슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

창석 도
5 years ago
Views:

1 모바일네트워크보안위협및대응방안 (Mobile Network Security Threats and Respond) 한국인터넷진흥원 임채태팀장

2 목차 1. 모바일네트워크개요 2. 모바일보안위협 3. 관련기술동향 4. 대응방안 2 KRnet 2011

1. 모바일네트워크개요 (1/3) 3G 모바일망은음성및데이터서비스를제공해줄수있는이동통신인프라 - 3G 망은모바일단말 (UE : User Equipment) 과무선자원등을관리하는 UTRAN, 데이터처리 / 인증 / 과금등을처리하는코어망 (CN) 으로구성 - UE 와 UTRAN 은무선구간, UTRAN 이후구간은유선으로, 제어및통신을위해 ATM 및 GTP

3 1. 모바일네트워크개요 (1/3) 3G 모바일망은음성및데이터서비스를제공해줄수있는이동통신인프라 - 3G 망은모바일단말 (UE : User Equipment) 과무선자원등을관리하는 UTRAN, 데이터처리 / 인증 / 과금등을처리하는코어망 (CN) 으로구성 - UE 와 UTRAN 은무선구간, UTRAN 이후구간은유선으로, 제어및통신을위해 ATM 및 GTP 프로토콜등사용 최소한 2018 년까지 3G 망운용예정 CS(CircuitSwitch) PSTN Node-B RNC MSC GMSC HLR SMS Gateway Billing Center PS(PacketSwitch)) Internet UE(User Equipment) Node-B RNC UTRAN (UMTS Terrestrial Radio Access Network) UMTS : Universal Mobile Telecommunications 3 KRnet System 2011 SSGN CN(CoreNetwork) GGSN PSTN : Public Switched Telephone Network RNC : Radio Network Controller GGSN : Gateway GPRS Support Node SSGN : Serving GPRS Support Node GMSC : Gateway MSC HLR : Home Location Register MSC : Mobile Switching Center

1. 모바일네트워크개요 (2/3) 모바일망개방화및스마트폰사용자 / 트래픽량급증으로 3G 망안전성위협 - 모바일망의개방및 3G 서비스사용자급증에따라적은대역폭을가진 Node B, RNC 및 SGSN 등에서의망안전성위협존재 국내스마트폰이용자는 1,000 만명에육박하며, 연내 2,200 만명예상 ( 디지털데일리, 2011.

4 1. 모바일네트워크개요 (2/3) 모바일망개방화및스마트폰사용자 / 트래픽량급증으로 3G 망안전성위협 - 모바일망의개방및 3G 서비스사용자급증에따라적은대역폭을가진 Node B, RNC 및 SGSN 등에서의망안전성위협존재 국내스마트폰이용자는 1,000 만명에육박하며, 연내 2,200 만명예상 ( 디지털데일리, )) - 데이터트래픽폭팔적인증가에따른다수의무선자원할당및해제, 지속적인무선자원점유등을통해 3G 망가용성저해 모바일데이터트래픽은 15 년까지연평균 92% 증가할것으로예상 (Cisco VNI, 2010) 3G 망의개방성, 사용자 / 데이터트래픽 / 서비스의폭팔적증가, 모바일악성코드증가등으로망안전성보호기술필요 기존의모바일망 (Before 3G) 제한적데이터서비스폐쇄적인망구조 Killer App 의부재 Global Mobile Data Traffic Forecast 현재의모바일망 (WCDMA) Source: Cisco VNI, 2010 다양한데이터서비스개방적인망구조다양한 Killer App ( 메시징, 게임, SNS등 ) 2010년 2014년 Peta: 10 15, 220 Petabytes/month 3.5 ExaBytes/month Exa: 10 정형화된요금제 ( 무제한요금제등 ) 18 4 KRnet 2011

1. 모바일네트워크개요 (3/3) 향후, 4G 망에서도 3G 망보안위협상속하여발생예상 - 2015 년예상트래픽량은 3G + LTE 수용용량의 3.

