비정상 공격 트래픽 대응기술 신속한 개발 및 보급 필요

이동통신망 주요 사고 사례

KT 남부터미널 인근 6시간 불통(2010년 12월)

SKT 경기남부 휴대전화 1시간 불통(2010년 12월)

KT 강남일대 중계기 고장으로 종일 불통(2011년 1월)

2. 모바일 보안위협 - 피해사례 (1/4)

19 KRnet 2011

• 트레드다이얼(TredDial)은 대량의 국제전화 통화를 발생시켜 과금 피해 유도(’10.4)

• 폭탄 SMS 발송등을 유도하는 다수의 악성코드 등장 ※ 2010년, 안드로이드 기반의 불법적인 유료 SMS를 발송하는 악성코드가 러시아에서 발견(카스퍼스키) ※ 관련 악성코드는 꾸준히 증가하고 있으며, 지속적으로 변종이 발견되고 있음

해커 모바일 어플리케이션

사용자

스마트폰

유료 전화 사업자/ 국제 전화 등

악성 사이트에 업로드

악성코드 다운

악성코드 설치

악성코드 동작

6개 국제전화번호로 전화 시도

< 트래드다이얼 동작 개요 >

모바일 게임인 ‘3D 안티 테러리스트액션’과 ‘코덱팩’에

포함되어 악성코드 배포

사용자는 요금고지서가 나온 이후에 인지

< SMS 관련 악성코드 >

< 안드로이드 기반 SMS 악성코드 >

SMS.AndroidOS.FakePlayer

2. 모바일 보안위협 - 피해사례 (2/4)

20 KRnet 2011

• 카카오톡 서버 비정상종료에 따른 3G망 장애 발생(’10.12) - 서버 다운으로 카카오톡 가입 단말에서 지속적인 접속시도로 SGSN 장애 발생 ※‘11년4월 카카오톡 가입자는 1,000만명을 넘어설 예정이며, 스마트폰 이용자 및 신규 어플리케이션 증가로 이러한 보안위협은 확대될 것으로 예상

• 단말/무선자원 고갈피해가 발생 가능한 다수 어플리케이션 개발/보급 위협 존재 - 지속적인 Keep-Alive 메시지에 따른 단말/무선자원 고갈 - 모바일 단말의 Paging을 빈번히 발생시켜 단말/무선자원 고갈

3G망 장애 유발이 가능한 응용서비스 증가 및 이를 악용한 공격사례 발생 예상

카카오톡 서버

카카오톡 서버 장애 발생

UE

동시다발적 접속 시도, 지속적인 retry 시도 누적

Core Network

1

2

3 한정된 무선자원 고갈에 따른 SGSN 장애발생

SSGN GGSN

Internet

3G망 장애유발이 가능한 응용서비스 증가 예상

응용서비스의 3G망 장애유발 가능성을 악용한 다수 공격사례 발생 예상

해커

2. 모바일 보안위협 - 피해사례 (3/4)

21 KRnet 2011

2. 모바일 보안위협 – 피해사례 (4/4)

2010년 10월 중국, 100만대 이상의 휴대젂화가 모바일 악성코드 감염

광고성 문자 메시지 등 수신한 SMS 메시지를 확인하는것만으로도 모바일 악성코드에 감염되어 금전적 피해가 유발될 수 있으므로 사용자의 주의가 더욱 더 필요함

SMS 무단 발송에 따른 요금 피해액이 3억원에 이르고 있음

22 KRnet 2011

3. 관련 기술 동향

23 KRnet 2011

• Security Issues and Solutions in 3G Core Network (2011.05) - 실시간 GTP 트래픽 분석을 통해 공격을 탐지할 수 있는 IPS 모델을 제안 - Language Interpreter, GTP-X Analyzers, GTP Attack Detector, GTP Packet Parser로 구성 - GTP Abnormal 공격, PDP Context 요청 Flooding 등과 같이 GTP를 이용한 다양한 공격을 사전에 스크립트로 정의할 경우 해당 공격에 대한 탐지가 가능함

- 그러나, 3G Core Network에서 발생할 수 있는 다양한 공격에 대한 정의가 빠져 있으며, GTP-U Analyzer의 경우 테더링 서비스를 통해 유입되는 유선 환경 트래픽에 대한 고려가 부족함

[GTP IPS 적용 구조]

[GTP IPS 구조]

Language Interpreter : 시스템의 초기 설정 및 파싱/탐지 룰 정의를 담당 GTP Stream Filtering Engine : 하드웨어 기반의 실시간 GTP 프로토콜 처리 엔진 GTP Packet Parser : 정의된 포맷에 맞게 GTP-U/C 프로토콜 파싱 및 1차 가공 데이터를 GTP Analyzer에게 전송 GTP-C Analyzer : GTP-C를 이용한 공격 탐지, 사용자 연결 정보 등을 분석해서 GTP-U Analyzer에게 전송 GTP-U Analyzer : PDP context 정보 등을 이용하여, GTP-U를 이용한 공격 탐지 Responder : 공격이 탐지될 경우, 로깅 경고, 패킷 드랍 등을 담당

