Offcanvas

CSO / 디지털 디바이스 / 보안

블로그 | '사이버 공격 벡터로서의 드론' 대책이 필요하다

2022.04.25 Gordon Feller  |  CSO
필수 인프라 운영자, 사법 당국, 각 정부 기관은 드론을 일상 업무에 적극적으로 활용 중이다. 전통적인 인프라는 물론 농업, 제조업, 수도/전기, 석유/가스, 광업, 중공업까지 드론의 응용 분야는 다양하다. 그리고 드론 제조업체와 최종 사용자들은 엔터프라이즈와 연결된 모든 요소에 ‘각 드론과 드론 편대, 클라우드/엔터프라이즈 기능, 이들 사이의 모든 통신을 아우르는 강력한 능력’이 있다는 사실을 이제서야 인식하기 시작했다.
 
ⓒ Goh Rhy Yan/Unsplash


드론, ‘하늘을 나는 컴퓨터’이자 공격 벡터

드론 시스템은 잠재적인 취약점에도 불구하고 높은 수준의 보안 아키텍처를 사용하지 않는 경우가 많다. 경영 컨설팅 기업 KPMG의 전략 및 현식 책임자 조노 앤더슨은 “드론이 서로 연결된 시스템에서는 드론 내부와 주변 간 통신이 복잡해지면서 여러 개의 공격 벡터가 생긴다. 그 결과, 개별 드론이나 드론 편대의 필수 시스템뿐 아니라 전체 클라우드 및 엔터프라이즈마저 위험에 노출될 가능성이 있다”라고 말했다.

드론 운영에는 검증된 장점도 있지만 심각한 사이버보안 위험도 따른다. 기본적으로 드론은 ‘하늘을 나는 컴퓨터’이므로 컴퓨터처럼 숱한 사이버 위협이 발생할 수 있다. EY의 기술 컨설팅 부문 선임 관리자 조슈아 테이머는 “대부분 조직은 드론이 주/연방 규정을 준수하는지에 집중한다”라고 말했다. 오늘날 드론은 제조업체 소유인 경우가 많으므로 드론이 사용되는 생태계를 적절히 보호할 ‘기본적이고 조직적인 보안 전략’을 갖추는 것이 매우 중요하다. 

그동안 드론 제조업체나 사용자에게 사이버보안은 주요 우선순위가 아니었다. 그러나 테이머는 보안 분야에 정통한 사람은 드론의 취약점을 잘 인지하고 있다고 말했다. 대표적인 예가 드론 리버스 엔지니어링 종사자다. 이들은 일반적으로 여러 드론과 제조업체에 걸친 취약점을 알고 있다. 드론을 통해 기업 환경 내에 악성코드가 침투될 우려가 제기되자 드론 관련 기기가 기업 네트워크에 연결되지 못하도록 중간에 ‘에어 갭(air gap)’을 설치하기도 했다.

미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 인프라 보안 프로그램 전문가 새뮤얼 로스트로우는 “드론은 조직의 사이버보안을 위협하고 데이터를 침해할 위험이 있다”라고 지적했다. 앞서 CISA는 2019년 필수 인프라 커뮤니티를 대상으로 외국산 드론이 조직의 민감한 정보를 위협할 가능성을 경고하는 업계 경보를 발령한 바 있다. 2021년 7월 미 국방부는 DJI 시스템 관련 성명서를 통해 CISA 경보의 정보와 지침을 재확인했다.


사이버 공격자의 드론 침해 수법

오렌지(Orange)의 임베디드 시스템 보안 전문가 데이빗 아먼드는 군사용 드론을 제외하고 드론 보안에 대한 투자 규모는 “제품 비용에 비해 여전히 낮은 수준”이라고 우려했다. 아먼드는 “드론은 공격 비용이 전문 드론이나 엔터테인먼트의 가치보다 훨씬 낮기 때문에 매력적인 표적이다. 드론과 관련한 위협의 종류는 드론을 대상으로 한 공격과 드론을 이용해 수행하는 공격으로 구분된다”라고 말했다.

드론 자체에서 추출한 정보는 그 자체로 취약점이 된다. 드론 운영자와 드론 사이에서 통신이 일어나는 동안 해당 시스템은 취약하다. 테이머는 이런 시스템이 “C&C 링크를 관찰, 중단, 장악할 수 있는 취약점”이라고 지적했다.

아먼드의 조사에 따르면, 악의적인 행위자는 공급망 공격으로 드론의 소프트웨어 또는 하드웨어, 나아가 컨트롤러(휴대전화가 대표적이다)까지 침해할 수 있다. 아먼드는 다음 2가지 사례를 제시했다.
 
  • 3D 프린터의 프로펠러 설계 파일을 조작하면 출력된 프로펠러가 나뉘기 전에 드론을 고공비행시킬 수 있다.
  • 공격자는 스마트폰 관련 정보(사용자와 드론의 GPS 위치와 셀룰러 네트워크 ID)를 수집하여 사용자의 제어 없이 ‘강제 업데이트’를 수행하고 코드를 실행할 수 있다.

테이머는 “커뮤니티에서 개발한 소프트웨어 패키지가 항상 보안을 염두에 두고 설계되거나 철저한 검토를 거쳐서 제작되지는 않는다. 하지만 오늘날 많은 제조업체가 이런 소프트웨어 패키지를 활용하고 있다”라고 우려했다. 드론의 기능이 강화되고 복잡해지면서 취약점이 확산될 기회도 늘어나는 것이다.