5 1. 모바일네트워크개요 (3/3) 향후, 4G 망에서도 3G 망보안위협상속하여발생예상 년예상트래픽량은 3G + LTE 수용용량의 3.2 배수준으로급격하게증가하여, 망안정성위협상존 - 향후, 4G(LTE, LTE Advanced) 에서는 3G 망에서발생했던보안위협을상속하며, 보다다양한서비스가제공됨됨에따라, 악의적인공격시도가증가할것으로예상 3G 망에서의이상트래픽탐지 / 대응기술을통한 4G 망보안기반기술확보 5 Source : HSN 2011, KT KRnet 2011

6 2. 모바일보안위협 6 KRnet 2011

7 2. 모바일보안위협 모바일악성코드 (1/4) 모바일악성코드감염경로 모바일기기특성에따른악성코드감염경로확대 MMS, 블루투스등모바일단말의데이터전송경로를통한악성코드감염 PC 싱크, 유 / 무선통신환경을통한악성코드감염 모바일악성코드감염통계 블루투스, MMS 를통한악성코드감염이대부분 현재까지대부분의모바일악성코드는블루투스또는멀티미디어메시지를통해유포되었으나향후앱스토어, 외부저장장치를통한감염이증가할것으로예상 7 KRnet 2011

8 2. 모바일보안위협 모바일악성코드 (2/4) 앱스토어를통한모바일악성코드감염시나리오 앱스토어의컨텐츠가악성코드에감염된상태로배포되어사용자에게전파되거나구매한컨텐츠설치과정에서웜, 바이러스등에감염될수있음 악성코드가있는 APP 등록 악의적인사용자 등록된 APP 크랙 8 KRnet 2011

9 2. 모바일보안위협 모바일악성코드 (3/4) 9 KRnet 2011

10 2. 모바일보안위협 모바일악성코드 (4/4) 보이스피싱 전화피싱을통한피해시나리오 10 KRnet 2011

2. 모바일보안위협 - 3G 망잠재적보안위협 (1/3) 모바일악성코드증가에따라 DDoS 공격등망가용성저해 - 악성코드에감염된단말은대량의국제전화및 SMS 발송, 데이터트래픽발생시도를통해과금피해유발및 3G 망가용성저해 10 년 8 월안드로이드전용악성코드출현이후현재까지 2151 개출현 ( 카스퍼스키랩, 11.

11 2. 모바일보안위협 - 3G 망잠재적보안위협 (1/3) 모바일악성코드증가에따라 DDoS 공격등망가용성저해 - 악성코드에감염된단말은대량의국제전화및 SMS 발송, 데이터트래픽발생시도를통해과금피해유발및 3G 망가용성저해 10 년 8 월안드로이드전용악성코드출현이후현재까지 2151 개출현 ( 카스퍼스키랩, 11.2) - 3G 뿐아니라, 인터넷망으로의개인정보노출, 스마트폰데이터노출, 스팸, DDoS 공격등다수의보안위협존재 모바일악성코드증가예상 안드로이드등범용운영체제사용 스마트폰이용자큰폭증가 ( 연내 2,000만명예상 ) 스마트폰데이터트래픽처리량향상 다수 APP 개발 / 유통, 검증되지않은블랙마켓증가 Always-On 형태의서비스증가 모바일악성코드피해유형 비정상과금발생으로소비자피해유발 - 대량의국제젂화 /SMS 발생 등유료젂화통화유도 DoS/DDoS 공격등으로망가용성저해 -한정된무선자원고갈형 DDoS 공격 개인정보유출 / 스팸등다수피해발생 - 스마트폰에저장된개인정보노출 / 스팸발송등보안위협존재 11 KRnet 2011

