SS7 공격 구조 (가장 유명한 통신망 공격)
SS7은 신뢰 기반 네트워크로 설계되었습니다.
즉
가정이 존재합니다.
이것이 공격의 핵심입니다.
SS7 공격 예시
1️⃣ 위치 추적
공격자가
메시지 전송
|
SS7 Network
|
HLR
|
MSC/VLR
결과
→ 사용자 위치 추적 가능
2️⃣ SMS 가로채기
메시지 위조
HLR 응답
결과
2FA SMS 탈취 가능
SS7 공격 요약
| 공격 | 설명 |
|---|---|
| 위치 추적 | subscriber location leak |
| SMS 탈취 | OTP interception |
| 통화 도청 | call redirect |
| 가입자 정보 조회 | subscriber data exposure |
4️⃣ Diameter 공격 구조
Diameter는 LTE signaling protocol입니다.
하지만 SS7과 동일하게 신뢰 기반 구조입니다.
Diameter 공격 예
Subscriber Information Leak
|
Diameter Network
|
HSS
메시지
응답
Location info
DoS 공격
MME 공격
결과
LTE attach 실패 발생
Diameter 공격 유형
| 공격 | 설명 |
|---|---|
| Location tracking | 가입자 위치 추적 |
| Subscriber data leak | 가입자 데이터 탈취 |
| DoS | Core Network overload |
| Session hijack | 세션 탈취 |
5️⃣ GTP 공격 구조
GTP는 터널 기반 프로토콜
을 생성합니다.
GTP 터널 구조
|
eNodeB
|
SGW
|
PGW
|
Internet
GTP 공격 예
Tunnel Injection
공격자가
생성
결과
Data interception
가능
GTP 공격 유형
| 공격 | 설명 |
|---|---|
| Tunnel injection | 가짜 터널 생성 |
| IP spoofing | IP 위조 |
| Data interception | 데이터 탈취 |
| DoS | GTP flood |
6️⃣ 통신사 보안 장비
그래서 통신사는 다음 장비를 사용합니다.
| 장비 | 역할 |
|---|---|
| SS7 Firewall | SS7 공격 차단 |
| Diameter Firewall | Diameter filtering |
| GTP Firewall | GTP tunnel 보호 |
| Signaling IDS | signaling anomaly 탐지 |
대표 벤더
F5
Nokia
Ericsson
Palo Alto
7️⃣ 통신사 보안에서 가장 위험한 공격
| 공격 | 위험도 |
|---|---|
| SS7 Location Tracking | ★★★★★ |
| SMS Interception | ★★★★★ |
| Diameter Subscriber Leak | ★★★★ |
| GTP Tunnel Injection | ★★★★ |
| MME Signaling Storm | ★★★ |
핵심 정리
Signaling Protocol
| 세대 | Protocol |
|---|---|
| 2G | SS7 |
| 3G | SS7 + GTP |
| 4G | Diameter + GTP |
| 5G | HTTP2 SBI |
✔ 한 줄 핵심
이동통신 보안에서 가장 중요한 공격 대상은 SS7 / Diameter / GTP signaling 네트워크입니다.
이동통신망 공격이 항상 IPX(또는 GRX)를 먼저 침투해야만 가능한 것은 아닙니다.
하지만 통신사 외부에서 signaling 공격을 수행하려면 대부분 IPX/GRX 또는 연결된 사업자를 통해 접근해야 하는 경우가 많습니다.
즉 공격 경로는 크게 4가지로 나뉩니다.
1️⃣ IPX/GRX 로밍망을 통한 공격
2️⃣ 취약한 소규모 통신사 또는 MVNO 침투 후 우회 공격
3️⃣ 통신사 내부망 침투 후 signaling 접근
4️⃣ 인터넷 노출된 signaling 노드 공격
아래에서 구조적으로 설명합니다.
1. IPX / GRX가 무엇인지 (왜 공격 경로가 되는가)
IPX (IP Packet Exchange) 와 GRX (GPRS Roaming Exchange) 는
통신사 간 로밍 signaling과 데이터 트래픽을 연결하는 글로벌 통신망입니다.
구조 예
|
| Diameter / GTP
|
IPX Provider
|
| Diameter / GTP
|
Vodafone Core
즉
직접 연결이 아니라
구조입니다.
대표 IPX 사업자
-
Syniverse
-
Tata Communications
-
BICS
-
Orange IPX
-
iBasis
2. 왜 IPX가 공격 경로가 되는가
로밍망은 원래 신뢰 기반 네트워크입니다.
설계 가정
그래서
결과
IPX 내부에 접근만 가능하면
Diameter
GTP
메시지를 보낼 수 있습니다.
3. 실제 공격 경로 (현실적인 시나리오)
공격 시나리오 1
소규모 통신사 해킹
가장 현실적인 방법입니다.
구조
|
Small telecom operator
|
IPX network
|
Target telecom
단계
1️⃣ 작은 통신사 침투
2️⃣ SS7 / Diameter access 확보
3️⃣ IPX 통해 타 통신사 공격
이 방식은 실제로 많이 사용됩니다.
공격 시나리오 2
IPX provider 침투
구조
|
IPX Provider
|
Multiple telecom operators
IPX는 수백 개 통신사와 연결되어 있습니다.
따라서 침투하면
하지만 실제로는
공격 시나리오 3
Signaling node 인터넷 노출
가끔 통신사 장비가 인터넷에 노출됩니다.
예
GTP
SCTP port
이 경우
공격 가능
실제 사례
공격 시나리오 4
로밍 파트너 악용
일부 공격은 합법적인 로밍 사업자 계정으로 발생합니다.
예
즉
하는 경우도 있습니다.
4. IPX 공격 방법
IPX를 직접 공격하는 경우는 드뭅니다.
대부분 아래 방식입니다.
1️⃣ Signaling message injection
예
SS7 공격
ProvideSubscriberInfo
UpdateLocation
Diameter 공격
Authentication-Information-Request
2️⃣ GTP tunnel injection
예
위조
목적
Traffic interception
3️⃣ Signaling DoS
예
Authentication flood
5. 실제 공격 사례
SS7 location tracking
연구기관
Positive Technologies
결과
2017 German Bank 공격
공격 흐름
↓
SMS interception
↓
Bank OTP 탈취
GTP 공격
연구
결과
6. 통신사 방어 방법
현재 대부분 통신사는 다음 보안 장비를 사용합니다.
SS7 Firewall
차단
fake routing
subscriber info
대표
-
Enea
-
AdaptiveMobile
Diameter Firewall
차단
location query
policy manipulation
GTP Firewall
차단
ip spoofing
SEPP (5G)
5G에서 새로 등장
역할
7. 현실적인 공격 난이도
공격 경로별 난이도
| 공격 경로 | 난이도 |
|---|---|
| 소규모 통신사 침투 | 중 |
| IPX provider 해킹 | 매우 높음 |
| 통신사 내부 침투 | 높음 |
| 인터넷 노출 장비 공격 | 낮음 |
핵심 정리
✔ 이동통신 signaling 공격은
또는
가 필요합니다.
하지만
IPX 자체를 해킹하는 경우는 드물고
대부분
경로를 사용합니다.
💡 보안 엔지니어 관점에서 가장 중요한 사실 하나를 말하면
이동통신 공격의 핵심은 IPX가 아니라 signaling network trust model 입니다.
즉
라는 설계 자체가 공격의 근본 원인입니다.