3. 3G 망 비정상 데이터 트래픽 탐지 기술 (1/2)

24 KRnet 2011

• A Distribution-Based Approach to Anomaly Detection and Application to 3G Mobile Traffic (GLOBECOM 2009)

- 3G 이동통신망 외부에 존재하는 서비스에 의해 발생되는 비정상 행위 탐지에 효과적인 탐지 알고리즘을 제안 (카카오톡 서버 종료, Skype 서버 종료 등 external phenomenon)

- 업링크 TCP Syn 패킷 수 등 다양한 요소를 정의해 3G망의 비정상을 탐지 할 수 있음 - 알고리즘 최초 구동 시 정상 타임 윈도우 구간, 비정상 타임 윈도우 구간, 백분위수 설정이 필요하며, 정상/비정상 타임 윈도우는 탐지 과정에서 지속적으로 업데이트가 이루어짐

0H 24H 12H에서의 업링크 TCP Syn 패킷 수

타입 윈도우는 1시간 단위

정상 타임 윈도우 구간 집합 (Anomaly-free dataset)

비정상 타임 윈도우 구간 집합

1H 업링크 TCP Syn 패킷 수

3H 업링크 TCP Syn 패킷 수

8H 업링크 TCP Syn 패킷 수

비교 비정상 일경우 추가

2H 업링크 TCP Syn 패킷 수

두 분산의 비교를 위해 Kullback-Leibler Divergence 알고리즘 사용

정상 타임 윈도우 구간 집합에서 비교 대상 선별을 위해 Reference Set Identification 알고리즘 사용

3G 이동통신 트래픽의 특징 - 시간대 별로 트래픽이 유동적으로 발생 - 오전 8시, 오후 7시, 저녁 11시에 급격한 트래픽 변화 발생 - 특정 시간때 트래픽은 다른 날의 동일 시간때 트래픽과 유사한 패턴 - 특정 트래픽의 경우, 주말과 평일에 발생하는 패턴에 차이가 있음

3. 3G 망 비정상 데이터 트래픽 탐지 기술 (2/2)

25 KRnet 2011

• 모바일 망 사업자 보안 현황 - 비정상 데이터 트래픽 대응기술은 실시간 대응이 어려우며, 적은 대역폭을 가진 기지국/SGSN 등의 보호에 어려움 존재 - 비정상 음성 트래픽은 국제전화 시도 등 피해발생 가능하나 보안대책 미비 - 비정상 SMS 대응기술은 일일 SMS 발송건수 제한 등 정교한 대응이 어려움

비정상 음성/SMS

트래픽 탐지/대응 비정상 SMS는 일일 SMS

발송건수 기반 대응

비정상 음성 트래픽에 대한 보안대책 미비

비정상 음성 트래픽 공격대응 어려움

일일 1,000건 수준에서 대응하여, 정교한 대응불가

비정상 데이터

트래픽 탐지/대응

GGSN 뒷단, IP 대역에서 QoS 기반 대응

CDR 로그기록 분석을 통한 탐지 및 대응

QoS 보장 수준이며, 협소한 무선자원 보호 어려움

실시간 대응 및 자동화된 대응 어려움

주요 보안 위협 3G 보안 현황 한계점

3. 관련 기술 동향 – 사업자 보안 현황

26 KRnet 2011

해외 기술동향

Check Point(이스라엘), Fortinet, Juniper Networks(미국)은 데이터망에 한해서 GTP 프로토콜에

대한 Statefull Inspection 및 기본적인 형태의 DoS 방어, Anti-spam 기능 제공하나, 무선

리소스에 대한 모니터링 기능이 없어 대응 효과가 제한적이며 최근의 모바일 서비스별 특성을

반영하지 못함

Airvana, STOKE, Lucent(미국)는 이동통신망과 인터넷 망의 연동이 주요 기능이기 때문에, DoS

방어, 인증, 암호화를 통한 가입자 트래픽 보호, ACL등 인터넷을 통한 게이트웨이 기반의 일반적

네트워크 보안기술로 이동통신 네트워크 보안에 특화되지 못하는 한계를 가짐

국내 기술동향

국내 이동통신 망에 대한 보안 기술은 아직 초기단계이며, 관련 상용 제품은 없음

테더링 등의 트래픽에 대한 세부 특성조차 파악이 되지 못함

악성 트래픽의 여부가 아닌 다량의 데이터를 사용하는 헤비 유저에 한해서 관리자가 수동으로

직접 대응하는 수준으로 신속한 대응 및 망 위협 요소에 대한 정확한 탐지에 어려움이 있음

국내 이동통신사에서 가입자의 데이터 통신 이력을 바탕으로 악성 트래픽을 차단하는 기술을

적용한 바 있으나, 오탐지 빈도가 높아서 실제 활용되지 못하고 있음

3. 관련 기술 동향 – 솔루션 현황

27 KRnet 2011

4. 대응 방안

28 KRnet 2011

3G 이동통신망 비정상 데이터 트래픽 탐지

- 비용을 고려하여 SGSN, GGSN 사이 구간에 적용(GGSN : 사업자별 10 미만의 장비로 구성)

