📌 TL;DR
HSS 해킹은 가입자 인증부터 통신망 전체를 장악할 수 있는 심각한 위협이다. 5G는 SUCI와 SBA로 방어를 강화했지만 NSA fallback 등 여전히 취약점은 존재한다!
HSS 해킹부터 5G 통신망의 숨겨진 리스크까지 한 번에 정리!
오늘은 이동통신망의 심장인 HSS(Home Subscriber Server) 해킹과,
이를 통해 발생할 수 있는 IMSI Catcher 공격,
그리고 5G 시대에 이걸 막기 위해 등장한 SUCI 암호화 기술,
끝으로 5G에도 여전히 존재하는 통신망 공격 위험까지
최대한 자세하고 풍부하게 풀어보려고 합니다.
지금까지 어디서도 한 번에 보기 힘든 깊은 정보예요.
끝까지 읽어보시면 이동통신 보안의 현실을 정확히 파악할 수 있습니다!
1. HSS(Home Subscriber Server)란 무엇인가?
HSS는 LTE/5G 이동통신망에서
가입자 정보를 저장하고,
가입자 인증(Authentication) 및 위치 관리(Location Update),
정책 제어를 수행하는 핵심 서버입니다.
쉽게 말하면:
"이 통신사 가입자야"를 증명해주고,
"어디에 있는지" 알려주며,
"어떤 요금제/정책을 적용해야 하는지"를 네트워크에 전달하는 서버
HSS 기본 구성 요소
| 컴포넌트 | 역할 |
| Database Layer | IMSI, MSISDN, 인증키(K, OPc), 정책 정보 저장 |
| Application/Logic Layer | 인증(Authentication), 위치 업데이트(Location Update), 세션 관리(Session Management) |
| Diameter Stack | S6a, Cx 등 인터페이스를 통한 MME, AMF, IMS 서버와의 통신 |
| API Layer | 가입자 추가/삭제 관리용 SOAP/REST API 제공 |
| HA/이중화 구성 | 장애 복구 및 데이터 복제 (Active-Active, Active-Standby) 지원 |
HSS 주요 통신 인터페이스
| 인터페이스 | 사용 용도 | 대상 장비 |
| S6a | 단말 인증, 위치 업데이트 요청/응답 | LTE MME |
| S6d | 5G 단말 인증, 위치 업데이트 요청/응답 | 5G AMF |
| Cx | IMS 가입자 인증 및 세션 설정 | IMS S-CSCF |
| Sh | 가입자 부가정보 조회 (예: 통화포워딩 설정) | Application Server |
| Ud | DB 직접 조회용 내부 인터페이스 | 내부 시스템 |
2. HSS 해킹 시 발생할 수 있는 2차 피해
HSS가 뚫리는 순간, 단순 데이터 유출을 넘어
통신망 자체를 통제할 수 있는 무서운 일이 벌어집니다.
| 범주 | 상세 설명 |
| 가입자 데이터 유출 | IMSI, 전화번호, 요금제, APN 설정, 키(K, OPc) 정보 유출 |
| 인증 우회 및 세션 탈취 | 해커 단말이 네트워크에 공식 인증 없이 접속 가능 |
| 통화/데이터 감청 | 인증키를 이용해 암호화된 트래픽 복호화 가능 |
| 서비스 거부 공격(DoS) | 단말 위치 정보 조작 → 통신 두절 유발 |
| 가짜 기지국 제작(IMSI Catcher) | 탈취한 IMSI/K로 고성능 가짜 기지국 구축 가능 |
| VoLTE/5G 통화 하이재킹 | IMS 세션 변조 후 통화 가로채기 가능 |
| 불법 과금, 요금제 변조 | 데이터 무제한 요금제로 변조 후 트래픽 악용 |
| 단말 위치 추적 | 실시간 이동 경로 추적 가능 |
| IoT, M2M 기기 공격 | 연결된 기기 해킹 및 조작 가능 |
3. HSS 해킹 실제 공격 시나리오 (실제 흐름)
해커 관점에서 보면 이렇게 진행됩니다:
[1] 내부 접근 확보
↓
[2] HSS 서버 해킹 (권한 탈취)
↓
[3] 가입자 DB 탈취 (IMSI, 인증키 포함)
