Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Research on the Application of Moving Target Defense (MTD) Technology to Neutralize Cyber-Electronic Warfare Attacks Against Unmanned Vehicles

무인 이동체 대상 사이버전자전 공격 무력화를 위한 이동 표적 방어(MTD) 기술 적용에 관한 연구

  • Received : 2025.09.16
  • Accepted : 2025.09.30
  • Published : 2025.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

The recent battlefield environment is characterized by the active use of unmanned vehicles, such as drones. To neutralize the capabilities of adversaries utilizing these vehicles, anti-drone technologies targeting drones, a representative unmanned vehicle, have been developed and are actively traded for military purposes. Common anti-drone technologies include physical destruction or capture, electronic warfare-based radio signal jamming/disruption, and GPS spoofing. This paper presents an overview and technological trends of Moving Target Defense (MTD) technology, which utilizes cyber-electronic warfare attacks based on signal analysis, considered an advanced attack among various anti-drone technologies. This paper also presents methods and effectiveness for applying this technology to unmanned vehicles.

최근 발발하는 전장 환경은 드론과 같은 무인 이동체를 적극 활용하는 추세이다. 이에 무인 이동체를 활용하는 상대국의 전력을 무력화하기 위해 대표적인 무인 이동체인 드론을 대상으로 하는 안티 드론 기술이 개발되어 군사적 목적으로 활발하게 연구되고 있다. 일반적인 안티 드론 기술은 물리적인 파괴 또는 나포 기술, 전자전 방식의 전파 신호 재밍/교란, GPS Spoofing 등이 있다. 본 논문에서는 다양한 안티 드론 기술 중에서도 고도화된 공격으로 평가되는 신호 분석을 통한 사이버전 자전 공격 기술을 활용한 안티 드론 기술을 무력화하기 위해 이동 표적 방어(MTD) 기술에 대한 개요 및 기술 동향을 소개하고 무인 이동체에 적용하는 방안과 효과에 대해 제시한다.

Keywords

1. 서론

최근 발발하는 전장 환경은 드론과 같은 무인 이동체를 적극 활용하는 추세이다.[1,2,3] 이에 무인 이동체를 활용하는 상대국의 전력을 무력화하기 위해 대표적인 무인 이동체인 드론을 대상으로 하는 안티 드론 기술이 개발되어 군사적 목적으로 활발히 개발 및 활용되고 있다.[4,5,6] 일반적인 안티 드론 기술은 물리적인 파괴 또는 나포 기술, 전자전 방식의 전파 신호 재밍/교란, GPS Spoofing 등이 있다.[7]

이런 방식의 안티 드론 기술은 비용/효율적인 측면에서 불리한 상황이 있다. 예를 들어, 물리적인 파괴의 경우 상대국의 저가형 드론을 막기 위해 탄약을 소모하는 경우가 있을 수 있고 그물을 사용하여 드론을 나포하는 방식의 경우도 드론이 많은 경우 모든 드론을 나포하는 것에 한계가 있다. 전자전 방식의 전파 신호 재밍/교란, GPS Spoofing과 같은 기술을 사용하는 경우에는 일반 아군 또는 민간의 전자장치도 교란될 수 있다.

따라서 이러한 기존의 비용/효율적인 한계를 극복하기 위해 더욱 정교한 방식인 사이버전자전 공격 기술을 활용한 안티 드론 기술 개발이 추진[8]되고 있으며, 본 논문에서는 다양한 안티 드론 기술 중에서도 고도화된 공격으로 평가되는 신호 분석을 통한 사이 버전자전 공격 기술을 활용한 안티 드론 기술을 무력화하기 위한 이동 표적 방어(MTD) 기술에 대한 개요 및 기술 동향에 대해 소개하고 무인 이동체에 적용하는 방안과 효과에 대해 제시한다.

2. 기술 동향

2.1 사이버전자전 공격 기술

드론을 대상으로 공격하는 사이버전자전 기술을 통신 방법에 따라 크게 WiFi 신호 기반 드론 공격 기술과 RF 신호 기반 드론 공격 기술로 나뉠 수 있다. 사이버전자전 공격 기술의 해석 및 정의에 따라 WiFi 신호 기반의 드론 공격 기술은 단순 사이버 공격 기술로 볼 수 있지만, 본 논문에서의 사이버전자전 공격 기술은 유선 신호를 사용하지 않는 무선 신호를 통신 매체로 사용하는 사이버 공격을 사이버전자전 공격 기술로 해석 및 정의한다.

2.1.1 WiFi 신호 기반 드론 공격 기술

WiFi 신호 기반 드론 공격 기술에는 대표적으로 Evil Twin 공격이 있다.[9] Evil Twin 공격이란 정상 AP를 이용하는 드론에 인증 세션을 해제하고 공격자가 준비한 Rogue AP에 접속하도록 유도하여 접속 세션을 공격자로 변경할 수 있다. 공격이 가능한 원인은 크게 3가지이다. WiFi 연결 해제 패킷에 인증이 없다는 점, 일반적인 WiFi 네트워크에서 AP의 비컨 신호가 비암호화된다는 점과 WiFi 클라이언트는 신호의 세기가 센 AP에 접속한다는 점이다. 공격의 전체 흐름도는 아래와 같다.

