[5G] #2. User management & auth (KR)

오늘은 지난 [5G] #1. 5G Concepts 에 이어 인증쪽을 다뤄보겠습니다. 4G쪽은 아직 다루지는 않겠지만

지난 SKT 해킹 사건 역시도 통신 컴포넌트들 중 인증쪽이 해킹당했기에 이런 사태가 발발했는데요.

간단히 말씀드리자면, (4G) HSS 서버 3대에 악성코드를 심어 약 9.7GB 분량의 가입자 유심(USIM) 관련 정보(가입자 인증키(Ki), IMSI, 전화번호 등)를 탈취한 사건입니다.

 

HSS

• 4G(LTE) 코어 네트워크의 핵심 가입자 관리 시스템
• 가입자 인증 정보 (IMSI, 인증키, 프로필, 정책 , 위치 등 )를 일괄 정리
• 가입자 인증, 위치 관리, 로밍, 정책 제공 등 모든 관련 기능을 한 시스템에서 직접 수행
• 데이터 베이스 역할과 인증 /프로토콜 연산까지 자체 담당 

 

이처럼 4G에서의 HSS 와 유사하게, 5G 에서는 가입자 데이터 관리 및 서비스 프로필 저장 기능을 담당하는 부분을 UDM, HSS 가 수행하던 인증 절차를 별도로 처리하는 역할을 AUSF 라고 합니다.

UDM

UDM(Unified Data Management, 사용자 데이터 관리)은 5G 네트워크의 핵심 요소 중 하나로, 가입자(사용자)의 다양한 정보를 통합적으로 관리하는 새로운 네트워크 기능(Network Function)입니다. 5G Core(5G 코어 네트워크)에서 UDM은 가입자 인증, 식별, 가입·탈퇴, 서비스 접근 제어 등에 필수적 역할을 담당합니다.

4G(LTE) 시대의 HSS(Home Subscriber Server)를 5G 환경에 맞게 확장·진화시킨 요소로 볼 수 있습니다.

 

- 3GPP AKA 인증 자격 증명 생성
- 개인정보 보호된 구독 식별자(SUCI)의 비가시화 해제 지원
- 구독 데이터 기반 액세스 권한 부여
- 사용자 식별 처리
- 구독 관리
- 등록 관리/세션 연속성
- MT-SMS 전송 지원, SMS 관리
- 저비용 감청

 

UDM의 주요 역할

1. SUPI(Subscription Permanent Identifier) 등 가입자 고유 식별자 관리
   • 가입자의 영구 식별자인 SUPI 관리(예: IMSI 포함)
   • SUCI(Subscription Concealed Identifier)와의 연동, 프라이버시 보호
   • 기존 4G 환경에서도 쓰였던 IMSI(International Mobile Subscriber Identity)가 SUPI의 가장 대표적인 형태입니다.
2. 인증 및 등록(Registration, Authentication) 지원
   • 가입자가 네트워크에 접속할 때, UDM은 인증/승인 데이터를 제공하여 사용자의 신원을 확인
   • 예: 5G AKA(Authentication and Key Agreement)에서 인증 정보 제공
3. 가입자 프로필 및 정책 정보 제공
   • 사용자의 서비스 가입 정보, 데이터 플랜, 서비스 제한 정보 등을 관리
   • 네트워크의 다른 기능(NF, 예: AMF, SMF 등)에 적용할 수 있도록 관련 정보를 제공
4. 가입자 접근 제어 및 서비스 승인
   • 사용자의 네트워크/서비스 접근 권한을 확인하고 제어 정책 반영
5. 기타 사용자 데이터 관리 기능
   • 등록 관리, 탈퇴(탈착) 관리, 위치 정보 등 다양한 사용자 관련 데이터의 중앙 관리

 

SUCI 는 뭘까?