↓
[4] 인증 변조 및 세션 하이재킹
↓
[5] 가짜 기지국/감청/위치추적
↓
[6] 통신망 과부하 → 전국 통신 두절각 단계 상세 설명
| 단계 | 방법 |
| 내부 접근 확보 | 스피어 피싱, VPN 해킹, 서드파티 침투 |
| HSS 권한 탈취 | OS 취약점 이용, 기본 관리자 계정 공격 |
| DB 접근 | SQL Dump, 메모리 스니핑으로 데이터 수집 |
| 인증 변조 | 해커 단말을 정상 가입자처럼 등록 |
| 통신 감청 및 하이재킹 | VoLTE, 데이터 세션 가로채기 |
| 전국 통신 마비 | 대규모 위치 업데이트 조작으로 가입자 통신 두절 |
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
4. IMSI Catcher: 가짜 기지국은 어떻게 타겟을 추적할까?
IMSI Catcher는 가짜 기지국을 열어 단말을 자기한테 붙이고,
IMSI를 강제로 수집합니다.
동작 흐름
1. 타겟 기본 정보 확보 (전화번호 or IMSI)
2. 가짜 기지국 세팅 (강한 신호 송출)
3. 단말 연결 유도
4. ID 요청 → IMSI 평문 전송
5. IMSI 식별 → 타겟 추적
6. 신호 세기(RSSI) 분석 → 거리/방향 추적| 주요 기술 | 설명 |
| 강제 Reselection | 단말이 가짜 셀로 이동하도록 유도 |
| Cell Barrage | 진짜 셀을 막아버리고 가짜 셀만 보이게 만듦 |
| Timing Advance 측정 | 단말-기지국 거리 대략 추정 가능 |
| AoA(AoAngle of Arrival) | 단말 방향 추적 |
✅ 최신 IMSI Catcher는 이동 중인 타겟도 추적할 수 있습니다.
5. 5G 시대, IMSI Catcher를 막기 위한 기술
5G에서는 IMSI 노출을 막기 위해
SUCI(Subscription Concealed Identifier) 를 도입했습니다.
SUCI (가명 식별자) 구조
| 항목 | 설명 |
| SUCI란? | IMSI를 암호화한 가명 식별자 |
| 생성 방법 | 단말 내부에서 이동통신사 공개키로 ECC 암호화 |
| 특징 | 매번 다른 SUCI 생성, 추적 방지 가능 |
| 복호화 주체 | Home Network만 복호화 가능 (Private Key 보유) |
✅ SUCI를 사용하면 가짜 기지국이 IMSI를 수집할 수 없습니다.
추가 강화된 5G 보안 체계
| 분야 | 강화된 내용 |
| SBA 통신 | HTTP/2 + TLS로 API 통신 보안 강화 |
| 초기 암호화 | NAS Ciphering Early Activation |
| 슬라이싱 보안 | 네트워크 슬라이스 간 철저한 분리(Slicing Isolation) |
6. 5G 망에서도 여전히 남아있는 공격 위험
5G가 아무리 좋아도 현실은 "완벽"하지 않습니다.
6.1. NSA(Non-Standalone) 모드 취약점
(1) NSA란?
- 5G 초기 상용망은 "5G 단독(SA)"가 아니라,
- 4G LTE 망과 묶어서(Non-Standalone) 운영합니다.
- 즉, 5G 통신은 하다가도, 제어신호는 여전히 LTE로 흘러갑니다.
✅ 문제:
LTE는 여전히 IMSI를 평문으로 보내는 경우가 있습니다.
(2) 공격 방식
| 방법 | 설명 |
| Downgrade Attack | 단말을 LTE Only 모드로 강제 다운그레이드 (RESELECT 명령 이용) |
| LTE IMSI Catcher | 다운그레이드 후 IMSI를 평문으로 수집 |
| Fallback Exploit | 5G 네트워크 장애 유발 → 단말을 LTE로 강제 전환 |
요약:
5G 보안 강화는 의미가 없고, LTE fallback 구간을 노려서 IMSI 탈취가 가능해지는 것.