SOBTCQ_2025_v25n4_55_2_f0001.png 이미지

(그림 1) Evil Twin 공격 흐름도

해당 공격은 안티드론 공격의 탐지, 식별, 무력화 관점에서 WiFi 무선 신호를 탐지하여 WiFi 프로토콜 기반으로 신호를 식별 및 분석하고 분석된 정보를 이용해 Beacon 신호를 스푸핑하여 드론 제어권을 탈취한다는 점에서 본 논몬에서 정의하는 사이버전자전의 개념과 유사하다고 볼 수 있다. 위 공격을 통해 공격자는 드론 세션을 탈취한 후 추가적인 정교한 공격을 진행할 수 있다. 예를 들어 일반적인 운영체제에서 동작하는 불필요한 서비스에 접근하여 내부 파일 시스템을 조작하거나 서비스 로직 변경, 드론이 사용하는 특정 프로토콜 기반의 메시지를 정교하게 조작하여 의도치 않은 동작을 하도록 유발하는 식이다.

2.1.2 RF 신호 기반 드론 공격 기술

RF 신호 기반 드론 공격 기술은 앞서 소개한 WiFi 신호를 사용하지 않고 별도의 RF 텔레메트리 모듈을 이용한 통신 매체를 이용하는 드론에 대한 공격 기술이다. RF 통신의 특성상 일반적으로 표준화되어 공개된 WiFi 신호와는 달리 인코딩/디코딩 방식, 부호화/복호화 방식 등에 대해 신호 분석을 먼저 진행해야 한다. 일반적으로 이러한 과정은 전자전 영역으로 분류되고 있다.[10] 첫 번째 단계에서 RF 신호에 대한 식별 및 분석이 이루어지고 나면 두 번째 단계에서 드론 공격 수행을 위해 드론이 사용 중인 메시지에 대한 분석이 이루어져야 한다. 이는 애플리케이션 계층에서 송/수신할 때 처리하는 메시지 포맷을 분석하는 일이며, 일반적으로 사이버전 영역으로 분류된다. 예를 들어 메시지 포맷이 알려져있지 않은 경우에는 애플리케이션을 역공학하여 알아내거나 프로토콜 역공학을 이용해 알아낸다. 만약 알려진 메시지 포맷인 경우에는 이를 이용하여 공격 메시지를 조합하고 드론으로 전송하는 방법으로 드론을 공격한다.[11,12] 공격의 전체 흐름도는 아래와 같다.

SOBTCQ_2025_v25n4_55_3_f0001.png 이미지

(그림 2) RF 신호 기반 드론 공격 기술

무인 이동체의 특성상 다양한 통신 방법과 공격 기법이 있기 때문에 본 논문에서는 가장 기본이 되는 RF 신호 기반 드론 공격 기술에 대해 알려진 연구 사례 중 공개된 오픈소스 드론 메시지 포맷인 MAVLink 메시지 포맷을 이용하여 RF 신호 기반 드론 공격하는 기법[11,12]을 이동표적방어(MTD) 기술을 적용하여 무력화하는 방안을 제시하고 그 효과를 제시하고자 한다.

2.2 이동 표적 방어(MTD) 기술

이동 표적 방어(이하, MTD) 기술은 네트워크 주소 이동 기술이라는 연구로 많이 진행된 바 있다.[13] 일반적으로 네트워크 주소 이동 기술은 서로 다른 노드 간 통신을 수행할 때 네트워크 식별자를 주기적으로 변경해 공격을 어렵게 만드는 기술이다. 네트워크 주소 이동 기술은 크게 3가지 (Network Address Mutation, Fingerprint Mutation, Decoy Node Operation)로 구성된다.[13]

Network Address Mutation 기술은 통신 주체의 주소를 변환시키는 방식으로 실제 주소를 변환시키는 방식과 가상 주소를 실제 주소와 매핑한 뒤, 외부에 노출된 가상 주소만 변환하는 방식이 있다. 해당 기술을 사용하면 공격자 입장에서 공격 표면이 급격히 증가되는 효과를 얻을 수 있어 공격 대상을 쉽게 특정하지 못한다는 장점이 있다. 그러나 통신 성능이 낮아진다는 단점도 존재한다. 해당 기술 관련 연구에는 MT6D[14], OF-RHM[15], RHM[16], NASR[17] 등이 있다.

Fingerprint Mutation 기술은 대상 서버의 OS/서비스 종류 등의 정보를 정확하게 특정하지 못한 상태에서는 공격이 어려운 점을 이용한 기술로, TCP 핸드 쉐이크 과정에서 메시지를 조작하여 OS나 실행중인 서비스에 대한 거짓 정보를 전달하는 방법과 공격자의 의심스러운 트래픽에 거짓 응답을 보내 교란하는 방법 2가지가 있다. 해당 기술 관련 연구에는 Fingerprint Scrubbing[18], SDN-Based Fingerprint Hopping[19,20] 등이 있다.

Decoy Node Operation 기술은 일반 IT 시스템의 허니팟과 유사하며 공격자가 공격 대상을 찾기 위해 스캐닝할 때 거짓 노드를 노출시켜 타겟 식별 활동을 기만할 수 있는 기술이다. 해당 기술 관련 연구에는 Decoy-based MTD[21], HIDE[22], DESIR[23] 등이 있다.

