GSM 도청 이제는 현실인가

이 논문은 GSM이 배포된 지 20년이 넘는 기간 동안 발견된 프로토콜 및 암호학적 취약점을 검토하고, 최근 오픈소스 장비와 소프트웨어가 이러한 취약점을 실제 공격에 활용할 수 있는지를 실험적으로 평가한다. 서론에서는 GSM의 전 세계 보급 현황과 기본적인 보안 결함(상호 인증 부재, 에어 인터페이스 암호화만 적용) 등을 소개하고, 법 집행기관 외의 공격 가능성을 제기한다. 실험에 사용된 장비는 USRP(Universal Software Radio Peripheral)와 800 MHz‑2.4 GHz 대역을 지원하는 DBSRX 보드, GNU Radio 및 AirProbe 소프트웨어, 그리고 디버그 모드가 가능한 Nokia 3210 휴대폰과 Gammu 툴이다. USRP는 신호 캡처 역할을 담당하지만, 자체 클럭 정확도가 GSM 기지국의 13 MHz 심볼 클럭에 비해 낮아 외부 클럭 보정이 필요하고, FPGA 내부에서 복잡한 채널 호핑 로직을 구현하기엔 성능이 부족하다. 반면 Nokia 3210은 실제 단말이므로 수신 감도가 뛰어나지만, 하나의 단말에 국한된 데이터만 볼 수 있어 전반적인 도청에는 한계가 있다. 이론적 도청 절차는 세 단계로 나뉜다. 첫 번째 단계인 신호 캡처는 GSM이 200 kHz 채널을 사용하고, 하나의 통화가 4개의 버스트(각 576.9 µs)로 구성된다는 점에서 고속 샘플링과 정확한 타이밍이 요구된다. 채널 호핑이 일반적이므로, 두 가지 접근법이 제안된다. ① USRP FPGA 내부에서 호핑 파라미터를 실시간으로 추출·계산해 주파수를 전환하는 방법은 현재 하드웨어와 암호 해독 속도 한계 때문에 실현이 어렵다. ② 모든 가능한 채널을 동시에 샘플링해 나중에 호핑 순서를 재구성하는 방법은 대역폭(최대 25 MHz)과 데이터 전송량(수백 MB/s) 때문에 일반 PC에서는 처리하기 힘들다. 두 번째 단계인 암호 해독에서는 A5/2, A5/3, A5/1 세 가지 알고리즘을 검토한다. A5/2는 이미 실시간 크래킹이 가능하고, A5/3은 이론적 공격이 발표됐지만 실용적인 구현은 부재하다. 현재 가장 실용적인 목표는 A5/1이며, 오픈소스 프로젝트 ‘Kraken’이 사전 계산된 레인보우 테이블을 이용해 시간‑메모리 트레이드오프 방식으로 빠른 복호화를 제공한다. 그러나 실제 네트워크에서 사용되는 COMP128 변형이나 최신 키 생성 방식이 비공개이므로, 완전한 복호화 성공률은 보장되지 않는다. 세 번째 단계는 복호화된 비트스트림을 GSM 프로토콜 스택에 맞게 재조립하고, 음성 코덱 데이터를 복원하는 과정이다. 이 단계는 프로토콜이 공개돼 구현이 비교적 쉬우며, AirProbe와 OpenBTS/OpenBSC 같은 오픈소스 프로젝트가 패킷 파싱, 채널 디코딩, 심지어 기지국 에뮬레이션까지 지원한다. 현재 AirProbe는 다운링크만 지원하고, 호핑을 완전히 처리하지 못한다는 점이 남아 있다. 논문은 이러한 기술적 한계에도 불구하고, 저비용 오픈소스 장비가 이론적으로 GSM 도청을 가능하게 만든다는 점을 강조한다. 동시에, 채널 호핑 처리, 정확한 클럭 동기화, 대용량 데이터 스트림 처리 등 실용적 병목이 존재함을 지적한다. 마지막으로, GSM 보안 강화 방안으로 A5/3 혹은 LTE와 같은 강력한 암호화 채택, 단말 인증 강화, 그리고 주파수 hopping 알고리즘의 무작위성 향상을 제시한다.