SUCI의 정의 및 역할

• SUCI는 SIGN(가입자 고유 식별자, SUPI: Subscription Permanent Identifier)을 보호하기 위해 생성된 암호화된 임시 식별자입니다.
• 사용자의 진짜 식별자인 SUPI(예: IMSI)를 네트워크에 드러내지 않기 위해, 단말(USIM/UE)에서 SUPI를 공개키 암호화 방식 등으로 암호화하여 SUCI로 변환한 뒤 전송합니다.
• SUCI는 무선 인터페이스 상에서 네트워크로 전송되는 값이며, 네트워크(UDM 등)가 복호화하여 진짜 SUPI를 확인합니다.

SUCI의 주요 특징

• 프라이버시 강화: 사용자의 고유 가입자 정보를 외부(무선망, 공격자 등)로부터 숨김
• 5G의 필수 표준: 3GPP에서 5G의 공식 개인정보 보호 방식으로 규정
• 네트워크는 SUCI를 받아 복호화 과정을 거쳐 진짜 SUPI를 확인 및 인증 수행
• IMSI-Catcher 등 기존의 이동통신 취약점 보완: SUPI가 노출되지 않아 가입자 추적 및 도청 위험 감소

 

그 외의 식별자 

PEI - Permanent Equipment Identifier 는?

PEI(Permanent Equipment Identifier, 영구 장비 식별자)는 이동통신 네트워크에서 ‘단말기(모바일 장비)’를 고유하게 식별하기 위해 사용되는 국제 표준 식별자입니다. PEI는 사용자의 가입자 정보와는 별도로, 휴대폰·모뎀 등 물리적 장비 자체를 네트워크 상에서 인식·추적·관리하기 위한 용도로 쓰입니다.

• PEI는 3GPP(3rd Generation Partnership Project) 표준에서 정의한 장비 식별자입니다.
• 가장 대표적인 PEI 종류는 IMEI(International Mobile Equipment Identity)와 IMEISV(IMEI Software Version)입니다.
• 5G, 4G(LTE), 3G, 2G 등 주요 이동통신 시스템 모두 지원합니다.

 

GPSI 는 ? - Generic Public subscription Identifier

GPSI(Generic Public Subscription Identifier, 범용 공중 가입자 식별자)는 5G 이동통신 코어 네트워크(3GPP 5G Core)에서 사용자의 “공개식별” 및 네트워크 서비스 연동을 위해 도입된 논리적 식별자입니다.

5G Core 네트워크에서는 가입자 식별을 위해 영구적인 식별자인 SUPI(예: IMSI)와 함께, 일반 통신(공개 서비스) 주소로 GPSI를 따로 관리합니다.

 

UDR 

5G 코어 네트워크에서 UDR(Unified Data Repository, 통합 데이터 저장소)은 5G 시스템을 구성하는 핵심 중앙 데이터 저장소(Network Function, NF) 역할을 합니다.

UDR의 정의

• UDR은 5G 코어 네트워크(SBA, Service-Based Architecture)에서 여러 네트워크 기능(NF, Network Functions)들이 공통으로 접근하는 중앙 집중형 데이터 저장소입니다.
• UDR은 다양한 종류의 가입자 데이터, 인증 정보, 정책 정보, 세션 정보 등을 표준화된 방식으로 저장하고 관리합니다.

UDR의 주요 기능

1. 중앙 집중 데이터 관리
   • 가입자 정보(SUPI, 가입자 프로필, 정책, 인증 상태 등)를 하나의 통합 저장소에서 보관/관리합니다.
   • 네트워크 내 여러 기능들(예: UDM, PCF, AUSF 등)이 필요할 때 표준화된 API를 통해 데이터를 조회·갱신할 수 있도록 지원합니다.
2. 표준 인터페이스 제공
   • 5G 코어 각 네트워크 기능(NF)들이 UDR에 접근할 수 있도록 3GPP 표준 기반의 서비스(API) 인터페이스를 제공합니다.
     • 예) UDM(가입자 관리), AUSF(인증 서버), PCF(정책 제어 기능) 등 다양한 NF에서 UDR을 데이터 백엔드로 사용
3. 데이터 일관성 및 보안
   • 모든 데이터가 일관적이고 최신 상태로 유지되도록 보장합니다.
   • 5G 표준에 따라, 저장된 정보의 접근/변경에 대한 인증 및 권한 정책을 적용합니다(보안성 강화).
4. 확장성 및 유연성
   • 5G 트래픽/데이터 증가에 따라 확장이 용이하며, 서비스별 데이터 모델도 유연하게 지원합니다.

