LTE 네트워크 보안 - 무엇, 왜, 어떻게

소개

서비스 제공자는 증가하는 네트워크 트래픽, 대규모 확장 요구 사항, 가상화 및 오케스트레이션 요구 사항, 비용 관리 및 새로운 수익원으로의 확장을 수용하기 위해 네트워크를 진화시키고 "미래 지향적"으로 만들기 위해 오늘날 여러 가지 복잡한 과제에 직면해 있습니다.

동시에 운영자들은 인터넷 서비스 제공업체가 수년간 겪어온 것과 유사한 보안 사고와 공격을 경험하고 있습니다. 네트워크 혼잡, 서비스 저하 또는 완전 중단, 사용자 정보 및 신호 메시지 노출은 심각한 문제입니다. 핵심 네트워크 요소와 지원 인프라는 그 어느 때보다 외부 위협에 더 취약해졌습니다. APT(지능형 지속 위협), DDoS(분산 서비스 거부) 공격, DNS 수준 공격은 네트워크와 서비스의 가용성과 성능을 위협합니다. 따라서 고속 모바일 네트워크의 보안, 성능 및 가용성을 보장하는 것은 이를 소유 및 운영하는 서비스 제공자와 가입자 모두에게 매우 중요합니다. 게다가 이제는 네트워크 자체와 이에 연결된 소비자 기기를 보호하는 것도 중요해졌습니다.

F5의 통신사 등급 보안 솔루션은 오늘날 직면하고 있는 위협으로부터 LTE(Long Term Evolution) 네트워크와 가입자를 모두 보호합니다. 이러한 솔루션은 서비스 제공업체에 변화하는 환경에서 보안을 제공하고, 브랜드 평판을 보호하고, 차세대 공격으로부터 보호하며, 새로운 수익원으로의 확장을 가능하게 합니다.

네트워크 진화와 진화하는 위협 환경

전통적으로 서비스 제공자 보안은 네트워크 인프라를 보호하는 데에만 집중되어 왔으며 가입자 엔드포인트 장치에 대한 고려는 거의 또는 전혀 없었습니다. 그러나 네트워크 기술이 발전하고 3G, 4G, 5G 등으로 성능이 향상됨에 따라 네트워크 자체를 보호하는 것만으로 충분하다는 기존의 운영 관점은 바뀌어야 합니다.

고정 네트워크 인프라와 성능이 낮은 가입자 장치에 맞춰 설계된 기존 운영 모델은 서비스 제공자 아키텍처가 동적, 가상화 및 조정된 인프라 모델로 발전함에 따라 더 이상 충분하지 않습니다. 서비스 제공자 네트워크, 특히 끊임없이 진화하는 LTE 네트워크는 이제 가상화, 클라우드, 소프트웨어 정의 네트워킹(SDN) 환경에서 안정적이고 고성능의 서비스를 제공할 수 있도록 모든 곳에서 보안을 유지하도록 설계되어야 합니다. 또한, 21세기에 인프라 보안을 제공하려면 서비스 제공업체가 소비자 기기 보호에 새로운 초점을 맞춰야 합니다. 소비자 기기는 새롭고 매우 심각한 위험 요소이기 때문입니다.

F5는 특수 목적 하드웨어와 가상 솔루션을 통해 이러한 중요한 과제에 대한 솔루션을 제공하여 네트워크가 성장하고 발전함에 따라 운영자에게 필요한 보안, 성능, 가용성을 제공합니다.

진화하는 가입자 기기와 그 중요성

모바일 전화 장치는 수년에 걸쳐 발전해 왔으며 이제는 일반 컴퓨터만큼이나 강력하고 보편적으로 사용되고 있습니다. 동시에 저장할 수 있는 데이터의 양과 종류도 극적으로 증가했기 때문에 이러한 장치 자체가 공격자에게 매력적인 표적이 되었습니다. 마찬가지로, 모바일 네트워크가 직면한 위협 환경은 이전의 SMS 기반 공격에서 확대되어 현재는 기기, 애플리케이션, 네트워크 수준의 위험을 포함합니다.

