Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring

이 논문은 통신 계층 결함을 선별하고 운동학적 일관성 및 시공간적 군집 분석을 결합한 3 단계 프레임워크를 제안하여, 약 9.66 억 개의 AIS 데이터를 기반으로 한국 연안에서 GNSS 스푸핑 및 재밍을 탐지하고 오탐지율을 98.6% 감소시켰음을 보여줍니다.

핵심

🌊 핵심 비유: "혼란스러운 파티와 거짓말쟁이"

바다에는 수많은 배들이 있습니다. 이 배들은 서로의 위치를 알리기 위해 **AIS(자동식별시스템)**라는 장치를 켜고 "나는 여기 있어요!"라고 계속 외칩니다. 이 신호를 받으면 다른 배들이 "아, 저 배가 저기 있구나"라고 알 수 있죠.

하지만 문제는 **GNSS(위성 내비게이션)**가 해킹당하거나 방해받을 때 발생합니다.

• 재밍 (Jamming): 신호를 끊어서 "내 위치를 못 찾겠다"라고 하는 상태 (침묵).
• 스푸핑 (Spoofing): 가짜 신호를 보내서 "나는 저기 있어요"라고 거짓말을 하는 상태 (위치 조작).

이 연구는 이 두 가지 위험을 AIS 데이터만으로도 찾아내는 방법을 개발했습니다. 하지만 여기서 큰 함정이 하나 있었습니다.

🚨 함정: "배가 거짓말하는 게 아니라, 메신저가 망가진 거였어!"

AIS 데이터를 보면 배가 갑자기 100km 를 점프하거나, 제자리에서 뒤로 가거나, 같은 배가 두 곳에 동시에 있는 것처럼 보이는 이상한 현상들이 많습니다. 연구팀은 처음에 "아, 누군가 내비게이션을 해킹했구나!"라고 생각했지만, 알고 보니 그것은 해킹이 아니었습니다.

1. MMSI(선박 번호) 중복: 배 번호가 잘못 입력되어, A 배와 B 배가 같은 번호로 신호를 보낼 때 생기는 착시. (비유: 두 사람이 같은 이름으로 파티에 와서 "나는 여기, 나는 저기"라고 외치면 위치가 뒤죽박죽이 됨)
2. 지연된 메시지: 배가 움직였는데, 통신 시스템이 예전 위치 정보를 늦게 보내는 경우. (비유: 친구가 "지금 카페에 갔어"라고 말했는데, 10 분 뒤에 그 메시지가 도착해서 "아, 친구는 10 분 전까지 카페에 있었구나"라고 오해하는 상황)

이런 통신 시스템의 오작동을 해킹으로 오인하면 안 됩니다. 이 논문은 바로 이 오작동을 먼저 걸러내는 필터를 만들었습니다.

---

🛠️ 연구팀이 개발한 3 단계 "진단 시스템"

이 연구팀은 AIS 데이터를 처리할 때 세 단계를 거치는 스마트 필터를 만들었습니다.

1 단계: "통신 시스템의 고장 찾기" (Communication-Integrity Diagnostics)

• 비유: 파티에 들어오기 전에, "너 진짜 그 사람 맞아? 이름표가 두 개 붙었네?"라고 확인하는 단계입니다.
• 작동: 배 번호가 중복되거나, 메시지가 늦게 도착하는 등 통신 시스템 자체의 오류를 찾아내서 버립니다. 이렇게 하면 "가짜 해킹" 신호가 사라집니다.

2 단계: "배의 움직임과 신호 끊김 감지" (Anomaly Cue Generation)

• 비유: 이제 진짜 배들의 상태를 봅니다. "갑자기 배가 물리적으로 불가능한 속도로 날아갔네?" 혹은 "갑자기 배가 말을 안 하네?"를 감지합니다.
• 작동:
  • 움직임 이상: 배가 갑자기 꺾이거나 날아간 것처럼 보이면 '이상 신호'로 표시합니다.
  • 신호 끊김: 배가 갑자기 말을 안 하면 (GNSS 신호가 끊긴 경우) 이것도 '이상 신호'로 표시합니다.
  • 이때는 아직 "누가 해킹했는지"는 모릅니다. 그냥 "뭔가 이상해"라고 표시만 해둡니다.

3 단계: "무리 지어 움직이는지 확인" (Spatiotemporal Clustering)

• 비유: "이 이상한 현상이 한 배만의 일인가, 아니면 주변 배들 모두에게 동시에 일어난 일인가?"를 확인합니다.
• 작동:
  • 한 배만 이상하다: 그 배의 내비게이션 고장일 가능성이 큽니다. (개인적인 문제)
  • 주변 배 10 척이 동시에 이상하다: GNSS 해킹 (재밍/스푸핑) 확률 99%! (공통적인 외부 공격)
  • 이 단계에서 DBSCAN이라는 알고리즘을 써서, 시간과 공간이 겹치는 배들의 이상 징후를 한데 묶어 "해킹 사건"으로 분류합니다.

