I. 서론
현대의 최첨단 군사용 항공자산들은 임무를 위한 모든 데이터들이 내장형 중앙 컴퓨터에 의해 처리되고 제어된다. 우리 군이 보유하고 있거나 보유하게 될 F-15, F-16, F-35, FA-50 등 첨단 전투기 또한 내장형 실시간 운영체제(RTOS)를 이용하여 제어되며 독립된 개별 시스템으로 운영되고 있다. 이것은 전투기뿐만 아니라 스마트웨폰 이라고 불리는 첨단 무기체계 역시 내장형 소프트웨어에 의해 제어되고 통신하며 임무를 수행한다. 최근 버지니아주 타이슨 코너에서 실시된 컨퍼런스 (Tysons Corner, 2017 CyberSat Summit) 기조 연설에서는 미국 국토안보부 항공 프로그램 관리자인 로버트 히키 (Robert Hickey) 주도하에 뉴저지주 애틀랜틱시티에 있는 공항에 주기한 보잉 757 비행기를 원격으로 해킹했다고 밝혔다. 해킹시연을 통해 국토안보부는 전투기 해킹이 충분히 가능하며 앞으로 더 많은 위험에 노출될 것이라고 밝혔다[1]. 또한 미 RAND 연구소는 공군 무장시스템과 같은 치명적인 무기체계에 대한 연결성의 증대와 네트워킹 기술의 급속한 발전에 따라 사이버 공격 가능성과 이에 대한 대비를 강조하였다[2]. 인터넷 연결과 다양한 모바일 연결서비스에서 오는 위협과 재래식무장과 최신무장들의 통합적인 운용을 위한 네트워크 환경구축 등 기술의 발전에 따라 더욱더 많은 공격 포인트와 위협에 노출되게 되었다[3][4].
이러한 환경과 기술의 변화는 매우 중요한 사실을 우리에게 알려주고 있다. 즉, 전투기에 대한 해킹 및 사이버 공격이 가능하다면 더 이상의 실제 비행기 납치 같은 테러행위는 필요가 없을 것이다. 단순히 공격주체는 원격으로 공격수행 명령만 내리면 목적을 달성하게 될 것이다. 항공자산에 대한 해킹 가능성은 비단 전투기뿐만 아니라 다양한 첨단 군용자산에도 영향을 미칠 것이므로 심각한 위협으로 다가오고 있다.
현재 우리나라는 다양한 첨단무기들이 운용되고 있으나, 대부분의 첨단 무기시스템이 도입 시에만 소프트웨어에 대한 인증을 받고 사이버방호에 대한 내용을 강조하고 있다. 그러나 실제 도입되어 설치 이후에는 특별한 점검 절차나 구체적인 보안관리 가이드가 없는 실정이다[5]. 만약 우리의 첨단 전투기가 사이버공격에 노출되어 그들이 원하는 의도대로 움직인다면 그 결과는 국가의 안위와 직결되는 치명적인 문제로 우리를 위협할 것이다.
이에 본 논문에서는 전투기에서 운용되는 항공전자시스템에 대한 사이버위협 요소를 정상 임무수행을 위한 절차, 조건과 비교 분석하여 임무계획 데이터 및 정비 관련 데이터 처리과정에서 공격 가능한 취약점을 식별하였다. 또한, 이러한 취약점을 이용하여 항공데이터를 변조하는 사이버공격의 방법과 형태를 정의하고 대응을 위한 탐지모듈을 제안하였다. 제안된 공격에 대한 탐지모듈은 전투기 항공데이터 처리과정에서 유입되는 악성코드 및 데이터 변조공격에 대한 탐지와 대응이 가능할 것이다.
본 연구를 통해 내장형 시스템에 의해 운용되어지는 첨단 무기체계인 전투기를 대상으로 하는 잠재적 사이버 위협을 식별하고 선제적으로 대응할 수 있는 방안을 제시함으로써 임무성공을 위한 물리적 환경을 보장하는데 기여하고자 한다.