온라인 성인의 3분의 2 이상이 무료이면서 보안되지 않은 공공 WiFi 서비스를 사용함에 따라 보안 위협이 더욱 명확해졌습니다. Verizon Business의 이사인 Bryan Sartin이 말했듯이, "2년 안에 모바일 기기에서 도난당하는 데이터가 서버와 애플리케이션에서 도난당하는 데이터보다 많아질 것입니다."

악의적인 공격자 트래픽 외에 고려해야 할 또 다른 위험은 채팅이 많은 애플리케이션과 이로 인해 신호 및 보조 지원 시스템에 발생할 수 있는 부하입니다. 메일, 뉴스, 소셜 미디어 등 널리 쓰이는 애플리케이션에 대한 단일 연결 요청으로 30개 이상의 연결 및 신호 이벤트가 생성되는 경우가 많으며, 수백만 대의 가입자 장치로 인해 서비스 공급자의 신호 및 지원 인프라에 과부하가 걸릴 가능성도 매우 현실적인 문제입니다. 충분한 용량과 보안을 고려하여 설계 및 구축되지 않은 경우 소수의 악의적인 행위자가 통신사의 신호 및 지원 인프라를 방해할 가능성이 상당히 높습니다.

소비자와 소비자 기기를 표적으로 삼는 위협 환경 또한 계속해서 진화하고 있습니다. 소셜 엔지니어링, 맬웨어, DDoS 공격 등 위협 벡터의 다양성과 정교함이 증가함에 따라 현대 LTE 네트워크 운영자는 자신을 보호하기 위해 잠재적인 공격으로부터 클라이언트를 보호하는 것이 매우 중요해졌습니다.

보안이 운영자에게 왜 그렇게 중요한가요?

기술이 발전하고 네트워크 비용/성능 비율이 개선됨에 따라 통신사는 순수 연결 및 기존 서비스에서 발생하는 수익 감소를 상쇄하기 위해 노력해야 합니다. 대부분의 통신사들은 네트워크 인프라 비용을 줄이려고 노력하고 있지만, 이것만으로는 수익성 있는 성장이 보장되지 않습니다. 따라서 통신사들은 추가 서비스 수익원을 모색하고 있습니다.

네트워크 보안은 긍정적인 고객 경험과 수익성 있는 성장을 보장하는 데 중요합니다.
그림 1 : 네트워크 보안은 긍정적인 고객 경험과 수익성 있는 성장을 보장하는 데 중요합니다.

네트워크 자체를 보호함으로써 통신사는 네트워크가 가입자에게 제공하는 경험 품질(QoE)을 개선하고, 네트워크가 지원하는 기존 서비스와 새로운 서비스를 모두 보호할 수 있습니다. 이를 통해 통신사는 가입자 이탈과 사용자당 평균 수익(ARPU) 감소로부터 보호받을 수 있습니다. 이처럼 네트워크의 보안을 강화함으로써 통신사는 전반적인 수익을 늘리고 총 소유 비용(TCO)을 줄일 수 있습니다.

LTE 네트워크는 어떤 위험에 직면합니까?

이동통신 사업자는 다양한 위협 벡터가 존재하기 때문에 고유한 위험에 직면합니다. 위협은 장치, 네트워크, 애플리케이션 계층에서 존재하며, 각 계층을 고려하고 보안을 강화하여 네트워크와 가입자를 공격으로부터 보호해야 합니다.

모바일 네트워크는 다양한 위치에서 다양한 출처로부터 공격을 받을 수 있습니다.
그림 2: 모바일 네트워크는 다양한 위치에서 다양한 출처로부터 공격을 받을 수 있습니다.

가입자의 기기를 감염시키는 맬웨어나 봇으로 인해 발생할 수 있는 기기 수준 공격은 잘못된 트래픽이나 공격 트래픽을 생성하고, 네트워크에 신호 폭풍을 일으키고, 기기 배터리를 소모시킬 수 있습니다. 네트워크 자체는 RAN(무선 접속 네트워크) 및 핵심 네트워크 리소스 고갈, 약관(T&C) 위반, DNS, 청구 및 신호 인프라에 대한 공격의 영향을 받을 수 있습니다. 또한, 애플리케이션 계층을 표적으로 삼는 공격에는 서버 측 맬웨어, 애플리케이션 수준(프로토콜별) DDoS 공격 또는 7계층, 웹 애플리케이션 수준 위협이 포함될 수 있습니다.

