A cellular network is a closed system, and each carrier has built a unique system by combining different operation policies, network configurations, and implementation optimizations. Unfortunately, some of these combinations might lead to performance degradation due to misconfiguration or because of unnecessary procedures. In order to detect such degradations, a thorough understanding of even the minor details of the standards and carrier-specific implementations is important. However, it is difficult to detect such problems, as the control-plane is complicated by numerous procedures. Firstly, we introduce a simple yet powerful method that diagnoses these problems, by exploiting the carrier-specific implementations of cellular networks. We developed the signaling collection and analysis tool (SCAT), a tool that collects the control-plane messages from operators and finds problems through comparative analysis. The analysis process consists of three different control-plane comparison procedures that can find such problems, effectively. These procedures use a time threshold, control flow sequence, and signaling failure, respectively, as the basis for comparison. We analyzed the circuit-switched fallback technology that triggers a generation crossover between the 3G and LTE, as a case study. Our major findings are: (1) performance degradation is widespread in cellular networks; over 60% of the operators suffer from problems related to mobility, access to LTE networks, and key management, and (2) performance degradation results from six major problems that include timing mismatch related to mobility management, misconfiguration of frequency information or security context, and delay due to redundant procedures. Five of these problems were discovered by our study. One problem had been introduced in a previous study, but the root cause analysis was different. Three problems were caused by misconfiguration and the other three were caused by inefficient combinations of normal procedures. The misconfiguration problems could have been discovered through manual in-depth analysis, as in previous studies. The latter case, however, could not have been found through the traffic analysis of a single operator. Examples of cases that are difficult to detect include: (1) 88.7% of the calls in a German operator suffer 0.79 s median delay, and (2) 100% of the calls in a Spanish operator suffers 0.44 s median delay. We believe that our analysis method is simple, and that it will be effective enough to detect many performance bugs including the cases that are hard to find. Lastly, we propose a location tracking method with changing temporary identifiers. To keep the confidentiality of subscribers' identity, cellular network operator must use temporary identifier instead of the permanent one according to the 3GPP standard. The temporary identifiers are Temporary Mobile Subscriber Identity (TMSI) and Globally Unique Temporary Identifier (GUTI) for GSM/3G and LTE, respectively. Unfortunately, recent studies have shown that carriers fail to protect subscribers in both GSM/3G and LTE, mainly because the temporary identifiers have static and persistent value. These identifiers can be used to track subscribers' location. These studies have suggested that temporary identifiers must be frequently reallocated to solve this privacy problem. The only mechanism to update the temporary identifier in current LTE implementation is called GUTI reallocation. We investigate if the current implementation of GUTI reallocation