6.2. 가짜 5G 기지국 공격 (Fake gNodeB)
(1) 설명
- 해커가 가짜 5G 기지국(gNodeB)을 만들 수 있습니다.
- 신호 세기를 살짝 높이면 주변 단말들이 가짜 gNodeB에 붙습니다.
✅ 5G는 SUCI를 사용하긴 하지만,
✅ 초기 접속 과정에서 단말이 신호 세기만으로 기지국을 신뢰할 수 있습니다.
(2) 공격 방식
| 방법 | 설명 |
| Initial Access Hijacking | 가짜 gNodeB로 초기 연결 시도 유도 |
| Fake RRC Setup | 단말과 비정상 RRC 연결 세팅 |
| NAS Rejection Flood | 네트워크 접속을 방해하거나 특정 서비스만 제한 |
요약:
IMSI 탈취는 어렵지만,
접속 방해(DoS)나 단말 추적(식별 패턴 분석)은 여전히 가능합니다.
3. SBA(SERVICE-BASED ARCHITECTURE) API 공격
(1) SBA란?
- 5G Core는 HTTP/2 기반 API 통신(SBA 구조)로 바뀌었습니다.
- 예전 Diameter 대비 확장성과 유연성은 좋아졌지만...
✅ API는 해킹 대상이 되기도 쉽습니다.
(2) 공격 방식
| 방법 | 설명 |
| API 인증 우회 | OAuth2 토큰 탈취 후 다른 API 호출 |
| API Dos 공격 | 인증 서버(AUSF), 데이터 서버(UDM)에 과부하 트래픽 유발 |
| Improper Authorization | 권한 검증 미흡시, 타 가입자 데이터 접근 가능성 |
요약:
5G Core 자체를 해킹하거나,
관리형 API를 노리는 새로운 공격 벡터가 등장했습니다.
4. 위치 추적 공격 (Location Tracking)
SUCI 암호화로 IMSI를 직접 알 수는 없지만,
5G에서도 여전히 위치 추적이 가능합니다.
| 방법 | 설명 |
| Timing Advance Attack | 기지국과 단말 사이 거리 측정값(Timing Advance)을 분석 |
| Cell Handover Analysis | 핸드오버(cell 전환) 패턴을 분석하여 대략적 이동 경로 추정 |
| Beamforming Fingerprinting | 5G 빔포밍 특징값을 수집하여 단말 식별 |
요약:
5G 망에서도 특정 단말의 위치/이동 경로 추적은 기술적으로 가능합니다.
5. 슬라이싱(Slicing) 공격
(1) Slicing이란?
- 5G는 한 네트워크 물리망을 여러 개 가상망으로 나누어 쓰는 기술을 지원합니다.
- 각각의 슬라이스는 독립된 네트워크처럼 작동합니다. (ex. 기업전용망, 공공망 등)
✅ 문제:
슬라이스 간 격리(Isolation)가 완벽하지 않으면,
한 슬라이스를 해킹해서 다른 슬라이스를 공격할 수 있습니다.
(2) 공격 방식
| 방법 | 설명 |
| Cross-Slice Attack | 슬라이스 경계를 넘어 다른 슬라이스 데이터 접근 |
| SLA 위반 공격 | 특정 슬라이스의 품질(QoS)을 망가뜨려 통신 방해 |
| Tenant Impersonation | 슬라이스 내 기업 또는 기관의 데이터 탈취 |
| 리스크 | 상세 설명 |
| LTE fallback 공격 | NSA 모드에서 LTE로 다운그레이드 후 IMSI 탈취 가능 |
| 가짜 5G 기지국 | 초기 RRC 연결 조작 가능 (DoS, 추적 등) |
| SBA API 해킹 | OAuth2 토큰 탈취, 인증 우회, API DoS 가능 |
| 위치 추적 | Timing Advance 분석, 핸드오버 패턴 분석 가능 |
| 슬라이싱 공격 | Cross-slice 이동 통한 데이터 탈취 가능 |
✅ 5G는 NSA(LTE 혼용) 환경에서는 여전히 "약한 고리"가 존재합니다.