12 2. 모바일보안위협 - 3G 망잠재적보안위협 (2/3) 비정상음성 /SMS/ 데이터트래픽에따른 3G 망주요장비장애발생가능 - 비정상음성 /SMS/ 데이터트래픽은과금체계혼란, 과다트래픽발생가능 - 특히, 적은대역폭을가진기지국 /SGSN 등 3G 망주요장비대상공격발생가능 3G 코어네트워크에서비정상트래픽탐지 / 대응필요 테더링을통한과다트래픽유발로망주요장비장애 과부하에따른기지국가용성저하 - 비정상국제통화 /060 유료통화발생위협존재 - 사용자는요금고지서를받은후에비정상과금여부인지하게되며, 분쟁조정등으로해결하는실정임 Core Network 지속적인무선자원할당 / 해제를반복하여, 취약장비장애유도 SSGN Billing Center Internet 지속적인무선자원점유를통해, 취약장비장애유도 모바일망에대한 DoS/DDoS 공격효과유발 - 비정상데이터트래픽증가로인해, 기지국 /SGSN 장애위협존재 - 현재, GGSN 뒷단 IP 구간에서 QoS 관리및 CDR 분석을통한비실시간대응수행 12 KRnet 2011

2. 모바일보안위협 - 3G 망잠재적보안위협 (3/3) 다양한단말 / 서비스환경 ( 테더링등 ) 에따른,

테더링된노트북은기존핸드폰보다평균 515 배데이터트래픽발생 (Cisco, 2010) -

(Tethering) : 인터넷접속이가능한기기를이용하여, 다른기기도인터넷에접속할수있게해주는기술 일반핸드폰

13 2. 모바일보안위협 - 3G 망잠재적보안위협 (3/3) 다양한단말 / 서비스환경 ( 테더링등 ) 에따른, 3G 망이상징후탐지및대응의어려움 - 스마트폰테더링을통한노트북 / 타블릿등에서의대량의데이터트래픽발생 테더링된노트북은기존핸드폰보다평균 515 배데이터트래픽발생 (Cisco, 2010) - 테더링여부에따라이상트래픽탐지 / 대응방법은큰차이가존재하나, 현재테더링여부조차파악하지못하는실정임 테더링 (Tethering) : 인터넷접속이가능한기기를이용하여, 다른기기도인터넷에접속할수있게해주는기술 일반핸드폰 감염된노트북 테더링스마트폰 타블릿 PDA/PMP < 테더링을통한트래픽발생 > < 일반핸드폰과 LAPTOP 등에서의트래픽발생량비교 > 13 KRnet 2011

14 2. 모바일보안위협 비정상 / 공격데이터트래픽 (1/4) 비정상데이터트래픽탐지 / 대응기술미비 (1/2) - 망부하가큰무선채널형성, 지속적인무선자원점유등을유발하는악성트래픽발생 - DoS/DDoS, 공격비정상스캐닝등단말및망가용성저해 현재, QoS 관리수준에머물러있으며, 실시간대응에한계존재 비정상데이터트래픽탐지 / 대응기술개발필요 테더링서비스를통한비정상데이터트래픽 무선자원고갈 집중화된트래픽에따른망부하 PS Network Internet 비정상스캐닝등단말 / 모바일망자원고갈트래픽 스캐닝및모바일봇넷트래픽 무선자원고갈 자원고갈형악성트래픽 반복적인페이징유발, 지속적인 Keep-alive 등단말 / 이동통신망자원고갈트래픽 단말의자원고갈 비정상서비스및모바일봇넷 C&C 등 14 KRnet 2011

2. 모바일보안위협 비정상 / 공격데이터트래픽 (2/4) 비정상데이터트래픽탐지 / 대응기술미비 (2/2) - GGSN 코어장비는외부인터넷과연동하는프락시역할을수행 - DDoS 공격탐지가어려운소량의패킷을발송하지만, 대량세션생성등자원고갈형공격가능 외부에서유입되는비정상트래픽에대한탐지및대응에집중하고있음 GGSN