 

 

AUSF 란?

AUSF(Authentication Server Function, 인증 서버 기능)는 5G 코어 네트워크의 핵심 네트워크 기능(NF, Network Function) 중 하나로, 사용자(가입자) 인증을 담당하는 중앙 컴포넌트입니다.

 

AUSF의 정의 및 역할

• AUSF는 5G 네트워크에서 이동통신 단말(UE) 또는 사용자가 최초로 네트워크에 접속할 때, 그 사용자의 신원을 인증하는 기능을 제공하는 서버입니다.
• 3GPP(3rd Generation Partnership Project) 5G Core 표준 구조에서, 가입자가 네트워크에 접속 시 발생하는 5G AKA(Authentication and Key Agreement) 프로토콜 수행의 실질적 인증 트랜잭션을 담당합니다.

 

5G 네트워크 내 위치 및 주요 동작

• AUSF는 Service-Based Architecture(SBA) 상에서 동작하는 독립적인 네트워크 기능입니다.

• 단말(UE) → AMF(Access and Mobility Management Function) → AUSF → UDM 흐름으로 인증이 이뤄집니다.
• AMF가 가입자 인증 요청을 수신하면, AUSF에 인증 요청을 전달합니다.
• AUSF는 UDM으로부터 SUPI(가입자 영구 식별자), 인증 정보, 키 등 필요한 데이터를 받아 실제 인증을 수행합니다.

 

즉, 인증요청을 '받고, 전달' 하는 친구 : AMF

실제로 수행 : AUSF

그때 필요한 정보 : UDM ( 내부적으로 필요한 정보는 UDR 에서 )

 

NSSAA(Network Slice Specific Authentication and Authorization, 네트워크 슬라이스 특정 인증 및 권한 부여)

NSSAA(Network Slice Specific Authentication and Authorization, 네트워크 슬라이스 특정 인증 및 권한 부여)는 5G 코어 네트워크 내에서 개별 네트워크 슬라이스에 맞춘 인증 및 권한 부여 기능을 제공하는 절차입니다. 이는 네트워크 슬라이싱이 5G에서 제공하는 여러 가상 네트워크를 각각의 서비스나 고객의 고유 요구에 따라 구현할 수 있게 해주는 기능이기 때문에 필요합니다.

NSSAA의 주요 구성 요소와 단계는 다음과 같습니다:

1. AUSF에서의 인증: AUSF(Authentication Server Function)는 네트워크 슬라이스에 특정한 인증 요청을 처리합니다. AUSF는 구독자 데이터 및 서비스 관련 정보를 검색하기 위해 UDM(통합 데이터 관리)과 상호 작용합니다
2. 네트워크 슬라이스 선택: 사용자가 네트워크에 연결할 때, AMF(액세스 및 모빌리티 관리 기능)는 UDM으로부터 Single Network Slice Selection Assistance Information (S-NSSAI) 목록을 받습니다. AMF는 NSSF(Network Slice Selection Function)의 도움을 받아 사용자가 액세스할 수 있는 S-NSSAIs(네트워크 슬라이스)를 결정합니다
3. 매핑: 사용자가 요청한 네트워크 슬라이스는 방문한 공공 육상 이동 네트워크(VPLMN)에 사용할 수 있는 해당 네트워크 슬라이스에 매핑될 수 있습니다. 만약 매핑이 필요하다면 AMF가 등록 절차 중 사용자에게 매핑 정보를 제공합니다