---

📊 실제 성과: "거짓 경보 98.6% 감소!"

이 시스템을 한국 해역의 AIS 데이터 (약 9 억 6 천만 개 메시지) 에 적용해 보았습니다.

• 결과: 처음에는 이상한 신호가 너무 많아서 "해킹이다!"라고 소리치고 싶었지만, 위 시스템을 거치니 거짓 경보가 98.6% 줄어들었습니다.
• 진짜 발견:
  • 17 건의 스푸핑 (위치 조작): 여러 배가 동시에 가짜 위치로 이동한 사건.
  • 343 건의 재밍 (신호 차단): 여러 배가 동시에 위치를 못 찾은 사건.

이전에는 통신 오류 때문에 너무 많은 거짓 경보가 떠서 실제 해킹을 놓쳤을 텐데, 이 방법으로는 진짜 해킹만 정확히 골라냈습니다.

---

💡 결론: 왜 이 연구가 중요한가?

이 논문은 **"별도의 고가 장비 없이, 이미 떠도는 배들의 위치 데이터만으로도 바다의 해킹을 감시할 수 있다"**는 것을 증명했습니다.

마치 치안 경찰이 CCTV 를 보며 "저 사람이 혼자 도망가는 건 그냥 개인 사정이지만, 10 명이 동시에 도망가면 무조건 범인이다"라고 판단하는 것과 같습니다.

이 기술을 통해 우리는:

1. 통신 오류와 실제 해킹을 명확히 구분할 수 있게 되었습니다.
2. 별도의 감시 장비 없이도 광범위한 바다를 감시할 수 있게 되었습니다.
3. 배들이 안전하게 항해할 수 있도록 해킹 경보를 더 정확하게 줄 수 있게 되었습니다.

간단히 말해, **"배들의 위치 데이터를 이용해 바다의 '사기꾼'과 '고장 난 내비게이션'을 구별해내는 똑똑한 필터"**를 개발한 연구입니다.

기술 요약

1. 연구 배경 및 문제 제기 (Problem)

• GNSS 간섭의 위협: 해상 항해 및 감시 시스템은 GNSS(위성항법시스템) 에 의존하고 있으며, 스푸핑 (위치 조작) 과 재밍 (신호 차단) 은 선박의 안전과 항해 정밀도에 심각한 위협이 됩니다.
• AIS 데이터의 한계: 선박의 위치 정보를 제공하는 AIS(Automatic Identification System) 는 비암호화된 GNSS 신호에 의존하므로 간섭에 취약합니다.
• 기존 탐지 방법의 오경보 (False Alarm) 문제:
  • AIS 데이터에는 GNSS 간섭이 아닌 통신 계층 결함 (MMSI 중복, 타임스탬프 지연 재전송, 다중 스테이션 리브로드 지연 등) 이 포함되어 있어, 이를 스푸핑이나 재밍으로 오인하는 경우가 많습니다.
  • 기존 연구들은 주로 개별 선박의 궤적 분석에 집중하여, **다수 선박의 시공간적 일관성 (Multi-vessel coherence)**을 고려하지 못했습니다. 광역 GNSS 간섭은 여러 선박이 동시에 영향을 받는 것이 특징인데, 이를 놓치거나 통신 오류와 혼동하는 문제가 있었습니다.
  • 재밍 (Jamming) 의 경우 위치 데이터가 아예 손실되거나 불규칙해지므로, 기존 궤적 기반 탐지 방법으로는 감지가 어렵습니다.

2. 제안된 방법론 (Methodology)

저자들은 통신 오류, 센서 결함, 실제 GNSS 간섭을 명확히 구분하는 3 단계 계층적 프레임워크를 제안했습니다.

1 단계: 통신 무결성 진단 (Communication-Integrity Diagnostics)

• 목적: GNSS 간섭이 아닌 AIS 통신 계층에서 발생하는 아티팩트를 사전에 제거하여 오경보를 줄입니다.
• 주요 기법:
  • 동시 MMSI 중복 (Concurrent MMSI Duplication): 서로 다른 선박이 동일한 MMSI 를 사용하는 경우, 공간적 분리와 시간적 중첩을 기준으로 식별하여 제거합니다.
  • 타임스탬프 지연 재전송 (Timestamp-delayed Retransmission): 버퍼링이나 동기화 오류로 인해 과거의 항해 데이터가 새로운 타임스탬프로 재전송되는 경우 (위치 반복, 역행 등) 를 탐지하여 제거합니다.
• 특징: 이 단계에서 제거된 데이터는 통신 오류로 간주하며, 이후 분석에서 제외합니다.

