Related Resources
Networking

5G 네트워크 보안의 새로운 지평

2023년 6월 21일
By , and
Discuss (0)
Reading Time: 5 minutes

무선 기술은 빠르게 발전했으며 5G 배포는 전 세계적으로 상당히 진전했습니다. 최근까지 무선 RAN은 기존 RAN 벤더의 폐쇄형 어플라이언스 솔루션을 사용하여 배포되었습니다. 이러한 폐쇄형 접근 방식은 확장이 불가능하고, 인프라를 충분히 사용하지 않으며, 최적의 RAN TCO를 제공하지 못하는 등 단점이 많습니다.

NVIDIA는 이러한 폐쇄형 솔루션이 5G 시대에 확장할 수 없고 효과적이지 않다는 것을 깨달았습니다.

그 결과, 통신 업계가 개방형 표준 인터페이스를 갖춘 COTS(commercial-off-the-shelf) 하드웨어 플랫폼에서 가상화 및 클라우드 기반 RAN 솔루션을 홍보하고 구축하기 위해 협력했습니다. 이를 통해 가상화 및 클라우드 기반 기술의 장점을 활용하여 범용 서버 플랫폼에서 더 큰 에코시스템과 유연한 솔루션을 구현할 수 있게 되었습니다.

이러한 접근 방식에는 더 낮은 비용, 더 큰 에코시스템 및 벤더 선택권, 더 빠른 혁신 주기, 자동화 및 확장성 등 많은 긍정적인 효과가 있습니다. 그러나 우려되는 영역 중 하나는 개방형 RAN 아키텍처가 공격 표면을 더 크게 만들고 새로운 보안 위험을 유발할 수 있다는 것입니다.

가속 컴퓨팅 플랫폼의 기술 리더인 NVIDIA는 vRAN 플랫폼을 위한 강력한 보안 기능 세트를 정의하고 제공하기 위해 표준 커뮤니티(3GPP 및 O-RAN 제휴), 파트너, 고객과 긴밀히 협력하고 있습니다.

NVIDIA의 비전은 미래의 애플리케이션을 지원하기 위해 클라우드, AI, 5G가 융합되는 지점에서 더 빠른 혁신을 주도하는 것입니다. NVIDIA는 이러한 혁신의 기반이 되는 플랫폼이 본질적으로 최고의 보안 원칙을 염두에 두고 구축되도록 할 것입니다.

개방형 RAN 아키텍처의 보안 문제 해결

하드웨어와 소프트웨어의 분리와 함께 개방형 RAN 아키텍처에 새로운 표준 인터페이스가 도입되면서 RAN 시스템의 위협 표면이 확장되었습니다. 몇 가지 예는 다음과 같습니다.

  • OFH(Open Fronthaul), A1, E2와 같은 분할 RAN을 위한 새로운 개방형 인터페이스
  • 실시간에 가까운 RIC 및 벤더가 제공하는 RAN 시스템을 활용할 수 있는 xApp
  • 하드웨어와 소프트웨어의 분리로 인해 신뢰 사슬에 대한 위협 증가
  • OFH M-평면, O1, O2와 같은 관리 인터페이스로 인한 새로운 취약점 유발 가능

OFH 인터페이스에서 가속화된 암호화 작업과 같은 보안 기능을 구현할 때는 RAN의 엄격한 레이턴시 요구 사항을 고려해야 합니다. 오픈 소스 소프트웨어에 대한 의존도가 높아짐에 따라 오픈 소스 커뮤니티 내에서 개방형 RAN의 안전한 개발 관행에 대한 의존도가 증가하기도 했습니다. 마지막으로, IoT 디바이스의 수가 급격히 증가함에 따라, 배포된 모든 RAN은 더 높아진 손상된 디바이스에 의한 공격 가능성으로부터 스스로를 보호해야 합니다.

CSRIC 위원회

미국 통신 시스템의 보안, 안정성, 복원력을 증진하기 위해 미국연방통신위원회(FCC)는 통신 보안, 안정성 및 상호 운용성(CSRIC) 위원회 VIII를 설립했습니다.

위원회는 안전한 개방형 RAN 기술 개발의 과제에 대한 상세한 보고서와 업계가 이 과제를 극복하는 데 도움이 될 일련의 권장 사항을 발표했습니다. 또한 이 보고서는 개방형 RAN 업계가 O-RAN 제휴 실무 그룹 11에서 표준화한 보안 요구 사항을 채택할 것을 권장합니다. 다음 섹션에서는 이러한 권장 사항 및 요구 사항에 대해 설명합니다.

CSRIC 위원회 아키텍처 권장 사항

FCC CSRIC VIII의 보고서에서 비롯된 개방형 RAN 업계에 대한 주요 보안 중심 아키텍처 권장 사항은 다음과 같습니다.