II. 관련연구
2.1 전투기 SW 구성과 데이터 전송 모듈
대부분의 전투기들은 다음의 Fig. 1과 같은 SW형태를 보여준다. 각각의 기능들로서 작동하는 개별적인 항공전자시스템과 그것을 통합하여 관리하는 FMS(Flight Management System)가 있으며, 이것을 통합하는 OFP(Operational Flight Program)라는 중앙통제 SW로 구성되어 있다.
Fig. 1. Diagram of Fighter Flight Management System
Table 1. Data Transfer Tools for Mission Aircraft
이러한 SW 구성에 따른 전투기 관리 및 임무를 수행하려면 사전에 데이터들이 필요하고, 전투기 및 무장체계에 이를 전송하기 위한 독립적인 형태와 방법을 가진 모듈이 존재한다.
이러한 모듈에는 임무계획 데이터를 저장하고 전투기에 전송하기 위한 ODTM (Operational Data Transfer Module), 정비를 위해 전투기의 상태를 저장하고 정비관리 PC에 전송하기 위한 MDTM (Maintenance Data Transfer Module), 임무를 위한 기본적인 자료들을 저장하고 갱신하기 위한 MC (Mission Cartridge), 비행과 임무상태를 분석하기 위한 디스플레이의 모든 것을 전송하기 위한 모듈로 DVR (Dig1ital Video Record)이 있으며 그 이외에도 특정한 값들을 입력하기 위한 시스템 별 장비, 무기체계의 상태를 점검하기 위한 장비들과 모듈들이 있다. Table 1 은 이러한 모듈들의 종류와 포함되는 내용들을 보여주고 있다.
2.2 내장형 소프트웨어
전투기와 같은 첨단무기체계의 운영체제는 대부분 실시간 운영체제인 RTOS(Real Time Operating System)를 쓰고 있다. 실시간 운영 체제로는 VxWorks, QNX, LynxOS, pSOS, Nucleus, RTX, OSE, NEOS, VRTX, SYS/BIOS 등 많은 종류들이 있다. 이러한 RTOS의 Task 흐름을 보면 DORMANT, READY, RUNNING, WAITING, ISR의 단계로 처리되고 있으며 대부분의 내장형 시스템에서 사용되고 있다.
내장형 시스템은 ① Mission Critical : 소프트웨어 기능 수행 결과의 정확성, ② Timing Critical : 정해진 시간 내 수행해야 하는 신속성, ③ Safety Critical : 어떠한 환경에서도 동작해야 하는 안정성과 같은 세 가지 표준 특징이 있다. 이러한 특징은 소프트웨어 비중이 큰 첨단 무기체계 분야에 특히 중요하다. 일례로 1960년대 F-4(팬텀) 전투기는 내장형 소프트웨어 비중이 8%였으나, 현존하는 F-22(랩터) 전투기는 전체기능 중 내장형 소프트웨어의 비중이 80%를 차지하고 그 규모도 1500만 라인에 이를 정도다. 아래 Table 2는 전투기의 내장형 소프트웨어 비율과 소프트웨어 라인수를 보여주고 있다[6].
Table 2. Fighter Embedded Software Ratio of Aircraft
2.3 항공용 내장형 소프트웨어 테스팅
전투기 운영체제는 대부분 RTOS를 쓰고 있다. 우리 항공자산이 사용하고 있는 RTOS 플랫폼은 SYS/BIOS[7]와 VxWorks[8][9]를 주로 사용하고 있다. 이러한 국방 내장형 시스템의 소프트웨어에 대한 테스팅과 지속적 관리 및 점검은 무엇보다 중요하다. 그러나 대부분의 시스템의 정적 테스팅과 동적 테스팅은 설계단계에서의 무결성과 신뢰성 차원에서 테스팅이 이루어지지만 설치된 이후 특정한 부분에 대한 점검은 이루어지지 않고 있다[10].