2 단계: 이상 징후 (Anomaly Cue) 생성

• 목적: 통신 오류를 제거한 후, 남은 데이터에서 GNSS 간섭이나 센서 결함의 징후를 포착합니다.
• 주요 기법:
  • 운동 일관성 이상 (Kinematic Consistency): IMM(Interacting Multiple Model) 필터 (일정 속도 CV 모델 + 일정 회전율 CTRV 모델) 를 사용하여 선박의 물리적 운동 제약 (가속도, 방향 전환 등) 을 위반하는 궤적을 탐지합니다.
  • 전송 연속성 이상 (Transmission Continuity): GNSS 수신 실패로 인한 AIS 보고 중단 (Gap) 을 탐지합니다. 정상 항해 시의 보고 간격 (Median interval) 을 기준으로 임계값을 설정하여, 간격이 과도하게 길어지거나 보고가 끊기는 경우를 '재밍 의심' 징후로 분류합니다.

3 단계: 시공간 클러스터링 및 최종 분류 (Spatiotemporal Clustering & Categorization)

• 목적: 개별 선박의 이상과 광역 간섭을 구분합니다.
• 주요 기법: ST-DBSCAN(Spatiotemporal DBSCAN) 알고리즘을 사용하여 이상 징후들을 공간 (10km) 과 시간 (30 분) 범주 내에서 클러스터링합니다.
• 분류 로직:
  • 단일 선박 클러스터: 특정 선박에만 국한된 장기적/단기적 이상은 '센서 무결성 아티팩트 (Sensor-integrity artifacts)'로 분류.
  • 다수 선박 클러스터: 공간적, 시간적으로 겹치는 다수 선박의 이상은 '광역 GNSS 간섭'으로 간주.
    • 스푸핑 (Spoofing): 다수 선박의 궤적이 동시에 왜곡된 경우.
    • 재밍 (Jamming): 다수 선박의 위치 보고가 동시에 중단된 경우.
  • 검증 기준: 최소 5 척 이상의 선박이 포함되고, 해당 군집 내 선박의 60% 이상이 이상 행동을 보일 때만 유효한 광역 이벤트로 인정합니다.

3. 주요 기여 (Key Contributions)

1. 통신 계층 오류의 명시적 분리: 기존 연구들이 간과했던 AIS 통신 결함 (MMSI 중복, 재전송 오류) 을 사전에 제거하여 오경보율을 획기적으로 낮췄습니다.
2. 재밍 (Jamming) 탐지 능력 강화: 궤적 왜곡뿐만 아니라 '보고 중단 (Outage)'을 이상 징후로 포함시켜, 기존 궤적 분석만으로는 탐지 불가능했던 광역 재밍 사건을 포착할 수 있게 되었습니다.
3. 다수 선박 일관성 기반 분류: 개별 선박의 센서 고장과 외부 GNSS 간섭을 구분하기 위해 '다수 선박의 시공간적 일관성'을 핵심 판단 기준으로 도입했습니다.
4. 대규모 실증 데이터: 한국 연안 해역의 약 9 억 6 천 6 백만 건의 AIS 데이터를 활용하여 실제 운영 환경에서의 유효성을 검증했습니다.

4. 실험 결과 (Results)

• 데이터: 2024 년 11 월12 월 한국 연안 (3237°N, 123~133°E) AIS 데이터 약 9.66 억 건.
• 오경보 감소율: 단순 클러스터링 대비 오경보가 98.6% 감소했습니다.
• 탐지 성과:
  • 스푸핑 (Spoofing): 17 개의 클러스터 탐지 (다수 선박의 궤적 왜곡).
  • 재밍 (Jamming): 343 개의 클러스터 탐지 (다수 선박의 보고 중단).
  • 센서 결함: 통신 오류 및 개별 선박 센서 고장으로 인한 수만 건의 이상 징후가 성공적으로 필터링되었습니다.
• 사례 연구:
  • 스푸핑 사례: 2024 년 12 월 2 일, 18km 반경 내 11 척의 선박이 20 초 동안 동시에 위치가 왜곡된 사건을 탐지.
  • 재밍 사례: 2024 년 11 월 9 일, 21km 반경 내 11 척의 선박이 약 10 분 간격으로 두 번에 걸쳐 동시에 신호를 잃은 사건을 탐지.

5. 의의 및 결론 (Significance & Conclusion)

• 전용 센서 없이 광역 감시 가능: 별도의 GNSS 모니터링 인프라 없이 기존 AIS 데이터를 활용하여 광역 GNSS 간섭을 탐지할 수 있는 확장 가능한 프레임워크를 제시했습니다.
• 신뢰성 있는 분류: 통신 오류, 센서 고장, 실제 간섭을 계층적으로 구분함으로써 해상 안전 관리 및 규제 당국에 신뢰할 수 있는 정보를 제공합니다.
• 향후 과제: 실시간 모니터링 시스템으로의 확장, 다양한 해역에서의 파라미터 검증, 그리고 ADS-B 나 지상국 GNSS 모니터링 등 다른 센서 데이터와의 융합을 통한 간섭원 정밀 위치 추정 연구가 필요하다고 결론지었습니다.

이 논문은 AIS 데이터의 품질 문제 (통신 오류) 를 체계적으로 해결하고, 시공간적 상관관계를 활용함으로써 해상 GNSS 보안 위협에 대한 새로운 탐지 패러다임을 제시했다는 점에서 큰 의의가 있습니다.