본 논문에서는 이러한 기술 중 Network Address Mutation, Fingerprint Mutation 기술을 대표적인 무인 이동체인 드론에 적용하여 앞서 설명한 RF 신호 기반 사이버전자전 기술을 무력화하는 방안에 대해 제시하고 그 효과를 제시한다.

3. MTD 기술 적용 방안

3.1 MTD 변이 대상 및 변이 주기

이전의 알려진 연구 기술들의 경우에는 네트워크 주소 변이 기술은 TCP/IP 계층에서 주로 IP Address, Port Number를 MTD 기술의 변이 대상으로 설정하였다. 또한 Fingerprint Mutation 기술은 TCP/IP 핸드 쉐이크 과정에서 OS정보 등을 변이 대상으로 설정하였다. 본 논문에서 타겟으로 하는 대표적인 무인 이동체인 드론의 경우 TCP/IP 계층의 통신을 하는 제품도 있지만, 일반적인 경우 RF 신호 기반의 통신을 지원하고 드론 메시지로는 오픈 소스 기반의 MAVLink 메시지를 기본적으로 사용한다. 통신방법이 다르더라도 MTD라는 기술의 기본적인 개념과 컨셉은 동일하며 동일한 원리로 다른 통신 매체에도 적용할 수 있다는 점을 고려하여 본 논문에서는 PX4라는 오픈 소스 드론 비행 컨트롤러 소프트웨어와 MAVLink 라는 오픈소스 경량 메시지 프로토콜을 사용하는 드론 시스템에 대해 MTD 기술을 적용하고 그 효과를 제시한다.

MAVLink 메시지는 소형 비행체에 사용하기 적합하게 디자인된 경량 메시지 프로토콜이다. 기본적으로 v1과 v2 2가지 버전이 있으며 기본 구조는 아래 그림과 같다.

SOBTCQ_2025_v25n4_55_4_f0001.png 이미지

(그림 3) MAVLink 구조

본 논문에서는 MAVLink 메시지를 사용하는 드론에 MTD 기술을 적용하기에 위 MAVLink 메시지 구조에서 일부 필드를 선정하여 주기적으로 변이를 수행하고자 한다. MAVLink 메시지는 위와 같이 v1, v2 2가지 버전이 있지만 기본적으로 SYSID, COMPID를 이용해 MAVLink 메시지를 사용하는 시스템 및 컴포넌트를 식별한다. 그 중 SYSID는 드론과 같이 시스템을 식별하는 필드이며 일반적으로 TCP/IP 계층에서 익숙한 IP Address와 대응되는 개념이다. COMPID는 드론과 같은 시스템 내 카메라, 미션컴퓨터, 센서 등의 내부 컴포넌트를 식별하는 필드이며 일반적으로 TCP/IP 계층에서 익숙한 Port Number와 대응되는 개념이다. 앞선 MTD 기술 동향의 Network Address Mutation 기술을 WiFi 통신을 사용하지 않고 RF 신호 기반 통신 드론에적용하기 위해 MTD 변이 대상을 SYSID, COMPID로 설계하였다.

이에 더해 MAVLink 메시지 구조에는 MSGID 필드가 있는데, 해당 필드는 MAVLink 메시지의 식별자로써 PX4와 GCS간의 통신을 수행할 때 메시지의 종류를 식별하기 위해 사용되는 필드이다. 예를 들어 HEARTBEAT, PING, STATUS_TEXT 등과 같은 MAVLink 메시지에서 지원하는 메시지의 종류를 표현하기 위해 존재하는 필드이다. 일반적으로 PX4와 GCS는 MAVLink 메시지를 받아 MSGID 필드를 확인하여 Payload를 어떻게 해석할지 확인하고 처리한다. 이러한 MSGID는 일반적으로 TCP/IP 프로토콜에서 상위 프로토콜의 종류를 알려주는 Protocol 필드와 유사한 개념이다. 앞선 MTD 기술 동향의 Fingerprint Mutation 기술은 일반적으로 Host OS의 정보, 서비스 종류 등을 변이하지만 드론의 경우 Host OS나 특별한 서비스가 없는 환경이기 때문에 MSGID 필드를 변이하는 방식으로 수정하여 드론에 적용하였다. MSGID 필드를 변이하면 공격자가 MAVLink 메시지 전문을 도청하더라도 Payload 정보를 해석하기 어려울 수 있다. 예를 들어 HEARTBEAT 메시지는 MSGID가 0번이며 아래 표와 같이 드론에서 현재 시스템 및 컴포넌트의 상태, 타입, 모드, MAVLink 프로토콜 버전 등에 대한 정보를 GCS에 전달하기 위한 메시지이다. 그리고 각 필드의 값은 정수형이기 때문에 해당 필드가 어떤 메시지의 필드인지 알아야 해석이 가능하다.

<표 1> HEARTBEAT 필드

SOBTCQ_2025_v25n4_55_4_t0001.png 이미지

이와 비교하여 COMMAND_ACK 메시지는 MSGID가 77이며 아래 표와 같이 드론으로 내린 명령의 결과를 ACK하는 메시지이다.

