진정한 5G 서비스 시대, 보안 방안은? AKMA 넷앱 인증·키관리 기술과 NESAS 보안 표준

2019년 4월 5G 통신 서비스가 상용화된 지 3년 반이 지났지만, 당초 기대했던 5G 전송 속도와 커버리지가 제공되지 못해 이용자들의 실망감이 크다. 현재 5G 서비스는 5G와 롱텀에볼루션(LTE) 망을 융합해 활용하는 비단독모드(NSA)가 주류다. 이로 인해 5G 서비스의 특징으로 제시됐던 초고속·초연결·초저지연 통신 서비스는 아직 요원하다. 이를 위해 필요하다고 제기된 28GHz 고주파수 대역 서비스나 5G 단독모드(SA) 서비스는 과연 언제쯤 제대로 구현될지 알 수 없는 상황이다.

그럼에도 불구하고 5G 기술은 계속해서 진화하고(Advanced) 있고, 6G 기술 개발 움직임도 활발해지고 있다.

더욱이 해외는 물론 국내에서 ‘이음 5G’라고 이름 붙인 프라이빗 5G, 일명 5G 특화망 서비스가 본격화되면서 한정된 영역이긴 하지만 이제 SA 기반의 진정한 5G 서비스 시대가 열릴 것이란 게 전문가들의 시각이다.

이같은 시점에서 5G 어드밴스드 기술 현황과 미래 6G 기술 비전, 5G와 이후 세대 통신망에서 필요한 보안 표준 기술을 논의해보기 위한 ‘제1회 5G-어드밴스드(Advanced) 보안 비전 세미나’가 한국정보보호학회(학회장 이옥연 국민대 교수) 산하 5G보안연구회(위원장 유일선 교수)와 EY컨설팅 주최로 열렸다.

5G NSA에서 SA로…5G 어드밴스드 시대 도래

지난 21일 열린 그랜드하얏트 서울 호텔에서 온·오프라인 혼합방식으로 개최된 이번 세미나에서는 세계 이동통신표준화협력기구(3GPP) 보안 워킹그룹 SA3의 수레시 나이르(Suresh P. Nair) 의장이 사전 녹화 방식이긴 했지만 ‘5G 어드밴스드 및 6G를 위한 새로운 보안 표준’을 주제로 기조강연을 진행했다. 나이르 의장이 국내에서 현재 3GPP SA3에서 진행되는 보안 표준과 미래 방향성에 대해 국내 세미나에서 발표한 것은 이번이 처음이다.

5G보안연구회 위원장을 맡고 있는 유일선 국민대학교 정보보안암호수학과 교수는 “5G 특화망이 본격적이 도입되고 시작되면서 5G NSA에서 SA 패러다임으로 본격적으로 바뀌면서 5G 어드밴스드 시대가 도래했다고 본다”며 “이 시대에 보안을 더욱 깊이있게 연구하고 다양한 보안 솔루션 미리 준비해야 할 필요성에 공감해서 이번 세미나를 개최했다. 3GPP SA3 워킹그룹의 수레시 나이르 의장의 발표가 국내에서 처음 진행되는 자리이기 때문에 더욱 뜻깊다”고 강조했다.

그는 지금까지 진행돼온 5G 표준화 동향과 더불어 6G 시대 보안 이슈를 제시했다. 나이르 의장은 “릴리즈15 표준이 5G 보안의 근간”이라면서 통합 인증 프레임워크를 비롯해 인증·프라이버시·네트워크 슬라이스 보안 등 다양한 보안 기술이 포함됐고, 릴리즈 15~18까지 이어지고 있다고 소개했다. 또한 5G와 6G 시대에서 플랫폼과 디바이스의 확장, 액세스와 코어 네트워크 진화와 인공지능(AI) 서비스 등으로 인해 보안위협은 더 커질 것으로 전망하면서 공통의 보안 규제와 강력한 보안 네트워크 구축을 위한 협력 필요성을 강조했다.