SW에 대한 테스팅 DO-178B[11] 인증을 통해 전투기에 탑재되는 내장형 소프트웨어에 대한 기준요건을 명시하고 있다. 개발자는 시스템을 시장에 출시하기 전에 안전한 코딩을 위한 기준에 의거 설계하고[12] 일련의 엄격한 화이트박스 테스팅, 블랙박스 테스팅, 모듈 및 통합테스트를 요구하여 수행하고 있다[13]14]. 특히 안전에 치명적인 위험을 가지는 소프트웨어인 의료기기나 전투기 같은 군사용 자산의 경우 소프트웨어의 안전에 대해 강조하고 더욱 엄격한 기준과 효과적인 테스팅 방법에 대해 연구되어지고 있다[15][16]. 그러나 출시이후 내장 되어 상용화 되면 실질적으로 어떤 특정한 부분에 대한 테스팅 기준과 대상이 명시되지 않아 설치 이후 발생하는 공격에 대해서는 발견하기가 쉽지 않다.
Fig. 2. Inspection of Target SW
Fig. 2는 내장형 시스템에 대한 HW와 SW의 구조[17]를 보여준다.
테스팅 방법에는 정적 테스팅과 동적 테스팅이 있다. 정적 테스팅은 SW를 실행하지 않은 상태에서 현재 코딩규칙, 일반적인 소프트웨어 약점 목록(CWE : Common Weakness Enumeration), 코딩 메트릭 등으로 수행되며, 수준은 컴퓨터 소프트웨어 단위 모듈(CSU : Computer Software Unit), 컴퓨터 소프트웨어 구성품(CSC : Computer Software Component) 테스팅을 한다. 그리고 동적 테스팅은 실제 임무를 로딩하여 SW코드 실행을 점검한다. 테스팅 수준은 컴퓨터 소프트웨어 단위 모듈, 컴퓨터 소프트웨어 구성품 등으로 구분할 수 있다.
2.4 임무계획 및 정비 시 취약요소
대부분의 최첨단 전투기들은 임무수행을 위한 주요 데이터를 지상에서 계획하고 그것을 전투기에 로딩하여 확인한다. 그리고 이것을 다시 스마트웨폰에 저장하여 사용하고 있다. 즉 임무계획 시 임무계획을 하는 SW를 비정상적으로 작동하게 하여 임무를 실패하게 하거나, 임무계획을 하는 장비 JMPS (Joint Mission Planning System)[18]를 비정상 작동하게 하여 임무를 실패하게 할 수 있다. 세부적으로 보면 대부분의 스마트웨폰은 각각의 무장에 해당하는 임무계획 프로그램이 존재하게 되고 이것의 오작동을 통하여 임무를 실패하게 할 수 있으며, 이러한 것들을 가능하게 하는 임무계획 PC의 OS를 공격하여 오작동하게 함으로써 임무를 실패하게 할 수 있다.
HW 측면에서 보면 임무계획 PC를 고장 나게 하거나 임무계획 한 데이터를 저장하고 전송하는 모듈들을 동작 못하게 하여 임무를 실패하게 할 수 있다.
정비사는 전투기가 임무지원이 가능하도록 수시로 정비를 실시한다. 이때 단순한 기계적인 정비뿐만 아니라 수많은 항공전자장비의 점검을 위하여 전투기에서 다양하고 복잡한 임무들을 수행하기 위한 시스템간의 통합 및 데이터 통신을 점검 한다. 이러한 절차를 수행하기 위한 정비절차들이 존재하게 되고 절차들 속에서 공격이 가능한 요소들을 정의하여 약점을 분석할 수 있다.
완벽한 임무지원을 위하여 정비 분야의 SW와 HW가 정상 동작하여야 한다. SW 측면에서 세부적으로 보면 각각의 시스템과 센서의 점검을 위한 SW가 정상작동을 하여 정비를 지원해야 하고 그러한 것들이 설치되어 있는 관리 PC의 OS 또한 정상작동 해야 한다. HW 측면에서 보면 각각의 정비를 위한 장비들이 정상작동이어야 할 것이고 그 이외의 특정한 값들을 입력하고 출력하는 장비들 또한 정상적으로 동작하여야 한다.
III. 사이버공격 경로 및 정상임무를 위한 조건
3.1 정상적인 임무계획 데이터를 이용한 공격 경로
전투기와 같은 첨단 내장형 시스템은 정상적인 임무를 수행하려면 사전에 임무를 위한 특정 데이터와 값들이 필요하고 전투기 및 무장에 이를 업로딩 하여야 한다. 이러한 데이터의 흐름에서 사이버공격을 가능하게 하는 많은 접점들이 공격의 경로로서 존재하게 된다. 특히 지속적으로 펌웨어 업그레이드를 해야 하는데서 많은 약점이 존재하고 있다[19].