<표 2> COMMAND_ACK 필드

SOBTCQ_2025_v25n4_55_4_t0002.png 이미지

위 두 메시지를 보낼 때, MSGID 값만 서로 바꾸어 HEARTBEAT 메시지 Payload에 MSGID를 77, COMMAND_ACK 메시지 Payload에 MSGID 0으로 변이하여 송신하면 공격자는 해당 메시지를 수신하고 MSGID를 기준으로 해석하려고 하기 때문에 제대로된 정보를 획득할 수 없게 된다. 이는 기존의 Fingerprint Mutation 기술이 의도하는 바와 같이 공격자에게 공격에 필요한 정보를 주지 않는 효과를 가져온다.

이렇게 네트워크 계층에서는 SYSID, COMPID를 주기적으로 변이하는 변이 대상으로 삼아 공격자가 타겟 식별을 하기 어렵도록 설계를 하였고, 호스트 계층에서는 MSGID를 주기적으로 변이하는 변이 대상으로 삼아 공격자가 메시지를 분석하여 공격에 필요한 정보를 획득하기 어렵도록 설계하였다. 예를 들어 지상통제기와 드론은 SYSID, COMPID를 주기적으로 변경하며 통신을 하는 상황에서 공격자는 신호를 감청하여 네트워크 식별자를 수집하고 타겟을 식별한다. 특정 시점에 식별한 타겟으로 공격하는 경우 실제 통신 식별자는 다른 값으로 변경되어 공격이 실패하게 된다. 해당 개념을 그림으로 표현하면 아래와 같다.

SOBTCQ_2025_v25n4_55_5_f0001.png 이미지

(그림 4) 네트워크 계층 MTD 자가변이

SYSID와 COMPID를 주기적으로 변경하는 네트워크 계층 MTD 자가변이를 수행하면 공격자 입장에서 식별한 타겟 대상으로 공격을 시도하더라도 공격이 먹히지 않고, 공격 대상이 너무 많이 식별되어 공격 대상 식별이 어려워진다.

SOBTCQ_2025_v25n4_55_5_f0002.png 이미지

(그림 5) 호스트 계층 MTD 자가변이

또한 위 그림과 같이 MSGID를 주기적으로 변경하는 호스트 계층 MTD 자가변이를 수행하면 공격자 입장에서 수집한 공격 대상의 MAVLink 메시지를 정상적으로 분석하지 못하고 변이된 MSGID를 기반으로 해석하기 때문에 잘못된 정보를 획득할 뿐만 아니라 분석이 실패하여 최종 공격이 실패할 확률이 높다. 앞서 설명한 MTD 변이 대상을 정리하면 아래 표와 같다.

<표 3> MTD 변이 대상

SOBTCQ_2025_v25n4_55_5_t0001.png 이미지

정리하면 MAVLink 메시지를 사용하는 드론에 MTD 기술을 적용하기 위해 MAVLink 메시지의 네트워크 계층인 SYSID, COMPID 필드를 자가 변이하여 공격자의 타겟 식별 활동을 방해하는 효과를 기대하고, 호스트 계층의 MSGID 필드를 자가 변이하여 공격자의 공격 정보 획득 활동을 방해하는 효과를 기대한다.

여기서 한가지 고려해야 할 점은 변이 주기이다. 만약 변이 주기가 너무 느린 경우에(e.g. 10분) 네트워크 식별자 또는 호스트 정보를 자가 변이하더라도 공격자는 실시간으로 획득한 네트워크 식별자를 이용해 공격을 시도하게 되면 세션 유지 시간인 10분 안에 공격을 시도할 수 있다. 따라서 변이 주기는 최대한 빠르면 좋지만 시스템의 성능에 영향을 미쳐 드론이 정상적으로 미션 수행에 방해가 될 수 있다. 본 논문에서는 자가변이 주기 성능을 최대 0.1초 주기로 제안한다. 그 이상 빠르게 자가 변이를 수행할 경우 GCS와 정상 통신이 되지 않는 문제가 발생할 수 있다.

3.2 MTD 변이 전략

MTD 변이 대상이 정해진 상황에서 실제 MTD 기술을 드론에 적용할 때에는 2가지 전략을 사용하였다. 일반적인 상황에 쓰이는 일반형 MTD 자가변이 전략과 공격자의 특성에 맞게 적응적으로 변하는 적응형 MTD 자가변이 전략이다.

3.3 일반형 MTD 자가변이

일반적인 MTD 자가 변이 전략으로 MTD 기술이 적용된 드론의 운용자가 운용 전 MTD 변이 주기만 설정하고 변이 범위 등에 대해 별도로 지정을 하지 않고 앞선 MTD 자가 변이 대상을 그대로 적용하여 MTD 자가 변이를 수행하는 전략이다. 실제 MTD 기술을 운용할 때 각각의 필드 별로 변이 범위를 지정하고 변이 대상을 직접 지정하는 것은 MTD 기술과 공격자의 특성을 잘 알고 있는 사용자가 아닌 경우 효율적이지 않기 때문에 일반적인 기준을 가지고 MTD 변이 대상과 MTD 변이 범위를 고정적으로 지정하였다. 따라서 일반형 MTD 자가변이는 아래 표의 특성을 가진다.

<표 4> 일반형 MTD 자가변이 특성

SOBTCQ_2025_v25n4_55_6_t0001.png 이미지

일반형 MTD 자가변이 전략은 공격자가 MTD 기술의 동작 알고리즘을 알고있다는 가정 하에 변이 주기가 커질수록 공격당할 확률이 높아진다는 단점이 있고 변이 주기는 한번 설정된 경우 운용 중에 변경하기 어렵기 때문에 공격자가 변이 시퀀스를 파악한 경우 공격 성공 확률이 높아질 수 있다. 물론 변이 주기를 0.1초와 같이 짧게 설정할 경우 변이 시퀀스를 알고 있더라도 공격자가 실시간으로 대응하기 어려울 수 있다.

