D-SLAMSpoof: An Environment-Agnostic LiDAR Spoofing Attack using Dynamic Point Cloud Injection

이 논문은 기존 LiDAR 스푸핑 기법의 한계를 극복하여 환경에 구애받지 않는 새로운 공격 방식인 D-SLAMSpoof 를 제안하고, 자율주행 시스템의 표준 센서만 활용하여 이를 탐지하고 보정하는 실용적 방어 메커니즘 ISD-SLAM 을 제시합니다.

핵심

1. 문제: 자율주행차의 '눈'을 속이는 새로운 해킹 (D-SLAMSpoof)

기존의 해킹은 왜 실패했을까요?
기존의 해킹 방법은 마치 **"벽을 하나만 세워놓는 것"**과 같았습니다.

• 상황: 자율주행차가 복잡한 도시나 실내를 주행할 때, 주변에 건물, 나무, 기둥 등 수많은 사물이 있습니다.
• 기존 해킹: 해커가 라이다 센서에게 "나 여기 있어!"라고 거짓 신호를 보냈지만, 그 신호가 너무 단순하거나 고정되어 있었습니다.
• 결과: 자율주행차의 뇌 (SLAM 알고리즘) 는 "아, 저건 가짜야. 주변에 진짜 사물들이 너무 많으니까 무시해야지"라고 생각해서 해킹을 막아냈습니다. (특히 사물이 많은 곳에서는 해킹이 잘 안 됐습니다.)

새로운 해킹 (D-SLAMSpoof) 의 비법: "춤추는 가짜 벽"
이 논문에서 제안한 새로운 해킹 방법은 두 가지 핵심 전략을 사용합니다.

1. 가짜 벽을 '모양'으로 속이다 (Constraint-Forging):

   • 단순히 원통형 벽을 만드는 게 아니라, 각진 모서리나 평평한 면처럼 라이다가 가장 잘 반응하는 특정 모양으로 가짜 사물을 만들어냅니다.
   • 비유: 마치 미로에서 길을 잃은 사람에게 "저기 저 모서리만 따라가면 출구야!"라고 거짓말을 하는 것과 같습니다. 라이다는 그 특정 모양에 너무 잘 반응해서, 진짜 사물보다 가짜 사물을 더 신뢰하게 됩니다.

2. 가짜 벽을 '움직이게' 하다 (Oscillating Injection):

   • 가짜 벽을 그냥 세워두지 않고, 앞뒤로 움직이게 합니다.
   • 비유: 자율주행차가 달릴 때, 가짜 벽이 "나 여기 있어! (1 초 뒤) 나 여기 있어! (2 초 뒤)"라고 리듬감 있게 위치를 바꿉니다.
   • 효과: 자율주행차는 "아, 저 벽이 움직이고 있네? 내 위치가 잘못 계산된 게 틀림없어!"라고 착각하게 됩니다. 이 착각이 계속 쌓여서, 차는 결국 실제 위치와 완전히 다른 곳으로 길을 잃게 됩니다.

결론: 이 방법은 사물이 아무리 많고 복잡한 도시나 실내에서도 자율주행차를 완벽하게 속여 길을 잃게 만들 수 있습니다. (실험 결과 성공률이 87% 이상으로 매우 높았습니다.)

---

2. 해결책: 해킹을 막는 '내면의 나침반' (ISD-SLAM)

해커가 눈을 속여도, 자율주행차에는 눈 (라이다) 말고도 다른 감각이 있습니다. 바로 **관성 센서 (IMU)**입니다.

IMU(관성 센서) 란 무엇인가요?

• 비유: 눈을 감고서도 몸의 기울기나 가속도를 느끼는 '내면의 나침반'이나 '전정 기관'과 같습니다.
• 특징: 이 센서는 주변의 사물 (벽, 나무 등) 을 보지 않고, 오직 차 자체의 움직임을 측정합니다. 따라서 해커가 라이다에 가짜 신호를 보내도 IMU 는 절대 속지 않습니다.

ISD-SLAM 의 작동 원리: "눈과 나침반을 비교하자"
이 논문이 제안한 방어 시스템 (ISD-SLAM) 은 다음과 같이 작동합니다.

1. 비교하기: 라이다가 계산한 위치와, IMU(나침반) 가 계산한 위치를 계속 비교합니다.
2. 이상 감지: 만약 라이다가 "우리는 왼쪽으로 가고 있어!"라고 말하는데, IMU 는 "아니야, 우리는 여전히 직진 중이야!"라고 말한다면? -> **"아! 라이다가 해킹당했구나!"**라고 바로 알아챕니다.
3. 전환하기: 해킹이 감지되면, 속은 라이다의 신호를 즉시 차단하고, 속지 않는 IMU(나침반) 만으로만 주행을 계속합니다.
4. 복구하기: 해커가 사라지면 다시 라이다를 켜고, IMU 가 계산한 정확한 위치로 다시 길을 찾습니다.