3G 이동통신망 비정상 음성 트래픽 탐지 시스템

- 대량의 패킷 처리 및 비용을 고려하여 콜 정보를 활용하여 이상징후 탐지 기능 고려

3G 모바일 비정상 데이터/음성 트래픽 차단 및 이상징후 관제 시스템

- 다양한 트래픽(제어, 음성, 데이터, SMS, MMS) 중 악성 트래픽만 선별적으로 차단 / 망 코어장비에 차단엔진 탐지 고려

RNC

액서스 망

Node B

MSC

SGSN GGSN

서킷 망

패킷 망

Billing Center

PSTN

트래픽 수집 센서

Internet

비정상 음성 트래픽

선별적 차단 에이전트

트래픽 수집 센서

3G 모바일 이상징후

관제 시스템

비정상 음성 트래픽 탐지 시스템

비정상 데이터 트래픽 탐지 시스템

비정상 데이터 트래픽

선별적 차단 에이전트

탐지 이벤트

탐지 이벤트

4. 대응방안 – 보안 적용 구조

29 KRnet 2011

RNC

액서스 망

Node B

패킷 망 비정상 데이터 트래픽 선별적 차단 에이전트

SGSN GGSN

트래픽 수집 센서

Internet

테더링, 모바일 브로드밴드 서비스를

통한 대량의 악성 데이터 트래픽

무단 불법 스트리밍 서비스 접근 등

대용량 데이터 트래픽

비정상 스캐닝 등 단말/무선자원/ 이동통신망 자원

고갈 트래픽

반복적인 페이징 유발 지속적인 Keep-alive 등단말/무선/이동통신망

자원 고갈 트래픽

비정상 데이터 트래픽 탐지 시스템

실시간

데이터 정보

탐지

이벤트

3G 모바일 이상징후

관제 시스템

비정상

서비스 서버

4. 대응방안 – 비정상 데이터 트래픽 탐지

실시간 데이터 트래픽 수집 (GTP 프로토콜 파싱, 전화번호와 같은 단말 Identification 식별)

볼륨/플로우 기반 비정상 데이터 트래픽 탐지 (공격 트래픽 및 비정상 트래픽 탐지)

GGSN 등 주요 장비 타겟 공격 트래픽 탐지 (GGSN 자원 고갈형 공격 트래픽 탐지)

단말/무선/이동통신망 자원 고갈 데이터 트래픽 탐지

- SNS 등 단말과 주기적인 통신을 하는 서비스 트래픽이 망에 미치는 영향 분석

30 KRnet 2011

4. 대응방안 – 비정상 음성 트래픽 탐지

RNC

액서스 망

Node B

MSC

서킷 망

PSTN

트래픽 수집 센서

모바일 악성코드 감염 모바일 단말

무단 국제/유료 전화발신, 유료 문자 메시지 발송

봇넷 구성 모바일 좀비

대량의 SMS 메시지 무단 발송

SMS Gateway

SMS 발송 서비스 해킹을 통한 대량의

SMS 발송

Billing Center

비정상 SMS/음성 트래픽 탐지 시스템

실시간

음성

정보

CDR

비정상 SMS/음성 트래픽 선별적 차단 에이전트

탐지

이벤트

3G 모바일 이상징후

관제 시스템

통화 정보(CDR) 정보 조회/분석 기술 (빌링 등 CDR 수집 시스템 연동 고려)

- 비정상 데이터 발송 단말에 대한 CDR 정보 조회 및 분석

시그니처 기반 비정상 음성 트래픽 탐지(시간당 콜 시도 횟수, 무작위적 통화 시도, 비정상 통화 시간 등)

행위 기반 비정상 음성 트래픽 탐지

대량 SMS 발송, 전송패턴에 따른 비정상 SMS 발송 탐지(과도한 유료 문자 발송 등)

31 KRnet 2011

4. 대응방안 – 비정상 데이터/음성 트래픽 대응

RNC

액서스 망

Node B

MSC

SGSN GGSN

서킷 망

패킷 망

Billing Center

PSTN

트래픽 수집 센서

비정상 음성 트래픽

선별적 차단 에이전트

트래픽 수집 센서

3G 모바일 이상징후

관제 시스템

비정상 음성 트래픽 탐지 시스템

비정상 데이터 트래픽 탐지 시스템

비정상 데이터 트래픽

선별적 차단 에이전트

탐지 이벤트

탐지 이벤트

차단 정책

차단 정책

비정상 모바일 단말 식별 및 모니터링

- 비정상 모바일 단말(스마트폰, 테더링, 모뎀 등 유형별 분석 / 비정상 데이터/음성 트래픽 발송 단말 식별)

가입자 등록정보 기반 호 설정 제어 기술

- 비정상 모바일 단말 및 식별자 연관관계 분석(USIM 이동성 고려)

비정상 SMS/음성/MMS/데이터 트래픽 선별적 차단 기술

감사합니다