이러한 모든 위험 요소는 운영자가 안정적이고 안전한 네트워크 운영을 보장하고, 인프라를 보호하고, 고객을 보호하고 만족시키기 위해 고려해야 합니다. 보다 구체적으로, 통신사는 모바일 네트워크의 각 측면을 보호하기 위해 여러 도메인에 대한 통제 및 보안 정책을 구축해야 합니다.

LTE 네트워크에는 여러 공격 영역이 있습니다.
그림 3: LTE 네트워크에는 여러 공격 영역이 있습니다.

네트워크를 완벽하게 보호하려면 진정한 다중 계층, 다중 도메인 보안 정책이 필요합니다. 모바일 기기, 무선 인터페이스, 액세스 네트워크, 코어 네트워크의 보안은 물론 애플리케이션, 운영 지원 시스템(OSS), 비즈니스 지원 시스템(BSS)의 보안도 모두 보호되어야 합니다. 이러한 모든 계층이 안전해질 때까지 운영자는 다양하고 진화하는 위협 벡터를 통한 공격 위험에 직면하게 됩니다.

공격 시나리오 및 관련 영향

LTE 네트워크와 가입자에게 해를 끼칠 수 있는 잠재적인 공격은 많으며, 이를 모두 차단하기 위해 종합적인 보안 아키텍처를 설계하고 구현하는 것이 중요합니다. DDoS 공격을 비롯한 다양한 공격 유형으로 인한 피해는 광범위하고 즉시 나타나지만, 일부 공격 유형은 지역적인 서비스 저하만 초래하여 문제 해결이 훨씬 어렵습니다.

후자의 공격 유형에 대한 예로는 국지적 중단으로 이어지는 RAN 연결 고갈과, 장치 반품으로 이어질 수 있는 소비자 장치 배터리 소모 문제 등이 있습니다. 마찬가지로, 청구 인프라에 대한 공격은 고객 불만과 서비스 호출을 초래할 것입니다.

모든 유형의 공격은 성공하면 고객 만족도가 떨어지고 운영자 비용이 증가하므로 위험을 이해하고 종단 간 완화 전략을 개발하는 것이 중요합니다.

시나리오 1: 인터넷 측에서의 공격

네트워크 운영자가 업스트림 인터넷 연결에서 들어오는 보안에 충분한 주의를 기울이지 않을 경우 공격자는 네트워크 가입자를 대상으로 플러딩이나 DoS/DDoS 공격을 감행할 수 있습니다. 아래 다이어그램은 모바일 가입자가 상류에서 공격을 받는 공격 시나리오를 보여줍니다.

모바일 네트워크의 인터넷 측에서 장치가 공격을 받을 수 있습니다.
그림 4: 모바일 네트워크의 인터넷 측에서 장치가 공격을 받을 수 있습니다.

이러한 공격으로 인해 발생할 수 있는 잠재적 피해는 다음과 같습니다.

  • 모바일 기기 배터리가 소모됩니다.
  • 데이터 사용량과 그에 따른 청구 불만.
  • RAN 연결 소진.
시나리오 2: 모바일 측에서의 공격

공격자는 단일 운영자 네트워크의 모바일 측에서 다른 모바일 기기 사용자를 표적으로 삼을 수도 있습니다. 이 시나리오에서는 한 명 이상의 모바일 공격자가 운영자의 액세스 및 핵심 네트워크 인프라 전반에 걸쳐 DoS, 플러딩 또는 DDoS 공격을 통해 네트워크 가입자를 표적으로 삼을 수 있습니다.

장치는 네트워크의 모바일 측에서도 공격을 받을 수 있습니다.
그림 5: 장치는 네트워크의 모바일 측에서도 공격을 받을 수 있습니다.