5G 보안 강화됐지만 여전히 부족…5G SA 보안 고려사항은

한국인터넷진흥원(KISA) 인프라보안기술팀 김도원 팀장은 ‘강력해진 5G 단독모드(SA) 보안, 그래도 부족한 무언가’를 주제로 발표를 진행했다. 김 팀장은 “5G가 4G와 이전세대에 비해서는 프로토콜상 보안이 강력해졌음에도 불구하고 보안 홀은 발생할 수밖에 없다. 보안은 프로토콜로만 다 해결될 수 있는 것도 아니다”라면서 “5G에서는 소프트웨어정의네트워킹(SDN), 네트워크기능가상화(NFV)가 많이 사용되고 있고 SA로 넘어가는 시점에서 소프트웨어가 제일 관건이다. 개발 보안 평가가 체계적으로 이뤄지고 검증가능한 개발프로세스를 어떻게 잘 가져가는 지가 중요하다”고 말하고, ‘데브섹옵스(DevSecOps)’의 중요성을 강조했다.

김 팀장은 5G SA 보안 고려사항으로 ▲제품 개발 단계별 보안 평가와 테스트 등 체계적이고 검증 가능한 개발 프로세스, 버전 관리와 지속적인 보안 업데이트 외에도 ▲공급망 이슈에 대응하기 위해 사용자가 공급업체의 위험평가와 테스트 등 보안 검증과 대응지침 마련 ▲아이덴티티, 크리덴셜, 액세스관리(ICAM) 요소와 세그멘테이션, 침입탐지·모니터링·암호화 강화 등 네트워크 보안 고려 ▲사이버공격과 자연재해로 인한 서비스 중단을 최소화하고 연속성 보장을 위한 중복 운영(Redundancy), 원격 이중화 등으로 복원력 확보 ▲가상화·클라우드·컨네이너 보안 고려한 도입 설정과 TLS((Transport Layer Security) 기반 인증서 관리 ▲데이터 암호화와 무결성 보호, 전자서명, 백업·복구, 접근관리 등 운영 및 모니터링 강화, 인공지능(AI) 운영 대상 공격 대응 등이 필요하다고 강조했다.

5G 특화망 애플리케이션 인증과 키관리 표준화 진행 중인 AKMA

이날 세미나에서는 5G 통신서비스에 필요한 융합형 애플리케이션 인증과 키 관리 프레임워크인 AKMA(Authentication and Key Management for Applications)와 5G 통신 공급망 보안을 NESAS가 다뤄졌다.

5G 기술의 특징은 네트워크기능가상화(NFV)와 소프트웨어정의네트워킹(SDN) 기술을 활용하는 가상 네트워크 기술을 활용한다는 것으로, 이같은 환경에서 다양한 서비스를 제공하기 위해서는 물리적인 거대한 네트워크를 다수의 가상 네트워크 쪼개는 네트워크 슬라이싱이 필수다.

먼저 유 교수는 이같은 특징으로 인해 “5G를 최초의 애플리케이션 융합 네트워크라고 말한다. 네트워크 슬라이스 기반의 가상 네트워크 시대가 오면서 5G 이동통신망이 제공하는 초저지연, 초고속 특성을 최대한 활용한 세상에 없던 혁신적인 애플리케이션이 나오는데, 이를 텔코 융합형 차세대 애플리케이션이라고 불렀다. 유럽에 있는 분들은 이를 ‘넷앱(NetApp)’이라고 이름 붙였다”며 “또 다른 5G의 특징은 서비스 기반 아키텍처(SBA)를 적용하는 것과 사용자와 가까운 곳에 위치한 엣지에서 애플리케이션 서비스를 제공하는 멀티액세스컴퓨팅(MEC)을 구현한다는 것으로, 이런 기술이 합쳐져 5G의 장점을 살린 혁신형 애플리케이션, 넷앱이 나올 것”이라고 전망했다.

이어 유 교수는 “조직이 5G 특화망을 도입할 경우 이같은 ‘넷앱’과 비슷한 애플리케이션을 구현하게 되는데, 그 때 애플리케이션 인증을 고려할지 않을 수 없다”라면서 “수많은 애플리케이션 인증을 통합적이고 효과적으로 수행하고 관리하기 위한 방법이 필요하다. 5G 이전에는 GBA(Generic Bootstapping Achitecture) 등의 솔루션이 있었고, 이제 5G에서는 AKMA 표준이 진행 중”이라고 설명했다.

유 교수에 따르면, AKMA는 애플리케이션을 위한 인증과 키(Key) 관리를 위한 것으로, 3GPP에서는 5G에 접속하기 위해 단말이 자격증명(Credential)을 기반으로 인증을 수행할 때 결과값으로 생성되는 마스터 세션 키를 통해 각 구간을 다 보호할 수 있는 서브 세션들이 생성된다. 이 마스터 세션 키를 애플리케이션 인증에 재활용하는 것이다. 유 교수는 이를 쉽게 ‘텔코 싱글사인온(SSO)’이라고 표현했다.