3.4 적응형 MTD 자가변이

적응형 MTD 자가변이 전략은 이러한 일반형 MTD 자가변이 전략의 단점을 보완하기 위해 공격자의 특성에 맞게 적응적으로 변하는 전략을 취한다. 적응형 MTD 자가변이에는 공격자의 공격을 회피하기 위해 크게 3가지의 세부 전략이 존재한다. 첫 번째는 ADAPTIVE_NETWORK_EVASION(네트워크 회피형) 전략, 두 번째는 ADAPTIVE_VULNERABILITY_EVASION(취약점 회피형) 전략, 세 번째는 ADAPTIVE_ATTACK_CYCLE(공격주기 적응형) 전략이다.

3.4.1 네트워크 회피형 MTD

네트워크 회피형 MTD 전략은 일반형 MTD 자가변이 전략을 기본적으로 수행하되 아래 (그림 6)과 같이 공격자가 식별한 타겟 SYSID, COMPID로 MAVLink 공격 페이로드를 탑재한 메시지를 확인하고 타겟 SYSID를 블랙 리스트에 추가하는 방식의 전략이다. 타겟 SYSID가 블랙리스트에 추가되면 일반형 MTD 자가변이를 수행할 때 블랙리스트에 저장된 SYSID로 변이가 일어나지 않도록 적응적으로 자가변이를 수행한다. 예를 들어 SYSID 11은 블랙리스트로 인해 다른 값으로 변이한다.

SOBTCQ_2025_v25n4_55_6_f0001.png 이미지

(그림 6) 네트워크 회피형 MTD 개념 구성도

이러한 전략에는 몇 가지 문제가 존재한다. 첫 번째 문제는 공격자가 SYSID 1부터 255까지 스캔을 수행하는 경우이다. 이런 상황에서 네트워크 회피형의 이상적인 동작 방식대로라면 1부터 255까지를 블랙리스트에 등록해 MTD 자가변이를 시도할 때 어느 SYSID로도 자가 변이할 수 없게 되는 상황이 생긴다. 그 결과 GCS와 드론 간의 정상 통신마저 끊겨 공격자는 DoS 공격의 효과를 불러일으킬 수 있다는 점이다. 본 논문에서 제시하는 네트워크 회피형 MTD 자가변이 전략은 이러한 문제를 해결하기 위해 블랙리스트의 크기를 고정적으로 지정하고 공격자의 타겟 SYSID가 식별될 때마다 선입선출 방식으로 블랙리스트를 업데이트한다. 이런 방식으로 문제를 해결하면 공격자 입장에서 타겟 시스템으로 스캔을 수행하더라도 최근 N건의 공격 메시지에 대해 공격을 회피할 수 있게 된다.

두 번째 문제는 구현상의 문제이다. 랜덤 시퀀스는 고정되어 있는데 블랙리스트의 SYSID는 공격자의 공격 메시지마다 가변적으로 변하기 때문에 랜덤 값과 블랙리스트가 겹쳐지는 문제가 발생한다. 예를 들어 현재 SYSID는 1이고 랜덤 시퀀스에 따른 SYSID 변화는 1->4->24->11->7->32라고 가정하고, 블랙리스트에는 4, 24, 11, 7이 있는 상황이다. MTD 자가 변이가 수행되면 다음 랜덤 SYSID 값은 4가 되어야 하는데 블랙리스트에 의해 4로 변경되지 못한다. 이 때 다음 SYSID를 어떤 값으로 자가 변이해야 할지 결정되어야 한다. 본 논문에서는 이러한 구현 상의 문제를 해결하기 위해 시퀀스 상의 바로 다음 랜덤 값으로 자가 변이 값을 결정하였다. 위 예시의 경우 다음 랜덤 SYSID 값은 4이지만 블랙리스트에 의해 그 다음 랜덤 SYSID 값인 24로 넘어가고 마찬가지로 블랙리스트의 값이므로 11, 7로 넘어간 후 최종적으로 32의 값으로 결정된다.

이로써 2가지의 문제점을 극복한 네트워크 회피형 MTD 자가변이 전략을 구현하여 적용하면 공격자가 MTD 랜덤 채널을 모르는 상황에서 한가지 채널(SYSID)로 공격이 성공할 때까지 공격 메시지를 보내는 Brute Force 공격을 수행하는 경우 블랙리스트로 등록되어 시간이 지나도 해당 SYSID로 자가 변이하지 않아 공격이 실패하는 효과를 기대할 수 있다.