인터넷 측 공격과 마찬가지로 이 공격도 다음을 포함한 여러 문제를 일으킬 가능성이 있습니다.

  • 모바일 기기 배터리가 소모됩니다.
  • 데이터 사용량으로 인해 청구서에 대한 불만이 접수되었습니다.
  • RAN 연결 소진.
시나리오 3: 모바일 측의 DNS/Signaling 공격

모바일 측의 공격은 장치를 표적으로 삼는 것이 아니라 DNS, 요금 청구 시스템을 포함한 운영자의 신호 인프라를 표적으로 삼을 수 있습니다.

집중적인 DNS 및 신호 공격은 모바일 기기에서 시작될 수 있습니다.
그림 6: 집중적인 DNS 및 신호 공격은 모바일 기기에서 시작될 수 있습니다.

이런 성격의 공격에는 다음과 같은 위험이 있습니다.

  1. 통화 시간/RAN 자원 고갈.
  2. 가입자 데이터량 사용 및 청구에 대한 불만 사항.
  3. DNS 인프라 과부하 및 붕괴.
  4. 구독자 데이터 기록 오류.

보시다시피 LTE 네트워크 운영자가 직면할 수 있는 모든 잠재적 보안 위험을 이해하고 해결하는 것은 실제로 복잡한 작업이 될 수 있습니다. 다행히도 F5는 이러한 위험을 완화할 수 있는 맞춤형 통신사 등급 솔루션을 제공할 수 있습니다.

F5로 어디에서나 LTE 네트워크를 보호하세요

세계 최대 규모의 통신 서비스 제공업체는 F5를 신뢰하여 네트워크를 보안하고 단순화하며, 서비스 품질을 개선하고, 수익성을 높이는 데 도움을 받고 있습니다. 오늘날 F5는 통합 플랫폼에서 보안을 포함한 다양한 서비스를 제공하는 광범위한 통신사 등급 솔루션 포트폴리오를 통해 서비스 제공업체가 데이터 폭발을 관리하고 IPv6로 원활하게 마이그레이션할 수 있도록 지원하는 독보적인 위치에 있습니다. F5 플랫폼을 사용하면 서비스 제공자는 제품 출시 시간을 단축하고, 자본 및 운영 비용을 절감하고, 서비스 제공 성능과 보안을 개선하고, 네트워크 서비스를 통해 수익을 창출할 수 있습니다.

F5의 서비스 공급자 솔루션 세트는 보안, 네트워크 기능 가상화(NFV), 데이터 트래픽 관리, Diameter 및 DNS 신호를 위한 솔루션으로 구성됩니다. 모든 F5 솔루션은 특수 목적으로 제작된 고성능 물리적 하드웨어 플랫폼이나 다양한 가상 또는 클라우드 플랫폼에서 사용할 수 있습니다. 또한 이러한 솔루션에 대한 관리 및 오케스트레이션은 F5® BIG-IQ® 관리 플랫폼과 각 제품의 API를 통해 사용할 수 있습니다.

네트워크가 계속해서 성장하고 엄청나게 확장됨에 따라, 해당 네트워크에서 실행되는 트래픽의 특성도 진화했습니다. 이에 따라 TCP 연결 수도 늘어나고 더 짧고 빈번한 연결이 지배적이게 되었습니다. 애플리케이션 트래픽의 이러한 진화는 서비스 공급자 네트워크에 이제 매우 높은 TCP 연결 확장을 지원하는 인프라 솔루션이 필요하다는 것을 의미합니다. 레거시 보안 솔루션은 확장할 수 없고 현대적이고 고성능 네트워크와 애플리케이션에 필요한 성능을 제공하지 못합니다. 오늘날의 환경에서 보안, 성능, 안정성을 제공하기에 충분하지 않습니다.

OTT(Over-The-Top) 또는 도매 네트워크 서비스를 만드는 데 사용되는 가상 또는 오버레이 네트워크와 가상화된 네트워크 서비스는 확장성 요구 사항이 증가하고 엄격한 지연 요구 사항이 있는 새로운 서비스와 애플리케이션이 이러한 네트워크에서 실행됨에 따라 또 다른 수준의 복잡성을 생성합니다.