장점:

• 추가 장비 불필요: 자율주행차에 이미 달린 표준 센서 (IMU) 만으로 작동합니다.
• 실용성: 라이다의 복잡한 내부 데이터까지 볼 필요 없이, 일반적인 센서만으로 해킹을 막고 위치 이탈을 방지합니다.

---

3. 요약: 이 연구가 중요한 이유

• 위험성: 그동안 "사물이 많은 복잡한 곳에서는 해킹이 안 된다"라고 믿어졌지만, 이 연구는 어떤 환경에서도 자율주행차를 속일 수 있다는 것을 증명했습니다.
• 해결책: 하지만 동시에, 추가 하드웨어 없이도 기존 센서만으로 이 해킹을 90% 이상 잡아내고, 차가 길을 잃지 않도록 막을 수 있는 방법을 제시했습니다.

한 줄 요약:

"해커가 자율주행차의 눈을 속여 춤추게 만들지만, 우리는 차가 가진 '내면의 나침반'을 이용해 그 속임수를 알아채고 안전한 길을 찾아줍니다."

이 연구는 자율주행 기술이 더 안전하고 튼튼하게 발전할 수 있도록, 위험을 정확히 파악하고 현실적인 방어책을 마련했다는 점에서 매우 중요합니다.

기술 요약

논문 요약: D-SLAMSpoof 및 ISD-SLAM

1. 문제 정의 (Problem)

자율 주행 및 로봇 내비게이션의 핵심 센서인 LiDAR 기반 SLAM(Simultaneous Localization and Mapping) 은 외부 레이저를 이용한 LiDAR 스푸핑 (Spoofing) 공격에 취약합니다. 공격자는 외부 레이저를 발사하여 가짜 점군 (Point Cloud) 을 센서에 주입함으로써 위치 추정 오차를 유발하거나 차량을 의도치 않은 경로로 유도할 수 있습니다.

기존 연구의 한계는 다음과 같습니다:

• 환경 의존성: 기존 스푸핑 공격은 기하학적 특징이 희박한 환경 (sparse environments) 에서만 효과적이었습니다. 도시나 실내와 같이 기하학적 특징이 풍부한 (feature-rich) 환경에서는 스캔 매칭 (Scan Matching) 알고리즘이 강건하여 공격이 실패하는 경우가 많았습니다.
• 방어 방법의 비실용성: 기존 방어 기법들은 LiDAR 의 원시 파형 데이터 (raw waveform) 접근이 필요하거나, 추가 하드웨어를 요구하여 상용 시스템에 적용하기 어렵습니다.

따라서, 어떤 환경에서도 작동하는 공격 방법과 표준 온보드 센서만으로 구현 가능한 실용적인 방어 시스템의 필요성이 대두되었습니다.

2. 방법론 (Methodology)

이 논문은 공격 (D-SLAMSpoof) 과 방어 (ISD-SLAM) 두 가지 측면에서 새로운 접근법을 제시합니다.

A. 공격 방법: D-SLAMSpoof (Dynamic SLAMSpoof)
기존의 정적 (static) 인 점군 주입을 넘어, 공간적 형태와 시간적 패턴을 동시에 최적화하여 스캔 매칭 과정을 왜곡하는 동적 공격 프레임워크입니다.

1. 구속 조건 위조 주입 (Constraint-Forging Injection):

   • LiDAR SLAM 은 점군 간의 기하학적 잔차 (residual) 를 최소화하여 위치를 추정합니다.
   • 공격자는 스캔 매칭의 방향성 일관성을 악용하여, 특정 방향으로 강한 위조 기하학적 구속 조건을 생성하는 점군 형태 (예: L 자형 벽, 평면 벽) 를 설계합니다.
   • 이는 올바른 점 대응 관계를 압도하여 일관된 방향의 위치 추정 오차 (Pose Drift) 를 누적시킵니다.

2. 진동 주입 (Oscillating Injection):

   • 정적 주입은 프레임 간 차이가 작아 SLAM 의 이상치 필터링을 통과하기 쉽지만, 지속적인 오차를 유발하기 어렵습니다.
   • 공격자는 주입된 점군을 반경 방향 (radial direction) 으로 주기적으로 진동시킵니다.
   • 핵심 제약 조건:
     • LiDAR 의 최대 측정 거리 이내여야 함.
     • 프레임 간 이동 거리가 SLAM 의 '최대 대응 거리 (Maximum Correspondence Distance)'를 초과하지 않아야 함 (초과하면 이상치로 제거됨).
   • 이 조건을 만족하면서 최대의 프레임 간 기하학적 불일치를 유발하여 스캔 매칭의 수렴을 불안정하게 만듭니다.