mechanism can provide enough security to protect subscribers' privacy. To do this, we collect data by invoking GUTI reallocation more than 30K times on 28 carriers over 11 countries using 78 SIM cards. We, then, investigate if 1) these reallocated GUTIs on each carrier have noticeable patterns, and 2) if they do, these patterns are consistent among different SIM cards within each carrier. Among 28 carriers, 19 carriers have easily predictable and consistent patterns in their GUTI reallocation mechanisms. Among the rest of 9 carriers, we revisit 4 carriers to investigate more deeply. For all these 4 carriers, in the end, we could find interesting yet predictable patterns, after invoking GUTI reallocation multiple times within a short time period. Using this predictability, we show that an adversary can track subscribers' location as in the previous work. Finally, we present a lightweight and unpredictable GUTI reallocation mechanism as a solution.

이동통신 네트워크는 생활의 모든 곳으로 그 영향이 확대되고 있다. 5세대 이동통신과 함께 앞으로는 우리가 상상할 수 있는 주변의 모든 만물들이 이동통신 네트워크를 이용해 통신이 가능할 것으로 전망된다. 이러한 변화와 영향력은 앞으로의 이동통신 서비스에 대한 더 높은 퍼포먼스와 보안 수준을 요구하고 있다. 그러나, 다른 네트워크와 다르게 이동통신 네트워크는 사용자의 접근이 제한적이기 때문에 분석 및 연구에 한계가 있다. 그렇기 때문에 이동통신 네트워크의 문제 진단은 통신사와 제조사에 의존하고 있는 실정이다. 그러나 통신사와 제조사의 진단 방식은 눈에 드러나는 급격한 변화 현상을 찾는 방식으로 진행될 가능성이 높고, 지속적으로 발생 가능한 지연 현상들을 찾기 어려울 수 있다. 이동통신의 상호작용을 전부 파악하는 것은 어렵기 때문에 이러한 진단 방식은 불가피해 보일 수도 있다. 본 연구에서는 이러한 이동 통신 네트워크의 특성을 고려해 문제를 진단하는 방식에 대해 소개한다. 이동 통신 네트워크의 진단을 위해 우리는 글로벌 측정 분석 방식을 이용한다. 각 이동 통신 네트워크는 다른 구현, 제조사, 표준 해석, 정책에 서로 정보를 공유하지 않는 폐쇄성이 더해져 독창적인 형태를 가지게 되었다. 이러한 특징은 흥미롭게도 비교 분석을 통한 문제 진단을 가능하게 한다. 같은 절차에 대한 다른 구현은 어떠한 방식이 더 적합한지 분석할 수 있는 환경을 마련해 준다. 우리는 효율적인 분석을 위해 11개 국가 28개 통신사에 대해 제어영역 데이터를 수집해 퍼포먼스, 보안과 관련된 문제들을 진단했다. 첫째로, 우리는 셀룰러 네트워크의 통신사에 특화된 구현들을 분석해 문제들을 진단할 수 있는 간단하고 강력한 방법을 소개한다. 우리는 제어 영역 메시지를 통신사로부터 수집하고 비교 분석을 통해 문제를 찾을 수 있는 시그널링 수집 및 분석 도구 (SCAT)를 개발했다. 효과적으로 문제들을 찾기 위한 분석 과정은 총 3가지로 구성되어 있다. 이러한 절차들은 시간 임계 값, 제어 절차 순서, 시그널링 실패의 비교 방식을 이용한다. 우리는 3G와 LTE간의 전환이 발생하는 CSFB (Circuit Switched Fallback) 기술을 케이스 연구로 지정해 분석했다. 우리가 주로 찾은 문제는 다음과 같다: (1) 이동통신 네트워크에는 퍼포먼스 저하 현상이 만연해 있다; 60% 이상의 통신사들이 이동성, LTE 접속, 키 관리와 관련된 문제를 겪고 있다. 그리고, (2) 주요 문제들은 이동성 관리를 위한 시간 설정, 주파수 설정이나 보안 컨텍스트 설정, 그리고 불필요한 절차들에 의한 지연 현상을 포함한다. 이 중 다섯 가지 문제는 우리의 연구로 발견되었다. 이 문제 외의 한 문제는 기존 연구에서 소개가 되었지만, 우리는 원인 분석을 통해 기존 연구와 다른 분석 결과를 얻었다. 세 개의 문제는 잘못된 설정 때문에 발생했으며, 다른 세 개의 문제는 정상 절차들의 효과적이지 못한 조합으로 인해 발생했다. 잘못된 설정과 관련된 문제들은 기존 연구의 방식들을 이용해서 발견할 수도 있는 문제지만, 후자의 경우에는 단일 통신사 분석을 통해 발견하기 매우 어려운 문제들이다. 진단하기 어려운 문제들은 다음과 같은 상황들을 보여준다: (1) 독일의 한 통신사의 경우 88.7%의 전화가 0.79초의 지연 현상을 겪는다. 그리고 (2) 스페인의 한 통신사는 100%의 전화가 0.44초의 지연 현상을 겪는다. 우리는 우리의 분석 방식이 간단한데도 불구하고 찾기 어려운 퍼포먼스 관련 문제들을 충분히 효과적으로 찾아줄 수 있음을 확신한다. 끝으로, 우리는 임시 식별자 변경을 통해 위치를 추적하는 방식을 제안한다. 3GPP 표준에 따르면, 이동 통신 사업자들은 사용자들의 기밀성을 보장하기 위해 영구적인 식별자 대신 임시 식별자를 사용하도록 하고 있다. GSM/3G에서는 임시 식별자로 TMSI, LTE에서는 임시 식별자로 GUTI를 사용한다. 그러나 최근의 연구들은 바뀌지 않고 유지되는 임시 식별자들로 인해 사용자들이 드러날 수 있음을 보였다. 이 연구들은 이와 같은 문제들을 해결하기 위해 임시 식별자가 자주 재할당 되어야 한다고 제안한다. LTE 네트워크에서 임시 식별자를 재할당할 수 있는 유일한 방법은 GUTI 재할당 (Reallocation)이다. 우리는 이 GUTI 재할당의 구현 방식을 분석해 현재의 방식들이 사용자의 프라이버시를 보호할 수 있는지 알아본다. 이를 위해 우리는 11개 국가 28개 통신사 78개의 심카드를 통해 30,000번 이상의 GUTI 재할당 데이터를 수집했다. 우리는 분석을 통해 (1) 각 통신사들의 GUTI 재할당 방식이 일정 패턴을 보인다는 것과, (2) 심 카드에 상관 없이 한 통신사 내의 GUTI 재할당 패턴이 유지된다는 것을 보였다. 28개의 통신사들 중 19개의 통신사에 대해서 우리는 GUTI 재할당 규칙을 쉽게 추측할 수 있었다. 나머지 9개의 통신사 중 4개의 통신사를 깊게 분석해, 짧은 간격의 전화가 눈에 띄는 GUTI 재할당 패턴을 만들 수 있음을 보였다. 이러한 추측 가능성들을 이용해 우리는 이전 연구들과 마찬가지로 공격자가 사용자의 위치를 추적할 수 있음을 보였다. 최종적으로 우리는 추측할 수 없는 GUTI 재할당 방식을 솔루션으로써 제시한다.