7. 유심(USIM)만 바꿨을 때 바뀌는 것
| 항목 | 바뀜 여부 |
| 새로운 USIM 카드 | O (바뀜) |
| IMSI | O (바뀜, 통신사 재발급) |
| 전화번호(MSISDN) | O (보통 유지, 선택 가능) |
| 인증 키(K, OPc) | ✅ O (새로운 키가 USIM과 HSS 양쪽에 다시 저장됨) |
✅ 여기까지 보면 K와 OPc도 재발급되니까,
이론상으로는 "문제 해결"되는 것처럼 보일 수 있어요.
8. 하지만 현실에서는... ✅ 완벽하게 끝나지 않는다!
왜냐하면 해커는 이미 HSS에서 "나에 대한 과거 정보"를 가져갔기 때문입니다.
→ 즉, 해커 입장에서는 다음과 같은 공격이 여전히 가능합니다:
| 항목 | 설명 |
| 과거 위치 추적 | 기존 IMSI를 기반으로 과거 위치정보를 분석, 이동 패턴 추적 가능 |
| 통화/데이터 세션 감청 | 해커가 과거 인증 정보를 이용해 만들어진 세션을 분석할 수 있음 (특히 공격 직후) |
| 프로파일 변조 | 가입자 정책(QoS, VoLTE 설정 등)이 변조된 상태면, 유심을 갈아도 이상 행동 발생 가능 |
| 스푸핑 공격 | 해커가 유출된 IMSI를 이용해 다른 디바이스에서 나를 흉내내기 가능 (시간차 공격) |
| 가짜 기지국 감염 | 이미 유출된 IMSI로, 나를 겨냥한 고급 IMSI Catcher 공격 가능 |
9. 현실적으로 필요한 조치
HSS 해킹 후, 진짜 안전하게 복구하려면 단순히 USIM 교체만으로는 부족하고,
통신사 레벨에서 "가입자 재등록(리프로비저닝)"을 요청해야 합니다.
구체적으로는:
✅ IMSI 변경 (통신사 요청)
✅ K, OPc 재생성 (완전한 키 재발급)
✅ 가입자 서브스크립션 삭제 후 재등록
✅ HSS 내부 정책 초기화
✅ (가능하다면) 전화번호(MSISDN)도 교체
✅ (최고는) HSS 서버 자체를 클린 설치 (← 현실적으로는 어렵지만, 심각할 경우 고려)
마무리
오늘은
✅ HSS의 구조와 기능,
✅ 해킹 시 발생할 수 있는 심각한 2차 피해,
✅ IMSI Catcher의 추적 메커니즘,
✅ 5G에서의 보안 강화(SUCI 도입),
✅ 그리고 아직 남아있는 5G 보안 위협까지
모든 걸 한 번에 정리해봤습니다.
이제 통신망 보안의 현실을 제대로 이해하셨을 거예요.
앞으로 더 많은 디지털 세상이 연결될수록, 이런 기반 보안은 더욱 중요해질 겁니다.
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🛰️ 우주 자산도 해킹당한다? 위성 해킹의 현실과 보안이 주는 교훈 (1) | 2025.05.01 |
|---|---|
| 🚀 2025 글로벌 위협 리포트: 사이버공격은 이미 AI와 자동화로 진화 중! (1) | 2025.04.29 |
| ⚡️ 다시 돌아온 '주스잭킹(juice jacking)' 위협! — 최신 공격 기법 'ChoiceJacking' 완벽 정리 (1) | 2025.04.28 |
| 📚 [CISO를 위한 완벽 가이드] 강력한 컴플라이언스 프레임워크 구축하는 방법 (0) | 2025.04.27 |
| “WinDbg Preview Exploit: WDAC 우회·디버거 악용 방법과 대응 가이드 (Windows Defender Application Control 보안 위협)” (3) | 2025.04.27 |