Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

본 논문은 Open5GS, UERANSIM, Kubernetes 기반의 테스트베드를 통해 5G SA 네트워크의 논리적 취약점이 UAV 통신에 미치는 영향을 분석하고, 다양한 공격 시나리오를 통해 UAV 운영 중단 및 명령 조작 위험을 규명하여 사용자면 격리 및 명령 무결성 보호의 필요성을 강조합니다.

핵심

🚁 핵심 내용: 드론의 5G 통신은 '열린 창문'처럼 취약할 수 있다

드론은 지상 통제소 (비행사) 와 끊임없이 대화하며 날아갑니다. 이 대화가 5G 네트워크를 통해 이루어지는데, 이 논문은 **"5G 네트워크의 설계상 구멍 (논리적 취약점) 을 통해 해커가 드론을 장악할 수 있다"**는 것을 실험으로 증명했습니다.

해커가 드론을 공격하는 **3 가지 다른 방법 (위협 모델)**을 실험실 (테스트베드) 에서 시뮬레이션했습니다.

1. 공격 시나리오 1: 같은 비행장에 섞여 있는 '가짜 조종사' (악성 사용자)

• 상황: 드론과 비행사가 같은 5G 네트워크 (같은 '슬라이스'라는 가상 비행 구역) 에 있습니다.
• 비유: 비행장과 드론이 같은 '공용 와이파이'를 쓰고 있다고 상상해 보세요. 해커도 그 와이파이를 켜고 드론 옆에 있는 가짜 드론을 켜고 있습니다.
• 공격 방법: 드론이 사용하는 통신 언어 (MAVLink) 는 기본적으로 비밀번호나 서명이 없습니다. 해커는 드론의 주소를 찾아 "내가 진짜 비행사야 (ID 255)"라고 속여 드론에게 "지금 바로 착륙해!"라는 명령을 쏟아부었습니다.
• 결과: 드론은 가짜 명령을 진짜로 믿고, 비행사의 진짜 명령을 무시한 채 강제로 착륙했습니다.
• 교훈: 드론과 비행사 간의 대화에 '신원 확인 (서명)'이 없으면, 같은 네트워크에 있는 누구든 드론을 조종할 수 있습니다.

2. 공격 시나리오 2: 통신 관제탑 내부의 '배신자' (내부자 위협)

• 상황: 해커가 드론이나 비행사가 아니라, 드론과 비행사를 연결해 주는 **5G 네트워크의 핵심 (코어)**에 접근했습니다.
• 비유: 드론과 비행사를 연결해 주는 '전화 교환국'이나 '관제탑' 내부에 해커가 잠입한 상황입니다. 이 해커는 외부에서 공격하는 게 아니라, 시스템 관리자 권한을 가진 내부자입니다.
• 공격 방법: 해커는 드론과 비행사를 연결해 주는 '터널 (GTP-U)'을 관리하는 명령을 조작했습니다. "이 연결 끊어!"라고 명령을 내리자, 드론과 비행사의 연결이 갑자기 끊어졌습니다.
• 결과: 연결이 끊기자 드론은 "아! 통신이 끊겼어!"라고 생각하며 자동으로 원래 집으로 돌아갔습니다 (비행 임무 실패).
• 교훈: 네트워크 내부의 연결 관리 명령에 암호화나 검증이 없으면, 내부자가 드론의 연결을 마음대로 끊을 수 있습니다.

3. 공격 시나리오 3: 드론이 지나가는 '다리가 해킹된 경우' (장악된 기지국)

• 상황: 드론이 신호를 보내는 기지국 (gNodeB) 이 해커에게 장악되었습니다.
• 비유: 드론이 비행하는 하늘의 '중계탑'이 해커에게 넘어간 상황입니다. 드론이 보내는 말과 비행사가 보내는 명령은 이 중계탑을 거쳐야 합니다.
• 공격 방법: 5G 는 무선 구간은 암호화하지만, 기지국과 핵심망 사이의 연결 (N3) 은 암호화하지 않는 경우가 많습니다. 해커는 장악된 기지국에서 드론이 보내는 '비행 경로 명령'을 가로채서 내용을 바꿨습니다. "A 지점으로 가라"를 "B 지점으로 가라"로 수정한 것입니다.
• 결과: 비행사는 "드론이 내 명령대로 A 로 간다"고 생각했지만, 드론은 실제로는 해커가 지정한 B 곳으로 날아갔습니다. 드론도, 비행사도 모르게 경로가 조작되었습니다.
• 교훈: 통신 경로 중간에 암호화 (무결성 보호) 가 없으면, 해커는 내용을 바꿔도 아무도 모릅니다.