전투기는 다양한 시스템과 그것들이 정상적으로 작동하도록 하는 소프트웨어가 있다. 이러한 SW는 임무 또는 정비를 위해 정기적으로 버전이 업데이트되어야 한다. 임무를 계획하는 조종사의 임무계획 PC나 정비를 위한 정비관리 PC로 침투를 위해 외주 업체의 작업 또는 이들 PC관리를 위한 소프트웨어 업데이트 시 데이터 이동 경로를 이용하여 PC에 일차적으로 악성코드를 은닉 또는 설치할 수 있다.
조종사가 임무를 위해 계획한 데이터를 전투기에 업로딩 할 경우 조종사 임무계획 PC에 사전 침투하여 동작하는 악성코드는 특정 임무를 위해 계획한 데이터에 단순한 값으로 변조하여 저장되도록 하고 이것이 ODTM을 통하여 전투기에 업로딩 되도록 하여 임무에 악영향을 줄 수 있다.
Fig. 3. Attack Data Flow
정비사는 정비를 위해 OFP를 업그레이드하는 등의 다양한 시스템의 작업소요가 발생하게 된다. 그러한 작업을 수행할 때 데이터 전송 모듈이나 프로그램에 의해 전투기와 연결하게 되고 이때 악성코드가 전달되어 설치되게 할 수 있다.
이러한 조종사 임무계획 과 정비사 정비 분야에서 전투기의 임무흐름을 파악하여 공격이 가능하도록 약점을 분석하게 되고 임무를 위한 준비 절차를 이용하여 이차적으로 악성코드를 임무 플랫폼에 전달할 수 있다. Fig. 3은 임무를 위한 흐름에 대한 사이버공격 코드의 전달 경로를 보여준다.
또한 Fig. 4는 정상적인 임무를 실시하기 위한 각 단계별 구성요소들의 정상 상태를 트리 형태로 보여준다. 크게 조종사 임무계획관련 분야와 전투기 정비 분야에서의 구성요소들을 살펴보고 임무성공을 위한 정상 상태를 유지해야만 하는 요소들을 정의하였다.
Fig. 4. Mission Ready Condition
우선 임무계획의 정상상태를 보면 임무계획을 하는 JMPS SW가 정상이어야 하고 임무계획을 하는 HW가 정상이어야 한다. 세부적으로 보면 임무계획을 위한 SW에서 무장 별 임무계획 프로그램이 정상이어야 하고 그로부터 바른 임무계획을 해야 한다. 그리고 임무계획을 하는 PC의 OS 또한 정상이어야 할 것이다. 그리고 임무계획을 하는 HW가 정상이어야 할 것이며 세부적으로 임무계획을 하는 PC가 정상 작동해야 하고 임무계획 된 데이터들을 전투기에 전송하기 위한 데이터 저장장치 또한 이상이 없어야 한다.
정비요소에서도 SW와 HW 측면에서 구성요소의 상태를 정의할 수 있다. 일단 정비를 위한 분석 SW가 정상이어야 할 것이며 세부적으로 각각의 정비를 위한 항공전자장비시스템 SW가 정상이어야 하고 정비를 위한 엔진 데이터 등을 다운받고 관리해야 하는 PC의 OS 또한 정상적으로 작동 되어야 한다. HW 측면에서 보면 정비를 위한 다양한 장비들이 정상이어야 하며, 그리고 기타 전투기에 어떠한 정비를 위하여 기본 값 들을 입력하는 장비 또한 정상이어야 할 것이다.