15 2. 모바일보안위협 비정상 / 공격데이터트래픽 (2/4) 비정상데이터트래픽탐지 / 대응기술미비 (2/2) - GGSN 코어장비는외부인터넷과연동하는프락시역할을수행 - DDoS 공격탐지가어려운소량의패킷을발송하지만, 대량세션생성등자원고갈형공격가능 외부에서유입되는비정상트래픽에대한탐지및대응에집중하고있음 GGSN 장비의자원을고갈시키는소량의비정상트래픽탐지기술필요 자원고갈형트래픽에따른장비장애유발 PS Network GGSN 게이트웨이장애발생 Internet DDoS 공격탐지가어려운소량의트래픽으로대량세션생성등자원고갈형트래픽발생 GGSN 은외부인터넷과연동하는역할을수행 ( 프락시 ) 하나의 GGSN 은광역을담당 ( 장애발생시광역에서데이터통신불능 ) 15 KRnet 2011

2. 모바일보안위협 비정상 / 공격음성트래픽 (3/4) 비정상음성트래픽탐지 / 대응기술미비 - 무단국제전화 /060 유료전화등비정상과금유도, 폭탄 SMS 로인한단말 / 망가용성저해 - 모바일악성코드증가에따라, 지속적인공격발생예상 비정상음성 /SMS 트래픽탐지 / 대응기술개발필요 무단국제전화및 060

16 2. 모바일보안위협 비정상 / 공격음성트래픽 (3/4) 비정상음성트래픽탐지 / 대응기술미비 - 무단국제전화 /060 유료전화등비정상과금유도, 폭탄 SMS 로인한단말 / 망가용성저해 - 모바일악성코드증가에따라, 지속적인공격발생예상 비정상음성 /SMS 트래픽탐지 / 대응기술개발필요 무단국제전화및 060 등유료전화발신 집중화된트래픽에따른망부하 모바일악성코드감염모바일단말 CS Network PSTN 봇넷구성모바일좀비 대량의 SMS 메시지무단발송 특정단말에대한 SMS 폭탄 Billing Center 비정상과금 불특정다수에대한스팸 SMS SMS Gateway SMS 발송서비스해킹을통한대량의 SMS 발송 16 KRnet 2011

2. 모바일보안위협 보안관제및관리 (4/4) 비정상악성트래픽모니터링및종합관제기술부재 -

(HeavyUser) : 일일데이터사용량이지나치게많아망에부하를주는사용자 ( 예하루 10G) -

어떠한트래픽인지모니터링이되지않고, 체계화된대응방안이미비 이상징후모니터링 /

주요자원에대한보안위협모니터링부재 전사적보안위협모니터링 자동화된체계적대응부재

/ 지속적채널유지시도등 3G 망주요공격탐지 / 대응불가 (3G 망프로토콜처리불가 ) - 단말

17 2. 모바일보안위협 보안관제및관리 (4/4) 비정상악성트래픽모니터링및종합관제기술부재 - 현재헤비유져에한해서관리자가직접수동으로대응 ( 자동화된스크립트조차없음 ) 헤비유져 (HeavyUser) : 일일데이터사용량이지나치게많아망에부하를주는사용자 ( 예하루 10G) - 모바일망의종합적인모니터링 / 악성트래픽대응및정책관리부재 트래픽의양뿐만아니라, 어떠한트래픽인지모니터링이되지않고, 체계화된대응방안이미비 이상징후모니터링 / 악성트래픽대응등종합관제기술개발필요 트래픽에대한선별적파악부재 선별적트래픽분석및탐지 주요자원에대한보안위협모니터링부재 전사적보안위협모니터링 자동화된체계적대응부재 자동화된체계적보안정책대응 기존인터넷환경에서의 IPS, DDoS 등보안장비적용불가 - 무선채널형성 / 지속적채널유지시도등 3G 망주요공격탐지 / 대응불가 (3G 망프로토콜처리불가 ) - 단말 IP 의빈번한변경 ( 유동 IP), NAT 환경등으로 IP 기반탐지 / 대응불가 - 3G망의음성 / 데이터 / 제어용다양한프로토콜처리가불가능하며, 이상트래픽패턴도상이함 17 KRnet 2011

