Silent Subversion: Sensor Spoofing Attacks via Supply Chain Implants in Satellite Systems

이 논문은 NASA 의 NOS3 시뮬레이션 환경을 활용하여 공급망 내 악성 부품이 탑재된 위성의 내부 센서 스푸핑 공격을 실증하고, 이를 통해 우주 임무의 무결성과 가용성을 위협하는 새로운 위협 벡터를 규명하며 대응 방안을 제시합니다.

핵심

🚀 핵심 이야기: "위성의 속을 훔쳐본 사기꾼"

1. 배경: 위성은 왜 위험할까요?

우리가 사용하는 통신, 날씨 예보, GPS 모두 위성에 의존합니다. 지구에 있는 관제사들은 위성이 어떻게 움직이고 있는지 **위성이 보내는 '보고서' (텔레메트리)**만 보고 판단합니다. 위성은 우주에 떠 있어 고칠 수 없기 때문에, 이 보고서가 거짓이라면 위성은 망가질 수 있습니다.

기존에는 지상에서 강력한 전파를 쏘아 위성의 신호를 가로채거나 (재밍), 위성이 보내는 신호를 가짜로 덮어씌우는 (스푸핑) 공격이 주로 연구되었습니다.

하지만 이 논문은 새로운 공격 방식을 보여줍니다.

"위성 내부에 이미 가짜 센서를 심어놓고, 위성이 스스로 거짓 보고서를 쓰게 만드는 것"

2. 비유: "위성이라는 고급 레스토랑"

이 상황을 한 가지 비유로 풀어보겠습니다.

• 위성 (Spacecraft): 고급 레스토랑입니다.
• 관제사 (Ground Operators): 레스토랑의 주인장입니다. 주인장은 주방에서 보내는 "요리 상태 보고서"만 보고 메뉴를 결정합니다.
• 부품 공급업체 (Vendor): 레스토랑에 식자재나 주방 기계를 납품하는 외부 업체입니다.
• 위성 내부 앱 (Flight Software): 주방의 요리사들입니다.

기존의 공격: 외부에서 주방 창문을 부수고 소리치거나, 주방에 들어와 요리사를 때리는 공격입니다. (지상에서의 전파 공격)

이 논문의 공격 (공급망 침투):

1. 침투: 악의적인 외부 업체가 레스토랑에 **'가짜 온도계'**를 납품합니다. 이 가짜 온도계는 진짜처럼 생겼고, 메뉴판 (소프트웨어) 에도 정상적으로 등록됩니다.
2. 잠복: 레스토랑이 문을 열기 전 (발사 전) 까지는 가짜 온도계가 아무 일도 하지 않습니다. 주인장은 "아, 이 기계는 정상이다"라고 생각합니다.
3. 작동: 레스토랑이 문을 열고 우주 (우주 공간) 에 떠 있는 순간, 가짜 온도계가 눈을 뜹니다.
4. 사기: 가짜 온도계는 진짜 온도계를 끄고, 자기가 만든 거짓 온도 데이터를 주방장 (주인장) 에게 보냅니다.
   • "주방이 너무 뜨겁습니다!" (실제로는 차갑지만)
   • "요리가 다 됐습니다!" (실제로는 아직 안 된 상태)
5. 결과: 주인장은 가짜 보고서를 믿고 잘못된 결정을 내립니다. (예: 불을 너무 세게 켜서 음식을 태우거나, 냉방을 너무 강하게 해서 식재료가 얼어붙게 함).

3. 이 공격이 얼마나 무서운가요? (3 가지 치명적 약점)

이 논문은 왜 이 공격이 기존 방어 시스템으로 잡히기 어려운지 세 가지 이유를 들었습니다.

1. 무조건적인 신뢰 (Implicit Trust):

   • 위성의 소프트웨어 (cFS) 는 "이 데이터가 올바른 형식이라면, 무조건 진짜라고 믿어라"라고 설계되어 있습니다.
   • 비유: 레스토랑 주인장이 "메뉴판에 적힌 대로라면, 누가 쓴 글이든 다 진짜 요리사라고 믿는다"는 것과 같습니다. 가짜 온도계가 진짜처럼 생긴 종이에 똑같은 글씨체로 글을 쓰면, 주인장은 구별할 수 없습니다.

2. 검사의 눈가림 (Forensic Blindness):

   • 지구에 있는 관제 시스템 (COSMOS) 은 "데이터가 왔나?"만 기록합니다. "이 데이터를 보낸 게 진짜 기계인지, 가짜 기계인지"는 기록하지 않습니다.
   • 비유: 주인장의 일기장에 "오늘 12 시에 주방에서 온도가 100 도라고 보고받음"만 적혀 있을 뿐, "누가 그 보고서를 썼는지"는 적혀 있지 않습니다. 나중에 수사를 해도 "누가 이 거짓말을 했는지" 알 수 없습니다.

3. 공급망의 투명성 부재:

   • 작은 위성 (Small Satellite) 은 비용 절감을 위해 외부 업체에서 만든 '블랙박스' 부품들을 많이 사용합니다.
   • 비유: 주방 기계를 사는데, 제조사가 "이 기계는 안전합니다"라고만 말하고 내부 구조를 보여주지 않습니다. 악의적인 제조사가 그 기계 안에 '가짜 온도계'를 숨겨 넣을 수 있다는 뜻입니다.

