5G StandAlone (SA) service was launched by T-Mobile in 2020, and the service area of the 5G SA network is increasingly expanding. However, there is little research on security in the 5G SA network for some reason. First, it is difficult to build a test environment for security research due to a lack of commercial equipment and open-source projects. In addition, since the core network is a black-box environment, it is quite hard to check the direct results of network testing. Therefore, existing approaches are only focused on finding standard vulnerabilities by applying formal methods based on specifications, and there are limitations that cannot find for other flaws, such as implementation flaws. In this work, we propose a first approach that performs stateful uplink testing while considering various attack scenarios in the 5G SA network. We analyzed the capabilities of MitM (Man-in-the-Middle) and Fake UE, which are possible attack models for networks, and classified the attack scenarios into four cases. Then, the test was done by applying these cases to all states that could happen during the UE's registration process. In addition, we categorized states according to security features and made it easy to create test cases for each network state machine. We evaluated our system with 4 core networks and discovered 16 implementation flaws: 11 cases can cause DoS (Denial-of-Sevice) attacks, 1 case can cause a eavesdropping attack, and 1 case can cause an impersonate attack.

2020년 T-Mobile에서 처음 5G StandAlone (SA) 서비스를 시작하였고, 현재는 국내 KT 통신사를 포함한 다양한 회사에서 5G SA를 서비스하고 있다. 이에 따라, 사용자 수도 빠르게 증가하고 있다. 하지만, 아직 몇 가지 어려움으로 5G SA 네트워크에 대한 연구가 거의 이뤄지지 않았다. 첫번째, 5G SA 네트워크가 빠르게 발전되었다 보니 오픈 소스 프로젝트나 연구를 위한 상용 장비가 부족해 테스트 환경을 구축하기가 어렵다. 또한, 셀룰러 이동통신은 블랙 박스 환경이기 때문에 네트워크 테스트에 대한 결과도 알기 힘들고 통신사나 장비 회사가 협력하지 않는다면 실제로 진행하기도 쉽지 않다. 그래서 현재까지 5G 네트워크에 대한 연구는 정형 기법을 이용한 스펙 문서를 분석하고 이를 통한 표준 취약점을 찾는 것에만 집중해왔고, 셀룰러 네트워크에 존재하는 구현 취약점은 찾을 수 없었다. 그래서 이번 연구에서는 5G SA 네트워크를 대상으로 하는 다양한 상태 기반 업링크 테스팅을 수행하는 첫 접근을 제안한다. 기존 LTE 네트워크에서 존재하던 공격 모델인 MitM (Man-in-the-Middle)과 Fake UE의 능력을 분석하고 이러한 모델들로 가능한 공격 시나리오를 총 4가지로 분류하였다. 게다가, 4가지의 공격 시나리오를 위해 필요한 조건을 정의해 네트워크별 상태 기계에서 쉽게 공격 시나리오를 선정할 수 있도록 하였다. 이를 바탕으로 UE가 네트워크에 등록하는 과정 동안 발생할 수 있는 다양한 상태에서 각각의 공격 시나리오를 수행하도록 하였다. 우리는 이러한 시스템을 기반으로 4개의 5G SA 코어 네트워크를 대상으로 테스트를 진행하였고 총 16개의 구현 결함을 발견할 수 있었다. 이 중 11개는 DoS 공격, 1개는 도청 공격, 1개는 사용자 도용 공격으로 이어질 수 있는 구현 취약점인 것을 확인하였다.