18 2. 모바일보안위협 - 피해사례 (1/4) 연초대비 1,000% 데이터증가에따른중계기다운및통화품질저하 ( 전자신문, 10.12) 인구밀집지역에대한 Call Drop 현상증가 ( 아주경제, 10.1) Call Drop : 통화가갑자기끊기거나, 모바일통신종료 비정상공격트래픽대응기술신속한개발및보급필요 이동통신망주요사고사례 KT 남부터미널인근 6 시간불통 (2010 년 12 월 ) SKT 경기남부휴대전화 1 시간불통 (2010 년 12 월 ) KT 강남일대중계기고장으로종일불통 (2011 년 1 월 ) 18 KRnet 2011

19 2. 모바일보안위협 - 피해사례 (2/4) 트레드다이얼 (TredDial) 은대량의국제전화통화를발생시켜과금피해유도 ( 10.4) 폭탄 SMS 발송등을유도하는다수의악성코드등장 2010 년, 안드로이드기반의불법적인유료 SMS 를발송하는악성코드가러시아에서발견 ( 카스퍼스키 ) 관련악성코드는꾸준히증가하고있으며, 지속적으로변종이발견되고있음 모바일게임인 3D 안티테러리스트액션 과 코덱팩 에포함되어악성코드배포 해커 악성사이트에업로드 모바일어플리케이션 악성코드다운 6 개국제전화번호로전화시도 SMS.AndroidOS.FakePlayer 사용자 악성코드설치 스마트폰 악성코드동작 유료전화사업자 / 국제전화등 < 안드로이드기반 SMS 악성코드 > 사용자는요금고지서가나온이후에인지 < 트래드다이얼동작개요 > < SMS 관련악성코드 > 19 KRnet 2011

20 2. 모바일보안위협 - 피해사례 (3/4) 카카오톡서버비정상종료에따른 3G 망장애발생 ( 10.12) - 서버다운으로카카오톡가입단말에서지속적인접속시도로 SGSN 장애발생 11 년 4 월카카오톡가입자는 1,000 만명을넘어설예정이며, 스마트폰이용자및신규어플리케이션증가로이러한보안위협은확대될것으로예상 단말 / 무선자원고갈피해가발생가능한다수어플리케이션개발 / 보급위협존재 - 지속적인 Keep-Alive 메시지에따른단말 / 무선자원고갈 - 모바일단말의 Paging 을빈번히발생시켜단말 / 무선자원고갈 3G 망장애유발이가능한응용서비스증가및이를악용한공격사례발생예상 1 카카오톡서버장애발생 2 동시다발적접속시도, 지속적인 retry 시도누적 Core Network Internet UE SSGN GGSN 3 한정된무선자원고갈에따른 SGSN 장애발생 3G 망장애유발이가능한응용서비스증가예상 카카오톡서버 해커 응용서비스의 3G 망장애유발가능성을악용한다수공격사례발생예상 20 KRnet 2011

21 2. 모바일보안위협 피해사례 (4/4) 2010 년 10 월중국, 100 만대이상의휴대젂화가모바일악성코드감염 광고성문자메시지등수신한 SMS 메시지를확인하는것만으로도모바일악성코드에감염되어금전적피해가유발될수있으므로사용자의주의가더욱더필요함 SMS 무단발송에따른요금피해액이 3 억원에이르고있음 21 KRnet 2011

22 3. 관련기술동향 22 KRnet 2011

3. 3G 망비정상데이터트래픽탐지기술 (1/2) Security Issues and Solutions in 3G Core Network (2011.

를이용한다양한공격을사전에스크립트로정의할경우해당공격에대한탐지가가능함 - 그러나, 3G Core Network 에서발생할수있는다양한공격에대한정의가빠져있으며, GTP-U Analyzer 의경우테더링서비스를통해유입되는유선환경트래픽에대한고려가부족함 [GTP IPS 적용구조 ] Language Interpreter : 시스템의초기설정및파싱 /