3.4.2 취약점 회피형 MTD

취약점 회피형 MTD 전략은 네트워크 회피형 MTD 전략과 마찬가지로 일반형 MTD 자가변이 전략을 기본적으로 수행하되 아래 (그림 7)과 같이 공격자가 식별한 타겟 MSGID로 MAVLink 공격 페이로드를 탑재한 메시지를 확인하고 타겟 MSGID를 블랙 리스트에 추가하는 방식의 전략이다. 타겟 MSGID가 블랙리스트에 추가되면 일반형 MTD 자가변이를 수행할 때 블랙리스트에 저장된 MSGID로 변이가 일어나지 않도록 적응적으로 자가변이를 수행한다. 공격자는 식별한 MSGID에 대한 정보를 바탕으로 공격도구를 사용하여 실제 공격을 진행하지만 해당 MSGID에 대한 정보를 획득할 수 없고 통신도 받아들여지지 않기 때문에 최종 공격에는 실패한다. 해당 개념에 대한 구성은 아래 그림과 같다.

SOBTCQ_2025_v25n4_55_7_f0001.png 이미지

(그림 7) 취약점 회피형 MTD 개념 구성도

이러한 전략에는 몇 가지 문제가 존재한다. 첫 번째 문제는 드론과 GCS 간에는 여러 종류의 MAVLink 메시지가 전달되는데, 모든 MAVLink 메시지 별로 MSGID를 랜덤으로 다르게 설정할 경우 수신 측에서 원본 MSGID로 복구할 때 수신한 랜덤 값의 원본이 무엇인지 모른다. 예를 들어 1초 주기로 MSGID를 랜덤한 값으로 변경하는 상황을 가정해보면, 1초 내에 발생하는 3개의 메시지 종류가 각각 랜덤 시퀀스에 의해 메시지1(3->5), 메시지2(13->2), 메시지3(45->11)과 같이 자가 변이한다. 수신 측에서는 모든 메시지가 유실없이 수신하면 랜덤 시퀀스대로 정확하게 복구할 수 있다. 하지만 무선 RF 신호의 특성 상 유실되는 메시지가 생긴다. 메시지2가 유실되는 상황에서는 메시지1(5->3), 메시지2(유실), 메시지3(11->13)으로 복원된다. 메시지 3은 랜덤 시퀀스 상 3번째 값인 45로 복구되어야 하지만 랜덤 시퀀스 상 2번째 값인 13으로 복원된 것이다. 이와 같은 문제를 해결하기 위해 본 논문에서는 시간 주기 단위로 랜덤 시퀀스를 동기화하는 방식으로 문제를 해결하였으며 원본 메시지 값과 랜덤 시퀀스 값을 해시 알고리즘의 입력으로 활용하여 MSGID 값을 자가 변이하도록 설계하였다.

두 번쨰 문제는 네트워크 회피형 MTD 전략의 두 번째 문제와 동일한 구현 상의 문제이며 동일한 방법으로 해결하였다. 이로써 2가지의 문제점을 극복한 취약점 회피형 MTD 자가변이 전략을 구현하여 적용하면 공격자가 공격에 활용하는 MSGID를 사용하지 않음으로써, 공격자에게 공격에 필요한 정보 노출 최소화의 효과도 기대할 수 있고 미리 준비된 취약점 공격 도구로 공격 페이로드 메시지를 송신하더라도 MSGID 값이 맞지 않아 통신이 수락되지 않고 공격에 실패하는 효과를 기대할 수 있다.

3.4.3 공격주기 적응형 MTD

공격주기 적응형 MTD 전략은 일반형 MTD 자가 변이 전략을 기본적으로 수행하되 아래 (그림 8)과 같이 공격자의 공격 메시지의 주기를 확인하여 공격 속도가 높으면 변이 속도도 높이고, 공격 속도가 낮으면 변이 속도도 낮추도록 적응적으로 자가 변이를 수행한다. 이 때 변이 주기는 아래의 수식을 이용해 계산이 필요하다. 1초당 공격 횟수(Hz)인 공격주기를 f_a, 1초당 네트워크 주소를 바꾸는 횟수인 변이 속도를 f_m, 공격 사이의 시간 간격인 공격 간격(초)을 t_a, 주소를 얼마나 자주 바꿀 것인지의 간격(초)인 변이 간격를 t_m이라고 했을 때, 아래의 수식을 이용해 변이 주기를 계산한다.

ta = 1/fa       (1)

tm = 1/fm       (2)

이 전략의 장점은 공격자가 공격을 하지 않거나 낮은 주기로 수행할 때는 공격 성공 확률이 크게 낮기 때문에 높은 비용이 드는 변이 주기 성능을 최대치로 끌어올리지 않아도 되며 이로 인해 드론의 본래 미션에 시스템 자원을 많이 할당하여 수행할 수 있다. 공격주기 적응형 MTD 전략의 전체 개념에 대한 구성은 아래 그림과 같다.

SOBTCQ_2025_v25n4_55_8_f0001.png 이미지

(그림 8) 공격주기 적응형 MTD 개념 구성도

이러한 전략에는 1 가지 문제가 존재한다. 공격자의 공격주기를 계산하고 변이 주기를 적응형으로 변경할 때 이상적으로는 아무런 문제가 없지만, MTD 서버와 클라이언트가 서로 동일한 공격 주기를 갖도록 해야한다. 예를 들어 MTD 클라이언트인 드론에서 공격자의 공격 주기 계산 값이 1Hz인데, MTD 서버인 GCS에서는 공격 주기 계산 값이 5Hz라면 변이 주기가 달라지게 되어 MTD 클라이언트와 서버의 변이 주기 기반 동기화가 해제된다. 이로 인해 정상적으로 MTD 자가 변이 값을 복원하지 못해 통신이 불가한 문제가 발생한다. 이를 해결하기 위해 별도의 고정 길이 공격주기 모니터링 큐를 두어 서로 동기화할 수 있도록 하여 문제를 해결하였다.