  • 프로덕션 소프트웨어의 디지털 서명은 네트워크 기능 및 애플리케이션을 포함하여 개방형 RAN 워크로드에 적용되어야 합니다.
  • 이더넷 기반 프론트홀 네트워크는 프론트홀 트래픽을 다른 트래픽 흐름에서 격리하도록 분할되어야 합니다.
  • FH 네트워크에 연결된 네트워크 요소의 인증을 활성화하려면 포트 기반 인증을 사용해야 합니다.
  • 미국 프로덕션 네트워크에서 이더넷 기반 프론트홀을 사용하여 무선 장치(RU)를 배포할 때는 상호 인증을 제공하는 안전한 프로토콜을 사용해야 합니다.
  • 하이브리드 모드로 배포된 FH 네트워크에 연결되는 모든 네트워크 요소에 대해 IEEE 802.1X 포트 기반 네트워크 액세스 제어를 구현해야 합니다.
  • 개방형 RAN 구현은 제로 트러스트 아키텍처(ZTA) 원칙을 기반으로 해야 합니다.
  • 개방형 RAN 소프트웨어는 안전한 서버 하드웨어에 배포되어야 합니다. 개방형 RAN 소프트웨어에서 사용하는 자격 증명과 키는 암호화되어 안전하게 저장되어야 합니다.
  • 개방형 RAN 아키텍처는 적대적 머신 러닝(AML) 공격을 방지하기 위한 방어를 구현합니다. 업계는 O-RAN 제휴 내에서 협력하여 AML 공격을 완화하는 보안 사양을 추진해야 합니다.
  • MNO는 하드웨어 RoT(Root of Trust) 기반의 보안 부팅을 사용해야 하며, 자격 증명은 안전하게 저장되어야 하고(예: 하드웨어 보안 모듈(HSM) 내에 저장), 소프트웨어 서명을 통해 엔드 투 엔드 신뢰 체인을 구축해야 합니다.

O-RAN WG11이 정의하는 강력한 보안 요구 사항

O-RAN 제휴 보안 실무 그룹(WG11)은 전체 O-RAN 아키텍처를 아우르는 보안 지침을 담당합니다. 보안 분석 및 사양은 다른 O-RAN 실무 그룹, 규제 기관, 표준 개발 조직과 긴밀히 협력하여 개발되고 있습니다. 이는 앞서 설명한 FCC CSRIC VIII에서 발표한 보안 권장 사항을 보완합니다.

O-RAN WG11 사양에 따른 개방형 RAN 시스템의 기본 보안 원칙(SP)은 16개의 핵심 요소를 기반으로 합니다(표 1).

보안 원칙요구 사항O-RAN WG11 지원을 위한 NVIDIA 기능
1. SP-AUTH: 상호 인증가짜 기지국과 권한이 없는 사용자 또는 애플리케이션 감지액세스 리스트 및 ACL(액세스 제어 리스트) 기반 필터링과 포트별 인증을 지원합니다.
2. SP-ACC: 액세스 제어언제 어디서나 무단 액세스 차단액세스 리스트 및 ACL 기반 필터링을 지원합니다.
3. SP-CRYPTO: 안전한 암호화, 키 관리 및 PKI(공개 키 인프라)· 고급 암호화 체계 및 프로토콜
· 안전한 키 관리 및 PKI		안전한 핸드셰이킹을 위한 IPSEC/TLS 및 암호화 프로토콜을 지원합니다.
4. SP-TCOMM: 신뢰할 수 있는 통신무결성, 기밀성, 가용성, 진실성, 전송 중 재생 보호전송 중인 데이터를 보호하기 위해 타임스탬프 및 캡슐화를 지원합니다.
5. SP-SS: 안전한 스토리지무결성, 기밀성, 가용성 보호저장 데이터 암호화 및 호스트로부터 격리를 지원합니다.
6. SP-SB: 안전한 부팅 및 자체 구성· 안전한 부팅 프로세스
· 서명 확인
· 자체 구성		검증을 위한 안전한 부팅 및 RoT(Root of Trust)를 지원합니다.
7. SP-UPDT: 안전한 업데이트소프트웨어 업데이트 또는 새로운 소프트웨어 통합을 위한 안전한 업데이트 관리 프로세스RoT(Root of Trust) 및 로컬 보안 BMC를 지원합니다.
8. SP-RECO: 복구 가능성 및 백업악의적인 공격(예: 서비스 거부 또는 DoS)에 대한 복구 및 재설정신뢰할 수 있는 소스에서의 안전한 부팅과 DDoS 차단을 위한 격리를 지원합니다.
9. SP-OPNS: 오픈 소스 구성 요소의 위험 보안 관리· 소프트웨어 재료 명세서(SBOM)
· 보안 분석(감사, 취약점 스캔 등)		파트너 에코시스템의 지원을 받습니다.
10. SP-ASSU: 보안 보증· 위험 평가
·  안전한 코드 검토
·  침투 테스트		파트너 에코시스템의 지원을 받습니다.
11. SP-PRV: 개인 정보 보호최종 사용자의 데이터 개인 정보 보호, 신원 개인 정보 보호 및 개인 정보 보호격리 및 태그 지정은 물론 암호화 및 캡슐화도 지원합니다.
12. SP-SLC: 지속적인 보안 개발, 테스트, 로깅, 모니터링, 취약점 처리· 지속적인 통합 및 지속적인 개발(CI/CD)
· 소프트웨어 보안 감사
·  실시간 보안 이벤트 로깅 및 분석		파트너 에코시스템의 지원을 받습니다.
13. SP-ISO: 강력한 격리내부 도메인 호스트 격리호스트로부터의 완전한 격리를 지원합니다.
14. SP-PHY: 물리적 보안다음을 위한 물리적으로 안전한 환경:
-민감한 데이터 스토리지
-민감한 기능 실행
-부팅 및 업데이트 프로세스 실행		버전이 강화되고 견고해졌습니다.
15. SP-CLD: 안전한 클라우드 컴퓨팅 및 가상화하드웨어 및 펌웨어에서 가상화된 소프트웨어에 이르는 엔드 투 엔드 스택의 신뢰파트너 에코시스템의 지원을 받습니다.
16. SP-ROB: 견고성소프트웨어 및 하드웨어 리소스의 견고성소프트웨어 개발, 검증, QA, 릴리스 관행의 일환으로 지원됩니다.
표 1. 개방형 RAN 시스템의 보안 원칙, 주요 요구 사항, NVIDIA가 이러한 요구 사항을 충족하는 방법