23 3. 3G 망비정상데이터트래픽탐지기술 (1/2) Security Issues and Solutions in 3G Core Network ( ) - 실시간 GTP 트래픽분석을통해공격을탐지할수있는 IPS 모델을제안 - Language Interpreter, GTP-X Analyzers, GTP Attack Detector, GTP Packet Parser 로구성 - GTP Abnormal 공격, PDP Context 요청 Flooding 등과같이 GTP 를이용한다양한공격을사전에스크립트로정의할경우해당공격에대한탐지가가능함 - 그러나, 3G Core Network 에서발생할수있는다양한공격에대한정의가빠져있으며, GTP-U Analyzer 의경우테더링서비스를통해유입되는유선환경트래픽에대한고려가부족함 [GTP IPS 적용구조 ] Language Interpreter : 시스템의초기설정및파싱 / 탐지룰정의를담당 GTP Stream Filtering Engine : 하드웨어기반의실시간 GTP 프로토콜처리엔진 GTP Packet Parser : 정의된포맷에맞게 GTP-U/C 프로토콜파싱및 1 차가공데이터를 GTP Analyzer 에게전송 GTP-C Analyzer : GTP-C 를이용한공격탐지, 사용자연결정보등을분석해서 GTP-U Analyzer 에게전송 GTP-U Analyzer : PDP context 정보등을이용하여, GTP-U 를이용한공격탐지 Responder : 공격이탐지될경우, 로깅경고, 패킷드랍등을담당 [GTP IPS 구조 ] 23 KRnet 2011

24 3. 3G 망비정상데이터트래픽탐지기술 (2/2) A Distribution-Based Approach to Anomaly Detection and Application to 3G Mobile Traffic (GLOBECOM 2009) - 3G 이동통신망외부에존재하는서비스에의해발생되는비정상행위탐지에효과적인탐지알고리즘을제안 ( 카카오톡서버종료, Skype 서버종료등 external phenomenon) - 업링크 TCP Syn 패킷수등다양한요소를정의해 3G 망의비정상을탐지할수있음 - 알고리즘최초구동시정상타임윈도우구간, 비정상타임윈도우구간, 백분위수설정이필요하며, 정상 / 비정상타임윈도우는탐지과정에서지속적으로업데이트가이루어짐 타입윈도우는 1 시간단위 0H 비교 12H 에서의업링크 TCP Syn 패킷수 비정상일경우추가 24H 두분산의비교를위해 Kullback-Leibler Divergence 알고리즘사용 정상타임윈도우구간집합에서비교대상선별을위해 Reference Set Identification 알고리즘사용 2H 업링크 TCP Syn 패킷수 1H 업링크 TCP Syn 패킷수 3H 업링크 TCP Syn 패킷수 정상타임윈도우구간집합 (Anomaly-free dataset) 8H 업링크 TCP Syn 패킷수 비정상타임윈도우구간집합 3G 이동통신트래픽의특징 - 시간대별로트래픽이유동적으로발생 - 오전 8 시, 오후 7 시, 저녁 11 시에급격한트래픽변화발생 - 특정시간때트래픽은다른날의동일시간때트래픽과유사한패턴 - 특정트래픽의경우, 주말과평일에발생하는패턴에차이가있음 24 KRnet 2011

3. 관련기술동향 사업자보안현황 모바일망사업자보안현황 - 비정상데이터트래픽대응기술은실시간대응이어려우며, 적은대역폭을가진기지국 /SGSN 등의보호에어려움존재 - 비정상음성트래픽은국제전화시도등피해발생가능하나보안대책미비 - 비정상 SMS 대응기술은일일 SMS 발송건수제한등정교한대응이어려움 주요보안위협 3G 보안현황한계점 비정상데이터트래픽탐지 / 대응 GGSN

25 3. 관련기술동향 사업자보안현황 모바일망사업자보안현황 - 비정상데이터트래픽대응기술은실시간대응이어려우며, 적은대역폭을가진기지국 /SGSN 등의보호에어려움존재 - 비정상음성트래픽은국제전화시도등피해발생가능하나보안대책미비 - 비정상 SMS 대응기술은일일 SMS 발송건수제한등정교한대응이어려움 주요보안위협 3G 보안현황한계점 비정상데이터트래픽탐지 / 대응 GGSN 뒷단, IP 대역에서 QoS 기반대응 CDR 로그기록분석을통한탐지및대응 QoS 보장수준이며, 협소한무선자원보호어려움 실시간대응및자동화된대응어려움 비정상음성 /SMS 트래픽탐지 / 대응 비정상음성트래픽에대한보안대책미비 비정상 SMS 는일일 SMS 발송건수기반대응 비정상음성트래픽공격대응어려움 일일 1,000 건수준에서대응하여, 정교한대응불가 25 KRnet 2011