이로써 공격주기 적응형 MTD 자가변이 전략을 구현하여 적용하면 공격자의 공격 속도에 맞게 변이 속도를 동적으로 조절함으로써, 시스템 자원을 효율적으로 사용하면서 공격 방어 효과를 높일 수 있는 효과를 기대할 수 있다.

3.3.4 MTD 전략 성능 비교·분석 결과

앞서 제시한 각 MTD 전략이 방어하고자 하는 공격 시나리오별 변이 주기 슬롯당 공격 성공률을 시뮬레이션하여 측정하였다. 공격 성공률 측정은 1시간 동안의 공격 성공 횟수 / 공격 시도 횟수로 계산하였다.

첫 번째, 일반 수동 공격 시나리오는 공격자가 매 0.1초 변이 주기마다 공격 시점 기준 지난 5초 간의 식별자 측정 값으로 sysid, compid, msgid를 설정하여 공격을 수행하는 시나리오이다. 두 번째, 타겟 고정 자동 공격 시나리오는 최초 관측된 특정 sysid, compid, msgid를 동일한 값으로 설정하여 공격을 수행하는 시나리오이다.

<표 5> 공격 시나리오별 공격 성공률

SOBTCQ_2025_v25n4_55_8_t0001.png 이미지

시뮬레이션 측정 결과 MTD 적용 시 공격이 성공하지 못하는 것을 확인하였다. 1시간동안 진행한 시뮬레이션에서는 측정되지 않았지만, 일반형 MTD의 경우 푸아송 확률 분포에 따라 이론상 극히 낮은 확률로 우연히 식별자가 들어맞아 공격이 성공할 확률도 있다. 또한 네트워크/취약점 회피형의 경우 블랙리스트에 속하지 못한 최초 공격 메시지의 경우도 극히 낮은 확률로 공격이 성공할 확률이 있다. 하지만 우연히 식별자가 맞아 공격이 성공하는 확률은 극히 낮을 뿐만 아니라 공격에 성공 하더라도 지속적으로 자가변이하기 때문에 공격 유지가 불가한 효과를 얻을 수 있다.

본 논문에서 제시하는 드론에 적용가능한 MTD 기술은 다른 MTD 기술과 비교하여 적용 범위의 차이를 보인다. 기존 MTD 기술은 TCP/IP 기반 프로토콜에서 동작하는 연구가 주를 이루고 있고, 드론에서 사용하는 MAVLink 메시지를 사용하는 시스템은 TCP/IP 기반 프로토콜을 사용하지 않는 경우가 있기 때문에 본 논문에서 제시하는 MTD 기술을 적용하면 타 MTD 기술 대비 TCP/IP 기반에서 동작하지 않는 드론에 적용 시 더욱 생존성을 높일 수 있는 장점이 있다.

4. 결론

기존의 전통적인 TCP/IP 게층에서 제안된 MTD 기술을 본 논문에서 제안한 방식을 활용하여 무인 이동체에 적용하면 미래 전장 환경에서 저비용 고효율을 지향하는 사이버전자전 공격에 대비하여 드론의 생존성을 보장할 수 있다. 그러나 현재까지 이런 저비용 고효율의 사이버전자전 공격은 실제로 발생한 사례가 극히 드물고, 공격자가 어떤 공격을 준비하는지 알 수 없는 환경이기 때문에 이에 대한 대비책을 세우는데 한계가 있다. 하지만 위협에 대한 대비는 발생하고 나서 하는 것이 아니라 미리 준비하는 것이 피해를 최소화할 수 있기 때문에 본 연구를 발전시켜 최대한 현실성있는 기술로 발전시킬 필요가 있다.

또한 본 연구에서 제시한 MTD 기술의 드론 적용 방안은 MTD 기술이 가지고 있는 고질적인 문제점인 통신 품질의 저하를 그대로 가지고 있으며 오픈소스 MAVLink 메시지 프로토콜 자체의 암호화 미적용, 인증 등에 관한 취약 요인은 그대로 존재하기 때문에 암호화, 인증, 부인 방지 등의 보안 기술과 Decoy 운용, 무인 이동체 환경에서의 이상 탐지 등과 같은 추가 연구를 통해 기술을 보완할 필요가 있으며, 향후 MAVLink 메시지 프로토콜 뿐만 아니라 무인체에 적용되는 각 메시지 프로토콜의 성능 문제를 고려한 암호화 방식, 키 관리 방식에 대한 후속 연구가 필요하다. 또한 이러한 암호화/인증/키관리 등의 메커니즘이 적용된 메시지에 대한 MTD 기술 적용 방안도 고려하여 후속 연구를 진행하여 다양한 무인체에 적용할 수 있도록 준비가 필요하다.