보안을 기본으로 제공하는 NVIDIA 플랫폼

NVIDIA의 주요 목표는 보안의 모든 측면을 포괄하는 강력한 보안 기능을 제공하는 것입니다.

  • 플랫폼에서 실행 중인 데이터에 대한 제로 트러스트 플랫폼 보안
  • 무선 인터페이스, 프론트홀 및 백홀을 횡단하는 모든 데이터를 보호하는 네트워크 보안
  • 플랫폼에 저장된 모든 데이터에 대한 스토리지 보안 및 모든 관리 인터페이스의 보호
그림 1. O-RAN 기반 가상화 RAN 및 5G 코어를 위한 포괄적인 E2E 보안
표 2. O-RAN 기반 가상화 RAN 및 5G Core에 포괄적인 E2E 보안 제공
프론트홀 gNB (DU/CU), CRAN 전송(미드홀/백홀) 5G 엣지/코어
  • MACsec
  • 포트 기반 인증 및 네트워크 액세스 제어 
  • IPsec
  • 하드웨어 RoT(Root of Trust)
  • 안전한 부팅
  • 인프라/테넌트 격리
  • DDoS방화벽
  • 물리적 보안 대책 
  • 오버레이 네트워크(VxLAN, EVPN)
  • 완전한 전송 보안 IPsec, SSL/TLS
  • 네트워크 ACLs
  • IDS/IPS
  • 하드웨어 RoT(Root of Trust)
  • 안전한 부팅
  • 인프라/테넌트 격리
  • DDoS
  • NG 방화벽
  • 클라우드 SDN(OVN/OVS)
  • GTP-U 터널 분류, 가속화, 보안
O&M

쿠버네티스 보안
쿠버네티스 API 인증
POD 보안
역할 기반 액세스 제어(RBAC)
모든 소프트웨어 PKI 인증
제로 트러스트 아키텍처(ZTA)
표 2. O-RAN 기반 가상화된 RAN 및 5G 코어를 위한 포괄적인 E2E 보안 제공

NVIDIA는 이를 달성하기 위해 업계 최고의 보안 관행에 의존합니다. NVIDIA ConnectX SmartNIC 및 NVIDIA BlueField 데이터 처리 장치(DPU)는 원거리 엣지, 근거리 엣지 및 클라우드 보안을 염두에 두고 개발되었습니다. 엣지 및 클라우드 제공업체와 보안 벤더가 NVIDIA 플랫폼 기능을 기반으로 솔루션을 형성하는 데 필요한 모든 요구 사항을 구현합니다.

ConnectX SmartNIC에는 MACSEC, IPSEC(및 기타 암호화 기반 솔루션), TLS, 규칙 기반 필터링, 정밀 타임스탬프를 모두 회선 속도로 오프로드하고 지원하는 엔진이 포함되어 있습니다.