신기술 사용 시 보안과 관련된 고려사항이 대부분 그러하듯, 드론 사용과 관련한 위협 모델과 위험 분석을 조직의 위험 태세와 일치시키는 것이 최선이다. 테이머는 “드론 활용과 관련한 위험과 사이버 준비 태세를 조직의 보안 태세와 일치시키는 것을 목표로 해야 한다”라고 조언했다.


드론의 보안에 집중해야 할 시점

드론에 대한 사이버 솔루션 시장은 아직 초기 단계다. 보고된 공격 건수가 상대적으로 적기 때문이다. 따라서 드론 제조업체가 보안을 우선할 가능성은 아직 낮다. 테이머는 “사이버보안에 크게 투자하는 조직은 거의 없지만 미국 정부의 철저한 조사 때문인지 일부 주요 드론 제조업체는 의도적으로 사이버보안에 상당히 많은 투자를 했다. 그러나 보안이 허술한 드론은 여전히 많다”라고 말했다.

업체는 드론이 장악되거나 명령이 두절될 위험을 낮추기 위해 드론에 탑재된 소프트웨어 및 통신과 관련한 제품 보안 강화에 특히 집중해야 한다. KPMG의 사이버보안 서비스 책임자 릭 파커는 “드론의 취약점은 수 많은 요소를 보호해야 하는 공급망 내부까지 확장할 수 있고, 오픈소스 코드에 의존할 수 있다. 즉, 중요 하드웨어의 보안 코드 개발을 서드파티 개발 프로세스에 의존하기 때문에 취약점이 악용될 경우 민감 데이터나 인텔리전스, 인명 손실까지 야기할 수 있다”라고 말했다. 따라서 드론 업계는 드론 배포의 민감성을 고려할 때 침해 발생 전이나 도중에 위협의 조짐을 파악할 수 있도록 접근 모니터링 및 행동 분석을 강화해야 한다.

오렌지는 패롯(Parrot) 제품의 보안 평가를 실시한 바 있다. 아먼드는 오렌지 보안 전문가 커뮤니티를 통해 패롯 측과 흥미로운 기술을 교류한 경험을 공유했다. 아먼드에 따르면, 패롯은 전문가용 드론에 대해 다음과 같은 다양한 사이버보안 조치를 마련했다.
 
  • 다수의 위성 관측을 이용한 GPS 스푸핑 방지
  • 주행거리측정 기법으로 이동 추이를 측정해 전파방해 방지
  • 보다 안전한 무선 프로토콜을 사용해 드론을 관리할 수 있도록 와이파이 대신 셀룰러 방식으로 연결
  • 보안 요소에 안전하게 저장된 장치별 고유 인증서를 사용한 드론 인증

아먼드는 GNSS(Global Navigation Satellite System) 스푸핑 공격의 탐지/완화/보고에 사용할 수 있는 상용 제품을 보유한 레굴루스(Regulus), 인피니돔(InfiniDome), 셉텐트리오(Septentrio)와 같은 업체를 언급했다. 탈레스(Thales)와 인텔(Intel)처럼 규모가 큰 업체도 드론 보안에 적극적으로 나서고 있다.

국제무인운송시스템협회(Association for Unmanned Vehicle Systems International, AUVSI) EVP 마이클 로빈스는 상용 및 방어용 드론 제품 모두 “데이터의 저장/전송/유지/처분 방안을 보장하고, 드론 운영을 위한 데이터 링크의 안전을 확보하고, 침해 또는 악성코드를 모니터링하는 데에 집중하고 있다”라고 밝혔다. 로빈스는 상용과 방어용의 차이는 “방어해야 하는 사이버공격의 종류, 보호해야 하는 데이터와 정보, 보안과 운영 및 보고에 대한 법적 요건”에 있다고 설명했다.


드론 보안을 위한 규정 및 제어 프레임워크의 필요성

전문가들은 드론의 사이버보안 문제를 해결하려면 더 나은 규정이 필요하다고 입을 모았다. 파커는 “드론 제품이 제공할 것으로 예상되는 소프트웨어 플랫폼과 통신 및 제어 장치를 보호하는 엄격한 사이버보안 통제장치로 드론 제품을 통제해야 하며 새로운 통제 프레임워크가 필요하다”라고 말했다.

규정과 프레임워크도 마련되고 있다. 미국 백악관이 2021년 발령한 행정 명령 13981에 따라 연방 기관은 본 행정명령에 명시된 드론의 연방 정부 사용을 평가하고 제한해야 한다. CISA는 위험을 완화할 사이버보안 모범 사례를 추천해 왔으며, 블루 UAS(Blue UAS)를 준수하는 드론에 집중하라고 독려하고 있다. 블루 UAS를 준수하는 드론은 연방 사이버 보안 표준을 충족하며 미 국방부의 인증을 받았다는 의미다.

CSO가 인터뷰한 전문가 대부분은 최근 드론의 사이버보안에 대한 관심이 높아졌다고 분석했다. KPMG의 앤더슨은 “드론의 사이버보안 문제는 더 이상 엔터프라이즈만의 문제가 아니다. 훨씬 더 광범위하고 복잡한 공학, 생산, 운영의 문제다. 소프트웨어 및 전자기기에 침투하고 드론과 클라우드 또는 엔터프라이즈 내 컴퓨팅 플랫폼을 오가는 통신 내용을 변경하는 등의 취약점을 고려한 새로운 접근방식이 필요한 시점이다”라고 덧붙였다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.