---

💡 이 논문이 우리에게 알려주는 중요한 점

이 실험은 단순히 드론이 위험하다는 것을 보여주는 것을 넘어, 보안은 여러 층으로 이루어져야 함을 강조합니다.

1. 네트워크만 믿지 마세요: 5G 가 빠르고 좋다고 해서 모든 것이 안전한 것은 아닙니다. 같은 네트워크에 있는 사람끼리도 서로를 막아줄 장치가 필요합니다.
2. 내부도 위험합니다: 네트워크 핵심부 (관제탑) 가 해킹당하면 모든 연결이 끊길 수 있습니다. 내부 통신에도 암호화가 필요합니다.
3. 최후의 방어선은 '드론 자체'입니다: 통신 경로가 해킹당하더라도, 드론이 "이 명령은 진짜 비행사가 보낸 거야?"라고 확인하는 디지털 서명 (MAVLink Signing) 기능이 있다면, 해커의 조작을 막을 수 있습니다.

🏁 결론

이 논문은 **"드론을 안전하게 날리려면, 5G 네트워크의 구멍을 막는 것뿐만 아니라, 드론과 비행사 간의 대화 자체를 암호화하고 검증해야 한다"**는 결론을 내립니다.

마치 우편물을 보낼 때, 우체국 (네트워크) 이 안전하다고 해서 편지 내용 (명령) 을 아무나 읽거나 바꿔도 된다는 뜻이 아니라는 것과 같습니다. 편지 자체를 **봉인 (암호화/서명)**해야만 진짜 수신자만 내용을 볼 수 있고, 내용이 변조되지 않았음을 알 수 있습니다.

기술 요약

1. 문제 정의 (Problem)

무인 항공기 (UAV) 는 지상 관제소 (GCS) 와의 지속적인 통신을 통해 명령을 수행하고 원격 데이터를 전송합니다. 5G 스탠드얼론 (Standalone, SA) 네트워크는 UAV 통신에 저지연과 고대역폭을 제공하지만, 네트워크 아키텍처의 여러 구성 요소 (단말, 코어, 액세스 노드) 가 데이터 세션의 전송과 관리를 담당함에 따라 다양한 공격 표면을 노출합니다.

이 논문은 5G SA 네트워크의 논리적 취약점이 UAV 의 명령 및 제어 (C2) 통신에 어떤 영향을 미치는지 분석합니다. 특히, 5G 아키텍처의 특정 지점 (악성 단말, 코어 내부 공격자, 침해된 기지국) 에서 발생하는 공격이 UAV 의 기밀성, 무결성, 가용성을 어떻게 위협하는지에 초점을 맞춥니다.

2. 방법론 (Methodology)

연구진은 Open5GS, UERANSIM, Kubernetes 를 기반으로 한 제어된 실험 환경 (테스트베드) 을 구축하여 5G SA 네트워크를 재현하고 다양한 공격 시나리오를 평가했습니다.

• 테스트베드 구성:

  • 코어 네트워크: Open5GS (AMF, SMF, UPF 등) 를 컨테이너로 배포.
  • 액세스 계층: UERANSIM 을 사용하여 gNodeB 및 UE(단말) 시뮬레이션.
  • 플랫폼: Kind 기반의 Kubernetes 클러스터.
  • 구성 요소: UAV( MAVLink 시뮬레이터 실행), GCS(지상 관제소), ROGUE(악성 에이전트) 의 3 개 UE 장치.
  • 네트워크 설정: 단일 PLMN(MCC 999, MNC 70), 단일 슬라이스 (SST 1, SD 0x111111), 단일 DNN(인터넷) 을 공유하는 환경.

• 평가 접근법:

  • 3 가지 다른 위협 모델에 따라 공격을 수행하고, UAV 와 GCS 간의 통신에 미치는 영향을 관찰했습니다.
  • MAVLink 프로토콜의 취약점 (서명 부재) 과 5G 내부 인터페이스 (N4, N3) 의 보안 설정 부재를 활용했습니다.

3. 주요 위협 모델 및 공격 시나리오 (Key Threat Models & Attacks)

A. 위협 모델 1: 동일 네트워크 내 악성 UE (Rogue UE)

• 시나리오: UAV 와 동일한 슬라이스 및 DNN 에 연결된 악성 UE 가 UAV 를 타겟팅합니다.
• 공격 메커니즘:
  • 5G LAN 서비스 및 DNN 공유 특성상, 동일한 데이터 도메인에 있는 UE 들은 서로 접근 가능합니다.
  • 악성 UE 는 MAVLink 포트 (14550) 를 스캔하여 UAV 를 식별합니다.
  • C2 주입 (Injection): MAVLink 시스템 ID 를 255(기본 GCS ID) 로 설정하여 GCS 를 가장한 후, MAV_CMD_NAV_LAND 명령을 대량으로 전송 (Flood) 합니다.
  • MAVLink 가 기본적으로 서명 (Signing) 을 사용하지 않기 때문에 UAV 는 악성 명령을 정당한 명령으로 인식하고 착륙합니다.
• 결과: UAV 의 기밀성 (위치 정보 유출), 무결성 (명령 조작), 가용성 (임무 중단) 이 모두 침해됨.