DPU는 완전히 격리된 플랫폼(서버 내 서버)으로 리스트에 다음을 비롯한 많은 이점을 추가합니다.

  • 안전한 BMC
  • 안전한 부팅
  • RoT(Root of Trust)
  • 심층 패킷 검사(DPI)
  • 맞춤형 암호화 작업 및 데이터 플레인 파이프라인 처리를 위한 추가 엔진

이러한 기능을 통해 암호화되고 보호되며 호스트에서 완전히 격리된 네트워크를 배포할 수 있습니다. DPU는 안전한 cloudRAN 아키텍처를 만드는 동시에 GPU에 대한 직접 연결을 제공하고 호스트를 포함하지 않으면서 사후 선별된 패킷을 제공합니다.

NVIDIA는 Bluefield DPU 및 NVIDIA A100 GPU로 구성된 Converged Accelerator에서 실행되는 NVIDIA Aerial 5G vRAN을 통해 하드웨어 및 소프트웨어 플랫폼에서 O-RAN WG11 요구 사항을 구현했습니다. NVIDIA Aerial 소프트웨어는 RAN 계층 1의 전체 인라인 오프로드를 설명된 주요 보안 기능과 함께 구현합니다.

요약

NVIDIA에서는 개방형 표준 기반 아키텍처로 RAN을 변환하고 가상화할 때 보안을 최우선 과제로 생각합니다. 또한 NVIDIA는 5G 전송 네트워크, 5G Core, 오케스트레이션 및 관리 계층, 엣지 AI 애플리케이션을 위한 주요 보안 기능을 지원합니다.

개방형 RAN 또는 vRAN을 위한 5G 보안을 계획할 때 NVIDIA 전문가와 상담하고 NVIDIA 아키텍처 사용을 고려하세요.

자세한 내용은 다음 리소스를 참조하시기 바랍니다.

관련 리소스

이 블로그에 열거된 SDK의 대부분의 독점 액세스, 얼리 액세스, 기술 세션, 데모, 교육 과정, 리소스는 NVIDIA 개발자 프로그램 회원은 무료로 혜택을 받으실 수 있습니다. 지금 무료로 가입하여 NVIDIA의 기술 플랫폼에서 구축하는 데 필요한 도구와 교육에 액세스하시고 여러분의 성공을 가속화 하세요.

Discuss (0)

Tags

Cybersecurity / Fraud Detection | Data Center / Cloud | Edge Computing | Networking | Telecommunications | Aerial SDK | BlueField DPU | cloudRAN | ConnectX | Deep dive | 5G | Ethernet | featured | Security | technical walkthrough | vRAN | zero-trust

작성자 소개

Rajesh Gadiyar 프로필
Rajesh Gadiyar는 NVIDIA의 통신 및 엣지 아키텍처 부문 부사장입니다. Rajesh는 NVIDIA에 입사하기 전에 Intel의 네트워크 플랫폼 그룹에서 부사장 겸 CTO로 재직하면서 제품 디자인 및 개발을 이끌었습니다. 그리고 5G, 엣지 컴퓨팅, 광대역, 모바일 전화, 엔터프라이즈 보안 및 데이터 네트워크를 위한 네트워킹 제품, 아키텍처, 프로토콜, 표준, 소프트웨어 분야에서 다년간의 경험을 쌓았습니다. Rajesh는 인도 티루치라팔리에 있는 국립공과대학교에서 전자 및 통신 학사 학위를 취득했으며 UCLA 앤더슨 경영 대학원에서 MBA를 취득했습니다.
Lopamudra Kundu 프로필
Lopamudra Kundu는 미국 롤리의 노스캐롤라이나 주립대학교에서 MIMO 안테나의 정보 이론적 한계 중심의 연구로 전기 공학 박사 학위를 취득했습니다. 현재는 NVIDIA의 선임 시스템 소프트웨어 엔지니어로, O-RAN 제휴에서 NVIDIA의 업무를 이끌고 있습니다. 관심과 전문 분야로는 무선 통신, 셀룰러 표준, 개방형 RAN(Radio Access Network), 차세대 통신 기술 등이 있습니다.
Elad Blatt 프로필
Elad Blatt은 NVIDIA의 비즈니스 개발 통신 네트워킹 글로벌 책임자입니다. Elad Blatt은 혁신적이고 주도적인 임원으로, 17년 동안 국내 및 국제 시장에서 영업 및 비즈니스 개발 팀을 이끌었습니다. 기술에 정통하고 기술 주도적인 그는 수백 개의 고객사와 유익한 파트너십을 구축하여 수백만 달러의 수익을 창출합니다.

댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다