26 3. 관련기술동향 솔루션현황 국내기술동향 국내이동통신망에대한보안기술은아직초기단계이며, 관련상용제품은없음 테더링등의트래픽에대한세부특성조차파악이되지못함 악성트래픽의여부가아닌다량의데이터를사용하는헤비유저에한해서관리자가수동으로직접대응하는수준으로신속한대응및망위협요소에대한정확한탐지에어려움이있음 국내이동통신사에서가입자의데이터통신이력을바탕으로악성트래픽을차단하는기술을적용한바있으나, 오탐지빈도가높아서실제활용되지못하고있음 해외기술동향 Check Point( 이스라엘 ), Fortinet, Juniper Networks( 미국 ) 은데이터망에한해서 GTP 프로토콜에대한 Statefull Inspection 및기본적인형태의 DoS 방어, Anti-spam 기능제공하나, 무선리소스에대한모니터링기능이없어대응효과가제한적이며최근의모바일서비스별특성을반영하지못함 Airvana, STOKE, Lucent( 미국 ) 는이동통신망과인터넷망의연동이주요기능이기때문에, DoS 방어, 인증, 암호화를통한가입자트래픽보호, ACL등인터넷을통한게이트웨이기반의일반적네트워크보안기술로이동통신네트워크보안에특화되지못하는한계를가짐 26 KRnet 2011

27 4. 대응방안 27 KRnet 2011

4. 대응방안 보안적용구조 3G 이동통신망비정상데이터트래픽탐지 - 비용을고려하여 SGSN, GGSN 사이구간에적용 (GGSN : 사업자별 10 미만의장비로구성 ) 3G 이동통신망비정상음성트래픽탐지시스템 - 대량의패킷처리및비용을고려하여콜정보를활용하여이상징후탐지기능고려 3G 모바일비정상데이터 / 음성트래픽차단및이상징후관제시스템 - 다양한트래픽 ( 제어,

28 4. 대응방안 보안적용구조 3G 이동통신망비정상데이터트래픽탐지 - 비용을고려하여 SGSN, GGSN 사이구간에적용 (GGSN : 사업자별 10 미만의장비로구성 ) 3G 이동통신망비정상음성트래픽탐지시스템 - 대량의패킷처리및비용을고려하여콜정보를활용하여이상징후탐지기능고려 3G 모바일비정상데이터 / 음성트래픽차단및이상징후관제시스템 - 다양한트래픽 ( 제어, 음성, 데이터, SMS, MMS) 중악성트래픽만선별적으로차단 / 망코어장비에차단엔진탐지고려 비정상음성트래픽 선별적차단에이전트 MSC 트래픽수집센서 서킷망 PSTN 비정상음성트래픽탐지시스템 Billing Center Node B RNC 액서스망 비정상데이터트래픽탐지시스템 탐지이벤트 탐지이벤트 3G 모바일이상징후관제시스템 비정상데이터트래픽 선별적차단에이전트 SGSN 트래픽수집센서 GGSN 패킷망 Internet 28 KRnet 2011