그는 “AKMA는 3GPP의 5G 자격증명 기반의 인증 및 키 교환 표준 후보이다”라면서 “지금 3GPP TS 33.535의 문서를 기반으로 표준화가 진행되고 있다. 최신 버전은 17.7.0이고 2022년 9월까지 나왔다”고 진행사항을 소개했다.

5G 통신 장비 글로벌 보안 표준으로 떠오른 ‘NESAS’ 인증

EY컨설팅 김상우 파트너는 5G 디지털 공급망 보안 방안으로 ‘NESAS’를 소개했다. 그는 “오늘 발표에서도 일맥상통하는 이야기는 (보안과 관련해) 나중에 닥쳐서 하려고 하지 말고 처음부터 신경쓰고 해야 한다는 것이다. 특히 5G 공급망에 있어서는 장비를 만들 때부터 적용해야 한다는 것인데, 그 방법으로 NESAS를 이야기할 수 있다”고 말했다 .

네트워크장비보안보증체계(NESAS, Network Equipment Security Assurance Scheme)는 세계이동통신사업자협회(GSMA), 국제이동통신표준화협력기구(3GPP) 공동 제정한 네트워크 장비 보안보증 체계 인증이다. 최근 이동통신 산업의 새로운 보안표준으로 떠오르고 있다.

김 파트너는 “GSMA가 1단계 제품 개발 및 제품의 수명주기 프로세스를 감사하고, 그 다음에 3GPP가 장비 자체를 테스트하는 체계로, 테스트 기간은 3개월씩 6개월 정도 걸린다. 공통평가기준(CC) 인증과 비교해볼 때, CC는 범용적이고 평가기간도 12개월이 소요돼 시간과 노력이 너무 많이 들어간다는 의견도 있었다. 5G 보안과 관련해 더 똘똘한 방법으로 NESAS를 검토하기 시작했다”라면서 “출발점은 네트워크 장비에 대한 보안 보증을 한다는 것이다. 네트워크 공급업체들이 서로 인증 받으라고 권장하고 있다. 3GPP와 GSMA가 함께 만들었다는 점이 장점이 될 수 있다”고 했다.

NESAS는 화웨이가 가장 먼저 인증을 획득했다. 에릭슨, 삼성전자, 노키아 등도 인증을 받았거나 추진하고 있다. 독일, 유럽연합(EU), 중국, 태국, 말레이시아, 싱가포르, 인도네시아 등 유럽과 아시아 지역에서 5G 통신장비 공급업체가 NESAS 표준 준수를 요구하도록 국가 차원에서 채택하는 움직임이 확산되고 있다는 게 김 파트너의 설명이다.

그는 “5G와 6G 생태에는 네트워크 운영자, 네트워크 장비 공급자, 정부규제기관으로 구성된다. 통신사업자들이 연속성 있는 보안 운영을 위해 NESAS 체계를 받아들여 공급업체와 협력사를 모니터링한다면 자체 공급망 보안 수준을 높여갈 수 있을 것이다. 장비 공급업체들도 앞장서 NESAS를 획득해 공급망 보안을 위해 노력하고 있고 함께 이러한 모델을 확산해보자고 할 수 있다. 정부와 규제기관의 책임도 있다. 이같은 공동의 책임모델이 필요하다”고 강조했다.

한국화웨이의 최고보안책임자(CSO)인 이준호 전무는 NESAS에 대해 “공통평가기준(CC)에 비해 이동통신 장비와 모바일 산업에 최적화된 인증으로, 비교적 프로세스가 간단해 시간이 적게 소요되고 비용효율적으로 빠르게 획득할 수 있다”며 “유럽연합(EU)에서는 NESAS를 5G 장비의 보안위험을 감소시키기 위한 보안 표준으로 삼으려는 움직임이 있다”고 말했다.

이밖에도 이날 세미나에서는 상명대 김환국 교수가 3GPP에서 2025년 본격적으로 기술 스펙 논의가 시작되기 전에 6G 기술에 보안 내재화를 위한 네트워크데이터분석기능(NWDAF) 기반 6G 네이티브 시큐리티 펑션(Function) 설계 방향에 대해 발표했다.

국내 이동통신 장비 업체인 이루온의 최양수 상무가 자체 개발한 5G 특화망(이음 5G) 코어 솔루션과 5G 특화망을 위한 핵심 기능을 소개하기도 했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network