B. 위협 모델 2: 코어 네트워크 내부자 위협 (Insider Threat)

• 시나리오: 5G 코어 네트워크 (특히 SMF 와 UPF 간의 N4 인터페이스) 에 접근 권한을 가진 공격자.
• 공격 메커니즘:
  • 3GPP 표준에 따라 N4 인터페이스 (PFCP 프로토콜) 가 암호화되지 않거나 신뢰할 수 있는 환경으로 간주되는 경우가 많습니다.
  • 공격자는 UPF 에 PFCP 연결을 설정한 후, 세션 삭제 요청 (Session Deletion Request) 을 대량으로 전송하여 PDU 세션과 GTP-U 터널을 강제로 종료합니다.
  • 이는 SEID(세션 식별자) 를 브루트포이스하여 유효한 세션을 찾아내는 방식입니다.
• 결과: UAV 와 GCS 간의 연결이 끊어지며, UAV 는 안전 모드 (Failsafe) 로 전환되어 귀환하거나 임무가 중단됩니다.

C. 위협 모델 3: 침해된 gNodeB (Compromised gNodeB)

• 시나리오: 합법적인 5G 네트워크에 통합되어 있지만 해커에 의해 제어되는 기지국 (gNB).
• 공격 메커니즘:
  • gNB 는 무선 링크 암호화 (PDCP) 를 종단하므로 사용자 평면 (User Plane) 패킷을 평문으로 복호화하여 처리할 수 있습니다.
  • N3 인터페이스 (gNB 와 UPF 간) 에서는 종종 무결성 보호 (IPsec 등) 가 적용되지 않습니다.
  • 공격자는 GTP-U 터널 내부의 MAVLink 패킷 (예: SET POSITION TARGET LOCAL NED) 을 가로채어 목표 좌표를 공격자가 지정한 위치로 변경한 후 재주입합니다.
• 결과: 조종사는 명령이 정상적으로 전송된 것으로 보지만, UAV 는 조작된 좌표로 비행하여 납치 (Hijacking) 됩니다. 이는 데이터 조작 (Data Manipulation) 공격입니다.

4. 주요 결과 (Results)

• 다양한 공격 지점의 위험성: 악성 단말, 코어 내부자, 침해된 기지국 등 아키텍처의 서로 다른 지점에서의 공격이 모두 UAV 작전을 중단시키거나 조작할 수 있음을 실험적으로 증명했습니다.
• 계층별 취약점:
  • 네트워크 계층: 동일 DNN/슬라이스 내의 장치 간 격리 부재, N4/N3 인터페이스의 암호화/무결성 보호 부재가 공격을 용이하게 함.
  • 애플리케이션 계층: MAVLink 와 같은 UAV 제어 프로토콜의 서명 (Signing) 부재가 악성 명령 수용을 초래함.
• 공격 성공 요인: 5G 네트워크의 논리적 구조와 UAV 애플리케이션의 보안 정책 부재가 결합될 때 치명적인 결과를 초래함.

5. 의의 및 결론 (Significance & Conclusion)

이 연구는 5G SA 네트워크가 UAV 통신에 제공되는 저지연/고성능의 이점과 함께, 논리적 취약점으로 인한 새로운 보안 위협을 동시에 노출하고 있음을 시사합니다.

• 다계층 보호의 필요성: UAV 통신 보안은 단일 계층에 의존할 수 없으며, 네트워크 아키텍처 전반에 걸친 다층적 보호가 필수적입니다.
• 구체적 권장 사항:
  1. 네트워크 격리: 5G 네트워크에서 동일 DNN 내 장치 간 격리 메커니즘을 강화해야 함.
  2. 인터페이스 보안: N4(코어 내부) 및 N3(액세스 - 코어 간) 인터페이스에 암호화 및 무결성 보호 (예: IPsec) 를 적용해야 함.
  3. 애플리케이션 보안: UAV 제어 프로토콜 (MAVLink 등) 에 반드시 서명 (Signing) 및 무결성 검증 기능을 도입하여, 네트워크 계층이 침해되더라도 명령의 진위를 확인할 수 있어야 함.

이 논문은 5G 기반 UAV 시스템의 안전한 도입을 위해 네트워크 운영자와 개발자가 반드시 고려해야 할 논리적 보안 위협과 대응 방안을 제시했다는 점에서 중요한 의의를 가집니다.