4. 대응방안 비정상데이터트래픽탐지 실시간데이터트래픽수집 (GTP 프로토콜파싱, 전화번호와같은단말 Identification 식별 ) 볼륨 /

무선 / 이동통신망자원고갈데이터트래픽탐지 - SNS 등단말과주기적인통신을하는서비스트래픽이망에미치는영향분석 테더링,

SGSN GGSN 무단불법스트리밍서비스접근등대용량데이터트래픽 비정상스캐닝등단말 / 무선자원 / 이동통신망자원고갈트래픽 실시간데이터정보

29 4. 대응방안 비정상데이터트래픽탐지 실시간데이터트래픽수집 (GTP 프로토콜파싱, 전화번호와같은단말 Identification 식별 ) 볼륨 / 플로우기반비정상데이터트래픽탐지 ( 공격트래픽및비정상트래픽탐지 ) GGSN 등주요장비타겟공격트래픽탐지 (GGSN 자원고갈형공격트래픽탐지 ) 단말 / 무선 / 이동통신망자원고갈데이터트래픽탐지 - SNS 등단말과주기적인통신을하는서비스트래픽이망에미치는영향분석 테더링, 모바일브로드밴드서비스를통한대량의악성데이터트래픽 액서스망 비정상데이터트래픽선별적차단에이전트 트래픽수집센서 패킷망 Internet Node B RNC SGSN GGSN 무단불법스트리밍서비스접근등대용량데이터트래픽 비정상스캐닝등단말 / 무선자원 / 이동통신망자원고갈트래픽 실시간데이터정보 비정상데이터트래픽탐지시스템 탐지이벤트 반복적인페이징유발지속적인 Keep-alive 등단말 / 무선 / 이동통신망자원고갈트래픽 3G 모바일이상징후관제시스템 비정상서비스서버 29 KRnet 2011

/ 유료전화발신, 유료문자메시지발송 봇넷구성모바일좀비 대량의 SMS 메시지무단발송 Node B 액서스망 RNC 비정상 SMS/ 음성트래픽선별적차단에이전트 MSC 트래픽수집센서 실시간음성정보 CDR

30 4. 대응방안 비정상음성트래픽탐지 통화정보 (CDR) 정보조회 / 분석기술 ( 빌링등 CDR 수집시스템연동고려 ) - 비정상데이터발송단말에대한 CDR 정보조회및분석시그니처기반비정상음성트래픽탐지 ( 시간당콜시도횟수, 무작위적통화시도, 비정상통화시간등 ) 행위기반비정상음성트래픽탐지대량 SMS 발송, 전송패턴에따른비정상 SMS 발송탐지 ( 과도한유료문자발송등 ) 모바일악성코드감염모바일단말 무단국제 / 유료전화발신, 유료문자메시지발송 봇넷구성모바일좀비 대량의 SMS 메시지무단발송 Node B 액서스망 RNC 비정상 SMS/ 음성트래픽선별적차단에이전트 MSC 트래픽수집센서 실시간음성정보 CDR 비정상 SMS/ 음성트래픽탐지시스템 탐지이벤트 서킷망 Billing Center PSTN SMS Gateway SMS 발송서비스해킹을통한대량의 SMS 발송 3G 모바일이상징후관제시스템 30 KRnet 2011

4. 대응방안 비정상데이터 / 음성트래픽대응 비정상모바일단말식별및모니터링 - 비정상모바일단말 ( 스마트폰, 테더링, 모뎀등유형별분석 / 비정상데이터 / 음성트래픽발송단말식별 ) 가입자등록정보기반호설정제어기술 - 비정상모바일단말및식별자연관관계분석 (USIM 이동성고려 ) 비정상 SMS/ 음성 /MMS/ 데이터트래픽선별적차단기술

31 4. 대응방안 비정상데이터 / 음성트래픽대응 비정상모바일단말식별및모니터링 - 비정상모바일단말 ( 스마트폰, 테더링, 모뎀등유형별분석 / 비정상데이터 / 음성트래픽발송단말식별 ) 가입자등록정보기반호설정제어기술 - 비정상모바일단말및식별자연관관계분석 (USIM 이동성고려 ) 비정상 SMS/ 음성 /MMS/ 데이터트래픽선별적차단기술 비정상음성트래픽 선별적차단에이전트 MSC 트래픽수집센서 서킷망 PSTN Node B RNC 액서스망 비정상음성트래픽탐지시스템 비정상데이터트래픽탐지시스템 탐지이벤트 탐지이벤트 차단정책 Billing Center 차단정책 3G 모바일이상징후관제시스템 비정상데이터트래픽 선별적차단에이전트 SGSN 트래픽수집센서 31 KRnet 2011 GGSN 패킷망

32 감사합니다

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%