4. 실험 결과: "완벽한 사기극"

연구진은 NASA 의 시뮬레이션 환경에서 이 공격을 실제로 구현해 보았습니다.

• 성공: 악성 부품이 위성에 설치되고, 발사 후 활성화되었습니다.
• 은폐: 진짜 별 추적기 (Star Tracker) 를 끄고, 가짜 데이터를 보냈습니다.
• 결과: 지구의 관제사는 "별 추적기가 정상적으로 작동하고 있다"고 믿었습니다. 실제로는 위성이 엉뚱한 방향으로 돌고 있었을지 모릅니다.
• 증거: 관제사의 기록에는 "모든 게 정상"으로 남았습니다.

5. 해결책은 무엇인가요? (비유로 설명)

이 문제를 해결하려면 위성의 운영 방식을 바꿔야 합니다.

• 신원 확인 (Authentication): "이 데이터가 진짜 요리사 (부품) 가 쓴 것임을 증명하는 도장 (디지털 서명) 이 있어야만 받아들이자."
• 상호 검증 (Cross-check): "온도계가 뜨겁다고 해도, 다른 센서 (예: 연기 감지기) 와 비교해서 말이 되는지 확인하자."
• 감시 카메라 (Runtime Monitoring): "주방 안에서 누가 무엇을 하는지 실시간으로 감시하는 시스템을 설치하자."

6. 결론: 왜 이것이 중요한가요?

이 논문은 **"위성의 안전은 외부의 적으로부터만 지키는 것이 아니라, 내부의 부품 공급망에서도 지켜야 한다"**는 것을 경고합니다.

우리가 스마트폰을 살 때, 부품이 어디서 왔는지, 그 부품에 해킹 코드가 숨어있지는 않은지 잘 모릅니다. 위성도 마찬가지입니다. 이 작은 부품 하나가 위성의 임무 전체를 실패로 이끌 수 있다는 사실을 깨닫고, 부품 하나하나의 신원을 확인하고, 서로를 감시하는 새로운 시스템이 필요하다는 메시지를 전달합니다.

한 줄 요약:

"위성 내부에 숨겨진 가짜 부품이, 진짜처럼 가장하여 지구의 관제사들을 속여 위성을 망가뜨릴 수 있습니다. 이제 우리는 위성의 '내부 신뢰'를 다시 설계해야 합니다."

기술 요약

1. 문제 제기 (Problem Statement)

• 위협 배경: 기존 위성 보안 연구는 지상에서 이루어지는 외부 신호 간섭 (재밍, 업링크/다운링크 스푸핑) 이나 고권한 소프트웨어 침해에 집중해 왔습니다. 그러나 위성은 지상에서 쉽게 수리할 수 없으며, 임무 성공을 위해 정확한 원격 측정 (Telemetry) 데이터에 의존합니다.
• 공급망 취약점: 현대의 소형 위성 (Small Satellites) 은 비용 절감과 개발 속도 향상을 위해 상용 오프더셸 (COTS) 모듈과 글로벌 공급망을 활용합니다. 이러한 모듈은 종종 '블랙박스' 형태로 제공되며, 통합 과정에서 최소한의 검증만 거칩니다.
• 핵심 문제: 공급망을 통해 위성에 침투한 악성 컴포넌트가 위성 내부에서 합법적인 형식과 타이밍을 갖춘 가짜 센서 데이터를 생성하여 지상 관제소와 위성의 자체 추정기를 속일 수 있다는 위협은 아직 충분히 연구되지 않았습니다. 이는 위성의 상태 정보를 조작하여 임무 실패, 충돌, 또는 유해한 기동을 유도할 수 있는 치명적인 취약점입니다.

2. 방법론 (Methodology)

• 실험 환경: NASA 의 소형 위성 운영 시뮬레이터인 NOS3를 사용했으며, NASA 의 핵심 비행 소프트웨어인 cFS (Core Flight Software) 를 기반으로 구축되었습니다. 지상 관제 및 데이터 분석에는 COSMOS가 사용되었습니다.
• 공격 시나리오 (SOLO 프로젝트):
  • 목표: 별 추적기 (Star Tracker) 를 대상으로 함. 별 추적기는 위성의 자세 (Attitude) 를 결정하는 핵심 센서로, 지상 관제사가 가장 신뢰하는 데이터원 중 하나입니다.
  • 이식물 (Implant) 설계: 악성 cFS 애플리케이션인 SOLO를 개발했습니다. 이는 정상적인 보조 모듈처럼 보이도록 설계되어 통합 테스트를 통과합니다.
  • 작동 원리:
    1. 은밀한 활성화: SOLO 는 초기 통합 및 테스트 기간 동안 잠복 (Dormant) 상태로 있다가, 궤도 진입 후 특정 조건 (예: 일정 시간 가동) 이 충족되면 활성화됩니다.
    2. 명령 가로채기: 지상에서 별 추적기에 '활성화 (ENABLE)' 명령을 내리면, SOLO 는 이를 가로채고 실제 별 추적기에는 '비활성화 (DISABLE)' 명령을 보냅니다.
    3. 스푸핑 (Spoofing): SOLO 는 실제 별 추적기의 메시지 ID(MID), 패킷 구조, 타이밍 (Cadence) 을 완벽하게 모방하여 가짜 원격 측정 데이터를 Software Bus 를 통해 발행합니다.
    4. 지상 관제소 우회: 생성된 데이터는 지상 관제소 (COSMOS) 에 의해 합법적인 별 추적기 데이터로 인식되어 처리됩니다.

