본문 바로가기

LTE_5G

02. IP Geolocation, IP Tracking(OSINT)

무선 통신이 2G에서 3G, LTE를 거쳐 5G로 오면서 무선통신에 대한 위협도 당연히 증가했다.

그 중 대표적이고 가장 접근하기 쉬운(하이재킹 혹은 스니핑만으로 가능한) 공격이 cell tracking이라고 생각한다.

 

보통의 경우에는 System Information Block 중 SIB1에 포함된 TAC(Tracking Area Code)를 통해서 공격을 수행하곤 한다.

SIB1 메시지에는 아래 그림처럼 사업자의 네트워크 식별번호인 PLMN(Public Land Mobile Network)과 관련된 정보가 존재한다. 그 중에는 TAC와 cell-identity 값이 존재한다. 각각의 값은 SIB1 메시지를 브로드캐스팅하는 셀(기지국)의 Area code와 셀의 고유 id를 나타낸다.

SIB1 메시지

 

고전적인 방법으로는 SIB1 메시지 자체가 브로드캐스팅 되는 점을 이용해서, UE를 하나 구성해서 해당 UE를 통해 피해자가 camp on 해 있는 셀(기지국)으로부터 SIB1 메시지를 스니핑하고 해당 정보를 이용해 피해자의 위치를 tracking 하는 방식이다.

 

그런데 아래 포스팅에서는 IP를 기반으로한 tracking을 설명하고 있다.

https://nixintel.info/osint/geolocating-mobile-phones-with-an-ip/

 

Geolocating Mobile Phones With An IP – NixIntel

This article was written jointly with Matthias Wilson (@MWOSINT). It is also published on his own site here. IP addresses feature prominently in digital investigations, but how useful are they for geolocation? The truth is that while IP addresses have many

nixintel.info

여기서의 핵심 내용은 이런것이다. 우리가 유선상에서 IP를 사용하면서 해당 IP를 통해 Area를 tracking하게 되면(VPN 등을 사용하지 않았다고 가정하고) 꽤 정확한 Area가 나오는 것에 기반하는 것이다. 현재 LTE 단말들은 IP를 기반으로 해서 카카오톡을 하거나 데이터를 송/수신하는 등의 행위를 하기 때문에 여기서 사용하는 IP를 이용하면 UE의 위치를 추적할 수 있을까?가 이 포스팅의 가정이다.

방법은 UE에 이메일을 전송해서 열어보게하거나 UE가 어떤 웹 페이지에 접속하게 유도하고 해당 이메일 혹은 웹 페이지에 웹 비콘을 심어두는 것이다. 심어둔 웹 비콘은 웹 비콘 소유자(공격자)에게 지정된 정보들(현재 피해 UE의 IP 정보 등)을 전송한다. 그리고 전송된 IP 정보를 기반으로 Area Tracking을 수행해보니 실제로 어느정도 정확한 결과도 도출되었다는 것이다.

 

하지만, 어디까지나 "어느정도" 정확한 위치가 나타난 것이지 대부분의 경우에는 이상한 위치가 등장하곤 했다고 한다. 당연한 이유인게, LTE 구조에서는 S-GW, P-GW 등을 통해서 IP를 기반으로한 서비스를 받게되는데 해당 과정에서 IP 주소를 산출하는 방식이 아래 그림과 같이 이루어진다.

IP 산출방식/출처:telecompedia

 

UE가 MME(Mobile Manage Entity)에게 Attach Request를 보내고 해당 정보를 기반으로 MME에서 순차적으로 S-GW, P-GW에게 요청이 전송되면 인터넷 서비스를 제공하기 위한 IP를 꺼내서 Attach Request를 보낸 UE에게 할당해주게 되는데, 여기서 IP를 선택하는 것이 어떤 지역에 위치하고 있는 셀(기지국)에 기반하는 것이 아니라 단순히 동적으로 랜덤하게 IP 주소를 할당한다. 그렇기 때문에 같은 셀(기지국)에 몇번이고 시도해도 계속해서 다른 IP주소를 할당받게 된다. 

 

사실 이 포스팅을 처음 대충 훑었을때는 "할당받은 IP를 기반으로 위치 추적이 가능하다?"는 의문을 갖고 읽어보게 됐는데, 결론은 "가능은 하지만 상황by상황이고, 거의 불가능에 가깝다"로 났다.. 조금 아쉽긴하다. 심지어, 포스팅에서는 OSINT와 연관지어서 이 내용을 설명하고 있기 때문에 더욱 아쉬웠다..

반응형

'LTE_5G' 카테고리의 다른 글

04. Detecting Fake 4G Base Stations (Blackhat USA 2020)  (0) 2020.08.13
03. Guide to LTE Security  (0) 2020.07.29
01. Signal Overshadowing  (0) 2020.07.10