B. 방어 방법: ISD-SLAM (Inertial Switching Defense for SLAM)
추가 하드웨어 없이 기존 자율 시스템에 탑재된 IMU(관성 측정 장치) 와 휠 오도메트리만 사용하여 공격을 탐지하고 대응하는 시스템입니다.

1. 탐지 (Detection):

   • LiDAR 기반 위치 추정값과 관성 사각 (Inertial Dead Reckoning) 추정값 간의 불일치를 모니터링합니다.
   • **방향 오차 (Orientation Error)**와 **속도 오차 (Speed Error)**를 결합한 공격 탐지 지표 ($D$) 를 계산합니다.
   • 사전 시뮬레이션 및 베이지안 최적화를 통해 임계값을 설정하여 공격 여부를 이진 분류합니다.

2. 적응형 전환 (Adaptive Switching):

   • 공격이 탐지되면 LiDAR SLAM 출력을 폐기하고 관성 항법 (Dead Reckoning) 으로 즉시 전환합니다.
   • 공격이 종료되면 SLAM 을 재시작하고, 관성 항법 데이터를 기반으로 좌표계를 변환하여 궤적의 일관성을 유지합니다.

3. 주요 기여 (Key Contributions)

1. 환경 무관성 공격 (Environment-Agnostic Attack):
   • D-SLAMSpoof 를 제안하여, 기존 공격이 실패했던 기하학적 특징이 풍부한 환경 (도시, 실내) 에서도 높은 성공률을 보이는 최초의 실용적 공격을 증명했습니다.
2. 실제 환경에서의 검증:
   • 오픈 데이터셋 (MCD TUHH) 시뮬레이션과 실제 실험을 통해 KISS-ICP, FAST-LIO2, GLIM 등 최신 SLAM 알고리즘 3 종에 대해 일관된 높은 공격 성공률을 입증했습니다.
3. 하드웨어 불필요한 실용적 방어:
   • ISD-SLAM 을 통해 추가 센서나 원시 데이터 접근 없이도 표준 IMU 만으로 스푸핑 공격을 90% 이상의 정확도로 탐지하고 위치 드리프트를 효과적으로 억제하는 방법을 제시했습니다.

4. 실험 결과 (Results)

• 공격 성공률 (ASR) 향상:
  • 시뮬레이션: 기존 정적 원통형 주입 방식의 평균 ASR 이 22.8% 였으나, D-SLAMSpoof 는 **87.2%**로 약 3.8 배 향상되었습니다.
  • 실제 실험: 실제 실내 환경 (기하학적 특징 풍부) 에서 수행된 실험 결과, D-SLAMSpoof 는 사용된 모든 3 가지 SLAM 알고리즘에서 약 100% 의 공격 성공률을 기록했습니다. (기존 방법은 실패하거나 효과가 미미함)
• 형상 및 주기 분석:
  • L 자형이나 평면형과 같은 특정 기하학적 형태가 원통형보다 훨씬 효과적임을 확인했습니다.
  • 점군의 진동 주기와 속도가 SLAM 의 대응 거리 임계값과 맞물릴 때 공격 효과가 극대화됨을 규명했습니다.
• 방어 성능:
  • ISD-SLAM 은 공격 탐지 정밀도 (Precision) 0.96, 재현율 (Recall) 0.97 을 달성했습니다.
  • 방어 시스템이 활성화되었을 때, 공격으로 인한 급격한 위치 오차 증가가 효과적으로 억제되어 차량이 안전한 궤적을 유지함을 확인했습니다.

5. 의의 및 결론 (Significance)

이 연구는 LiDAR 기반 SLAM 시스템이 기하학적 특징이 풍부한 실제 환경에서도 스푸핑 공격에 본질적으로 취약함을 드러냈습니다. 특히, D-SLAMSpoof는 자율 시스템의 안전성을 위협할 수 있는 새로운 공격 벡터를 제시함으로써 보안 연구의 중요성을 강조합니다.

동시에, ISD-SLAM은 별도의 하드웨어 투자 없이 기존 센서 세트를 활용하여 이러한 위협을 탐지하고 완화할 수 있는 첫 번째 실용적인 방어 솔루션을 제공합니다. 이는 자율 주행 차량 및 로봇 시스템의 신뢰성과 안전성을 높이는 데 중요한 통찰을 제공하며, 향후 더 강력한 LiDAR 보안 표준 수립의 기초가 될 것으로 기대됩니다.