3. 주요 기여 (Key Contributions)

• 최초의 엔드 - 투 - 엔드 증명: 위성 공급망 이식물을 통해 내부에서 생성된 스푸핑 원격 측정 데이터가 지상 관제 시스템에 의해 완전히 합법적인 데이터로 받아들여지는 것을 최초로 시연했습니다.
• 새로운 위협 벡터 규명: 기존에 외부 신호 (RF) 나 고권한 소프트웨어 침해를 중심으로 하던 보안 관점을 넘어, 내부 컴포넌트 수준의 공급망 이식 (Supply Chain Implant) 이라는 새로운 공격 벡터를 제시했습니다.
• 구조적 결함 노출: 위성의 신뢰 모델이 메시지 형식 (Syntax) 만을 검증하고 데이터의 출처 (Provenance) 나 의미론적 무결성 (Semantic Integrity) 을 검증하지 않는다는 근본적인 설계 결함을 드러냈습니다.

4. 실험 결과 (Results)

• 통합 및 수용 성공: SOLO 는 표준 cFS 빌드 워크플로우를 통해 정상적으로 통합되었으며, 단위 테스트 및 통합 테스트 중 어떤 경고나 이상 징후도 발생하지 않았습니다.
• 완전한 스푸핑 성공:
  • 활성화 후 SOLO 는 실제 별 추적기를 비활성화하고 그 역할을 완전히 대체했습니다.
  • 지상 관제소는 SOLO 가 발행한 가짜 데이터를 실제 별 추적기 데이터로 인식하여 24 개의 패킷을 정상적으로 해석했습니다.
  • 패킷의 헤더, 타임스탬프, 쿼터니언 (자세) 필드 등 모든 형식이 정해진 XTCE 정의와 일치했습니다.
• 법적/수사적 맹점 (Forensic Blindness):
  • 지상 관제소 로그 (COSMOS) 에는 SOLO 가 내부적으로 실제 장치를 비활성화한 명령이 기록되지 않았습니다.
  • 지상에서 내려받은 원격 측정 데이터는 가짜임이 전혀 드러나지 않았으며, 이는 위성의 역사적 데이터로 영구적으로 저장되었습니다.
  • 결과적으로 실시간 모니터링이나 사후 분석을 통해 공격을 식별하거나 원인을 규명하는 것이 불가능했습니다.

5. 의의 및 시사점 (Significance)

• 임무 무결성 및 가용성 위협: 이 공격은 CIA 삼각형 (기밀성, 무결성, 가용성) 중 무결성과 가용성을 동시에 훼손합니다. 위성은 잘못된 자세 데이터를 기반으로 불필요한 기동을 하거나, 실제 고장을 감지하지 못해 임무가 파괴될 수 있습니다.
• Stuxnet 의 우주 버전: 이 공격은 Stuxnet 이 원심분리기 센서 데이터를 조작하여 운영자를 속인 방식과 유사합니다. 위성의 경우 수리 불가능한 환경에서 발생하므로 그 파급력이 더욱 큽니다.
• 대응 방안 제안:
  • 인증 및 암호화: Software Bus 내의 모든 메시지에 대해 경량 암호화 인증 (Authentication) 을 도입하여 '암묵적 신뢰'를 '제로 트러스트 (Zero Trust)' 모델로 전환해야 합니다.
  • 온보드 침입 탐지 (IDS): 비정상적인 메시지 빈도나 순서를 탐지하는 경량 모니터링 서비스 도입.
  • 모델 기반 검증: 물리 법칙이나 궤도 모델을 기반으로 센서 데이터의 일관성을 검증 (Cross-check).
  • 공급망 투명성: 컴포넌트의 출처 추적 (Provenance tracking) 및 통합 단계에서의 엄격한 검증 프로세스 필요.
• 트레이드오프: 소형 위성은 제한된 컴퓨팅 자원과 전력을 가지므로, 이러한 보안 조치를 도입할 경우 성능 저하나 비용 증가와 같은 트레이드오프를 고려해야 함을 강조합니다.

결론

이 논문은 소형 위성의 모듈화 및 글로벌 공급망 의존성이 야기하는 새로운 형태의 사이버 위협을 경고합니다. 외부 신호 공격뿐만 아니라 위성 내부의 악성 컴포넌트가 생성한 합법적인 형식의 가짜 데이터가 임무를 좌우할 수 있음을 증명함으로써, 위성 보안 아키텍처의 근본적인 재설계와 공급망 관리의 중요성을 강조합니다.