5G 하위 계층 공격: SIB1 위조와 타이밍 어드밴스 조작으로 드러난 취약점

초록

**
본 논문은 5G NR의 물리·MAC 계층에 존재하는 무보호 제어 필드를 악용한 두 가지 실험적 공격을 제시한다. 첫 번째는 SIB1 방송 정보를 위조해 UE가 시스템 정보를 반복적으로 재획득하도록 유도함으로써 배터리 소모를 가속화하는 공격이며, 두 번째는 랜덤 액세스 응답(RAR)에서 타이밍 어드밴스(TA) 값을 조작해 uplink 타이밍을 어긋나게 하여 라디오 링크 실패와 재연결 루프를 일으키는 서비스 거부 공격이다. 상용 스마트폰과 오픈소스 5G gNodeB를 이용한 실험 결과, 작은 TA 오프셋만으로도 안정적으로 서비스 중단을 초래함을 확인하였다.

**

상세 분석

**
5G NR은 초기 접속 단계와 시스템 정보 방송 단계에서 암호화·무결성 보호가 적용되지 않는다. 논문은 이 설계 선택이 공격 표면을 크게 확대한다는 점을 강조한다. 첫 번째 공격인 SIB1 스푸핑은 valueTag, Tracking Area Code, si‑windowLength 등 5비트24비트 크기의 필드를 변조한다. UE는 valueTag가 변하면 시스템 정보를 다시 다운로드하고, TAC가 변하면 트래킹 영역 업데이트 절차를 시작한다. 특히 valueTag 변조는 UE가 매 160 ms마다 SIB1을 모니터링하면서 불필요한 재획득을 반복하게 만들며, 이는 전력 소모를 눈에 띄게 증가시킨다. 두 번째 공격인 TA 조작은 랜덤 액세스 절차(RACH)에서 gNB가 전송하는 RAR에 포함된 12비트 TA 값을 임의로 삽입한다. TA는 UE가 uplink 전송 시점을 보정하는 핵심 파라미터이며, 보안 컨텍스트가 확립되기 전까지 무보호 상태이므로 공격자는 원하는 오프셋을 삽입할 수 있다. 삽입된 TA가 허용 오차를 초과하면 UE는 uplink 타이밍이 크게 어긋나고, 이는 PUSCH·PUCCH 전송 실패와 연쇄적인 Radio Link Failure(RLF)를 초래한다. RLF 발생 후 UE는 재접속을 시도하지만, 공격자가 지속적으로 변조된 TA를 제공하면 재연결 루프에 빠져 서비스가 실질적으로 차단된다. 실험에서는 TA 오프셋 510 µs 정도만으로도 대부분의 상용 스마트폰에서 RLF가 발생했으며, 공격 베이스스테이션이 존재하는 한 재연결 시도가 멈추지 않았다. 논문은 또한 TA 조작이 MAC‑계층의 스케줄링, HARQ 재전송 등 상위 프로토콜에 연쇄적인 영향을 미칠 수 있음을 시사한다.

**