이러한 모든 변화는 대규모와 고성능을 제공할 수 있는 보안 및 트래픽 관리 솔루션에 대한 중요한 요구 사항을 촉진합니다. 두 가지 모두를 수행하는 F5 솔루션은 이러한 새로운 서비스 및 운영 환경에 완벽하게 적합합니다.

LTE 보안을 위한 F5 솔루션

F5의 통신사급 서비스 제공업체 솔루션을 사용하면 통신사가 잠재적인 공격자로부터 LTE 인프라, 가입자 장치 및 OSS 애플리케이션을 보호할 수 있습니다. 구체적으로, F5 BIG-IP® Local Traffic Manager™(LTM) 및 BIG-IP® DNS와 같은 로컬 및 글로벌 트래픽 관리 솔루션과 BIG-IP® Advanced Firewall Manager™(AFM) 및 BIG-IP® Application Security Manager™(ASM)와 같은 4계층 및 7계층을 위한 F5 방화벽 솔루션을 통신사 데이터 센터 내부에 배포하면 모바일 고객을 인터넷 공격으로부터 보호하는 동시에 데이터 센터를 모바일 측의 공격으로부터 보호할 수 있습니다.

데이터 센터 내부에서 F5의 레이어 4 방화벽은 운영자의 핵심 인프라에서 보안 기능을 오프로드하여 보안을 강화하고 비용을 절감할 수 있습니다. 또한 BIG-IP® Carrier-Grad NAT(CGNAT)는 수백만 명의 사용자를 지원하는 데 필요한 통신사 등급 NAT 확장성과 성능을 제공합니다. BIG-IP® 정책 적용 관리자(PEM)는 사용자 트래픽 페이로드 가시성 및 시행을 제공하여 서비스 트래픽을 보호하고 수익화할 수도 있습니다.

BIG-IP 물리적 및 가상 플랫폼은 또한 고성능 및 확장성이 뛰어난 SSL 암호화 및 복호화 엔드포인트를 제공하여 운영자 코어와의 안전한 연결을 활성화하고 시행하여 액세스 네트워크 인프라를 보호합니다. 피어링 연결 지점에서 BIG-IP AFM 및 BIG-IP ASM의 보안 플랫폼을 사용하면 로밍 네트워크 파트너의 공격으로부터 네트워크 인프라와 모바일 고객을 모두 보호할 수 있습니다.

마지막으로 가입자 데이터베이스, DNS, 운영자 네트워크 내의 기타 신호 및 요금 시스템을 포함한 OSS 및 BSS 시스템은 BIG-IP AFM, BIG-IP DNS 및 F5 Traffix® Signaling Delivery Controller™(SDC)를 통해 사기성 직원의 공격이나 인터넷 및 모바일 위협으로부터 보호할 수 있습니다. F5는 또한 노스바운드 API와 BIG-IQ 관리 플랫폼을 포함하여 SDN 및 NFV와 같은 차세대 아키텍처를 위한 전체 관리 및 오케스트레이션 옵션을 제공합니다.

F5 통신사 등급 솔루션 제품군은 핵심 네트워크부터 사용자 기기까지 포괄적인 보안을 보장할 수 있습니다.
그림 7: F5 통신사 등급 솔루션 제품군은 핵심 네트워크부터 사용자 기기까지 포괄적인 보안을 보장할 수 있습니다.

간단히 말해, F5는 다음을 보호할 수 있는 포괄적인 서비스 공급자 보안 솔루션을 제공합니다.

  1. 가입자 모바일 기기.
  2. S/Gi 네트워크 자체의 데이터 계층과 데이터 센터 및 피어링 연결입니다.
  3. 무선 및 유선 연결을 위한 액세스 네트워크입니다.
  4. Traffix SDC와 BIG-IP DNS 서비스를 갖춘 신호 계층입니다.
  5. 데이터 센터 내 가상화된 네트워크 기능(VNF)을 위한 애플리케이션입니다.

