펨토셀 관련 스크랩

• 펨토셀이란:
  • 펨토셀은 건물 내 LTE 통신 음영지역을 없애거나 트래픽을 분산시키는 역할을 한다.
  • 가정이나 소규모 사무실을 위한 초소형·저전력의 이동통신 기지국이다. 데이터 트래픽 분산이나 음영지역 해소의 목적으로 사용된다. 서비스 가능 반경은 통상 수십미터 이내다.
• 펨토셀을 악용하는 법
  • 박 교수는 "가짜 기지국이 확보되면 공격자는 이용자와 중앙 시스템 사이 통신 전 과정을 지켜보고, 필요하다면 조작도 할 수 있다"며 "소액결제는 제한시간 내 본인확인 번호만 인증하면 되는 통신이다. ID·PW도 요구하지 않기 때문에 이같은 '중간자 공격'이 가능하다"고 부연했다.
  • 휴대전화는 가장 강한 신호를 보내는 기지국 장비에 자동으로 연결된다. 해커는 펨토셀의 발신신호를 증폭해 KT가 운영하는 기지국보다 더 강력한 신호를 내게 한 것 같음. 해커들은 자신들이 통제하는 기지국으로 단말기와 기지국을 오가는 신호를 가로채 악용한 것으로 추정된다.
  • 박 교수는 기술의 발전으로 가짜 기지국을 만드는 문턱도 낮아졌다고 전했다. 라디오나 작은 방송국을 구현하는 데 쓰이는 유니버설 소프트웨어 무선주변장치(USRP )가 저렴해지면서다. 전파와 디지털 신호를 양방향으로 교환해 주는 장비다.
• 이번 사례:
  • 일부 구간에서 암호화되지 않았던 것도 문제
  • 관리가 되고 있지 않은 펨토셀이라면 공격자가 뜯어본 뒤 내부 펌웨어나 장비 초기화를 시도할 수 있다"며 "여기서 중요 키값들을 얻으면 통신사 시스템을 속일 수 있는 가짜 기지국을 구현하는 게 가능하다"
  • 업계 관계자는 "통신 송수신의 무결성을 검증하기 위해 통상적으로 '해시값'이란 걸 시스템에서 확인한다"며 "회사의 해시값 확인 과정이 허술했을 수 있다. 혹은 해시값 유효시간이 길어 공격자에게 비교적 넉넉한 준비 시간을 허용한 것도 상상해 볼 수 있다"고 말했다.
  • 결제 인증 방식이 ARS에 집중된 점도 눈에 띈다.