References

  1. 김문국, 신인태, 이재국, "현대 전쟁에서의 드론역할 분석을 통한 차세대 드론 발전 방향 연구: 걸프전쟁부터 우크라이나 전쟁까지를 중심으로", 한국산학기술학회논문지, 제24권, 제10호, pp. 656-664, 2023. https://doi.org/10.5762/KAIS.2023.24.10.656
  2. 백승원, 권기정, 김종환, "소모성 드론의 군사적 활용방안에 대한 연구", 국방로봇학회논문집, 제3권, 제3호, pp. 1-6, 2024.
  3. 이영욱, "드론의 효과적인 군사분야 활용에 관한 연구", 융합보안논문지, 제20권, 제4호, pp. 61-70, 2020. https://doi.org/10.33778/kcsa.2020.20.4.061
  4. 심준형, 황의천, 손창근, 류연승, "드론 사고 사례와 기술 동향에 따른 안티드론 대응 방안", 한국산학기술학회논문지, 제24권, 제2호, pp. 651-659, 2023. https://doi.org/10.5762/KAIS.2023.24.2.651
  5. 김상현, 이상학, "안티드론 연구 동향과 실질적 활용 방안 연구", 시큐리티연구, 제18호, pp. 287-310, 2024.
  6. 박찬정, 김기용, "안티드론 기술의 특허동향 분석 : 무력화 수단 및 방법을 중심으로", 한국차세대컴퓨팅학회 논문지, 제16권, 제2호, pp. 7-17, 2020.
  7. 우찬송, 김경수, "게임체인저, 드론에 대응할 안티드론(Anti-Drone)의 기술과 대응전략", 국방과 기술, 제515호, pp. 122-131, 2022.
  8. 편집부, "LIG넥스원, 고려대·ETRI와 함께 국내 첫 사이버전자전 기술 개발 추진: 첩보분석 기술, 무선 통신신호 전자적 파괴기술 개발 진행", 국방과 기술, 제524호, pp. 45-46, 2022.
  9. 김태현, 이규호, 서민재, 방인규, "와이파이 기반드론 네트워크에서 Evil Twin 공격 구현에 관한 연구", 한국통신학회 하계종합학술발표회, pp. 550-551, 2023.
  10. 이치호, 김태현, 신동조, 신욱현, 정운섭, "정보전자전 시스템에서 전자전지원 모델과 전자정보수집 모델의 비교에 대한 연구", 한국통신학회 동계종합학술발표회 논문집, pp. 1205-1206, 2021.
  11. 이우진, 서경덕, 채병민, "오픈소스 드론에 대한 보안 위협과 Telemetry Hijacking을 이용한 군용 드론 공격 시나리오 연구", 융합보안논문지, 제20권, 제4호, pp. 103-112, 2020. https://doi.org/10.33778/kcsa.2020.20.4.103
  12. 서정규, 지일환, 이주현, 서정책, "상용 드론 대상 사이버 보안 취약점 검증 및 대응방안 제시", Journal of Platform Technology, Vol. 12, No. 6, pp. 59-75, 2024. https://doi.org/10.23023/JPT.2024.12.6.059
  13. 박경민, 우사무엘, 문대성, 김익균, "네트워크 주소 이동 기술 동향", 전자통신동향분석논문지, 제32권, 제6호, pp. 73-82, 2017.
  14. M. Dunlop, et al, "MT6D: A Moving Target IPv6 Defense", Military Commun. Conf., Baltimore, MD, USA, pp. 1321-1326, Nov. 7-10, 2011.
  15. J. H. Jafarian, E. Al-Shaer and Q. Duan, "Openflow Random Host Mutation: Transparent Moving Target Defense Using Software Defined Networking", Proc. Workshop Hot Topics Softw. Defined Netw., Helsinki, Finland, pp. 127-132, Aug. 13, 2012.
  16. E. Al-Shaer, Q. Duan and J. H. Jafarian, 'Random Host Mutation for Moving Target Defense', in SecureComm 2012: Security and Privacy in communication Networks, Heidelberg, Berlin: Springer, pp. 310-327, 2012.
  17. D. Kewley, et al., "Dynamic Approaches to Thwart Adversary Intelligence Gathering", DISCEX01. Proc. IEEE, Anaheim, CA, USA, pp. 176-185, June 12-14, 2001.
  18. M. Smart, G. R. Malan and F. Jaharian, "Defeating TCP/IP Stack Fingerprinting", Usenix Security Symp., Denver, CO, USA, Aug. 14-17, 2000.
  19. P. Kampanakis, H. Perros and T. Beyene, "SDN-Based Solutions for Moving Target Defense Network Protection", IEEE Int. Symp. WoWMoM, Sydney, Australia, pp. 1-6, June 19, 2014.
  20. Z. zhao, F. Liu and D. Gong, "An SDN-Based Fingerprint Hopping Method to Prevent Fingerprinting Attacks", Security Commun. Netw., Vol. 2018, 2019. https://doi.org/10.1155/2017/1560594
  21. A. Clark, K. Sun and R. Poovendran, "Effectiveness of IP Address Randomization in Decoy-Based Moving Target Defense", IEEE Annu. Conf. Decision Contr., Florence, Italy, pp. 678-685, Dec. 10-13, 2013.
  22. J. H. Jafarian, et al., "Multi-dimensional Host Identity Anonymization for Defeating Skilled Attackers", Proc.ACM Workshop Moving Target Defense, Vienna, Austria, pp. 47-58, Oct. 24, 2016.
  23. J. Sun and K. Sun, "EDSIR: Decoy-Enhanced Seamless IP Randomization", Annu. IEEE Int. Conf. Comput. Commun., San Francisco, CA, USA, pp. 1-9, Apr. 10-14, 2016.