위에서 언급한 모든 서비스는 네트워크 전반에서 종단 간으로 일치될 수 있으며 일관된 정책 세트로 시행될 수 있습니다. 마지막으로, DDoS 보호는 모든 BIG-IP 하드웨어나 가상 에디션 플랫폼의 모든 네트워크 계층에서 제공될 수 있습니다.

F5 보안 솔루션의 이점

F5의 서비스 공급자 보안 및 트래픽 관리 솔루션을 사용하면 네트워크 운영자는 다음을 수행할 수 있습니다.

  • 변화하는 환경에서 서비스 제공자의 보안을 유지하세요. F5는 서비스 제공업체에게 대규모 확장성, 프로그래밍 가능성, 확대 가능성을 갖춘 포괄적인 보안 솔루션을 제공합니다.
  • 단순화하세요. 위에서 언급한 모든 기능(Traffix SDC 제외)이 단일 BIG-IP 플랫폼에서 제공되므로, 사업자는 데이터 센터 인프라와 네트워크 운영을 축소하고 단순화하여 CapEx, OpEx, TCO를 절감할 수 있습니다.
  • 서비스 제공자의 브랜드를 보호하세요. F5 보안 솔루션은 가입자에게 사전 예방적 보안 태세와 최적의 경험을 제공하는 단일 서비스 제공 아키텍처에 적합합니다.
  • 차세대 공격으로부터 보안을 강화하세요. F5 보안 솔루션은 서비스 제공업체에 뛰어난 처리량, 연결 속도, 동시 세션을 구현하는 동시에 차세대 공격으로부터 보호하는 확장성이 뛰어난 플랫폼을 제공합니다.
  • 새로운 수익원으로의 안전한 확장. F5는 가장 까다로운 조건에서도 서비스 제공업체 네트워크와 애플리케이션 인프라의 가용성을 보호하고 보장하여 수익 성장을 촉진하는 새로운 네트워크 애플리케이션과 서비스를 안전하게 제공할 수 있도록 지원합니다.
결론

서비스 제공자의 주요 관심사는 여전히 모든 중요 네트워크 인프라를 공격으로부터 보호하는 것이지만, 사용자 장비 공격도 이제 확실히 우려의 범위에 들어갔습니다. 과거에는 일부 서비스 제공업체가 모바일 기기에 대한 공격을 자사의 책임 범위를 벗어난 것으로 분류했지만, 이제는 대부분의 서비스 제공업체가 이러한 공격의 잠재적 피해를 충분히 이해하고 있으며 이러한 사고가 발생하지 않도록 방지하기 위한 도구가 필요하다는 것을 알고 있습니다. 

모든 서비스 제공에 대한 종단 간 보안을 보장해야 하는 서비스 제공자의 과제를 더욱 복잡하게 만드는 것은 사용자 장비 공격과 네트워크 요소 공격 간의 경계가 계속 모호해지고 있다는 것입니다. 이로 인해 서비스 제공업체에서는 네트워크와 고객을 보호하는 동시에 새로운 정교한 위협이 등장함에 따라 이를 해결할 수 있는 도구와 기능을 제공하는 확장 가능하고 고급적이며 포괄적인 보안 프레임워크를 구현해야 할 필요성이 커지고 있습니다. 강력한 보안 태세를 구현하는 것은 그 어느 때보다 중요해졌으며, 모바일 서비스 제공업체는 F5만이 제공할 수 있는 광범위한 서비스 제공업체 보안 기능을 통해 변화하는 LTE 네트워크를 가장 안전하게 보호할 수 있습니다.

f5.com/solutions/service-provider 에서 F5 서비스 공급자 솔루션 세트에 대해 자세히 알아보세요.

2016년 1월 28일 게시
  • 페이스북에 공유하기
  • X에 공유
  • Linkedin에 공유하기
  • 이메일로 공유하기
  • AddThis를 통해 공유

F5에 연결

F5 Labs

최신 애플리케이션 위협 인텔리전스입니다.

DevCentral

토론 포럼과 전문가 기사를 제공하는 F5 커뮤니티입니다.

F5 뉴스룸

뉴스, F5 블로그 등.