3.2 정상임무수행을 위한 절차와 조건
전투기가 임무를 수행하기 위해서는 두 가지 측면에서의 절차들이 수행되어야 한다. 첫째는 조종사 임무계획적인 측면에서의 데이터흐름 및 처리 절차이다. 둘째, 정비를 위한 절차의 흐름이다. 역으로 생각해보면 임무계획의 실패나 정비의 실패를 통하여 임무를 실패하게 되며 세부적인 구성요소들에 실패를 통하여 전체적인 임무를 실패하게 하는 공격 대상들을 정의할 수 있게 된다. Fig. 5는 임무실패를 위한 구성요소들의 단계별 사이버공격 대상들을 정의하였다. 하위로 내려갈수록 공격이 더욱 수월하게 될 것이고 상위로 갈수록 복잡한 변수들을 생각해야만 할 것이다. 하위 수준에서의 공격은 제한적인 임무를 가능하게 할 수 있지만 상위 수준으로 올라갈수록 전면적인 임무가 불가능하게 된다.
Fig. 5. Attack Factors for Mission Failure
3.3 사이버공격 취약요소 별 대응 수준 정의
사이버공격을 위해 공격대상 및 수준을 선정하는 것은 아주 어렵다. Fig. 6은 이러한 공격대상을 선정하는 과정에서 임무에 영향을 주는 수준으로 제한적 임무 불가능을 초래하는 기초 공격대상 수준, 주요 핵심임무 불가능을 초래하는 주요공격 대상 수준, 모든 임무 또는 비행임무 자체 불가능이 초래되는 최종공격 대상 수준으로 구분하여 수준을 보여준다.
기초적인 수준에서의 공격대상 들은 임무를 위해 동작해야하는 수많은 요소들 중에 가장 하위 수준으로 사이버공격이 성공할 경우 제한적인 임무를 가능하게 하는 수준의 대상들을 정의하였다.
Fig. 6. Attack Elements for Mission Failure
공격목표를 달성하기 위한 공격 대상들이 다양하고 비교적 용이한 대상들을 말한다. 이러한 것의 공격을 통하여 부분적인 임무의 실패, 또는 제한적인 임무만 가능하게 할 수 있을 것이다. 이것은 일차적인 접근으로 공격이 가능하다. 모든 시스템과 장비들은 정기적인 점검을 받게 되고 이러한 점검을 위하여 정비를 가능하게 하는 장비와 통신하게 된다. 그리고 이상이 발견되었을 경우 이것을 수정하기 위한 패치를 하게 되고 이때 공격 코드를 전송하고 설치할 수 있는 기회로 이용하여 오작동이 가능하게 만들 수 있다.
주요 사이버공격 대상 및 수준으로는 임무계획 SW와 HW의 공격, 정비 분야의 SW 및 HW의 개체들을 공격함으로써 주요 핵심임무에 대한 실패를 초래하게 되는 상태로 정의할 수 있다. 이는 기초보다 상위 수준의 대상으로써 1차적으로 접근이 불가능 하고 단순한 기초공격 대상에서부터 직접적으로 연결되는 단일 대상의 영향뿐만 아니라 실제적인 각각의 SW와 HW에 대한 전체적인 공격을 통하여 달성되는 수준을 말한다. 핵심 SW와 HW에 대한 공격으로 결정적인 임무 실패의 조건을 만들게 되는 것이다. 예를 들어 무장투하, 발사 단계의 실패를 가능하게 하는 것이 된다. 주요 대상에 대한 정비를 불가능하게 함으로써 핵심임무가 불가능 하게 되는 상태의 수준을 정의한다.
최종 사이버공격 대상 및 수준으로 임무계획의 실패와 정비의 실패수준으로 비행임무 자체가 불가능을 초래하는 상태로 정의할 수 있다. 이것은 임무계획실패를 통하여 임무계획 자체가 불가능하게 하거나 정비의 실패를 통하여 비행 자체가 불가능하게 하는 수준을 말한다. 이는 주요핵심 대상에 대한 공격뿐만 아니라 전투기 자체적인 SW 및 HW의 정상작동 실패를 대상으로 하는 것이다. 아무리 임무계획이 잘 되었다 하더라도 전투기 자체적인 OS의 결함이라든지 ADC(Air Data Computer)의 오작동은 임무를 불가능하게 한다. 또한 정비측면에서 전투기 HW에 대한 정상 상태 보장이 불가능하다면 이륙조차 할 수 없는 상태가 되어 임무를 불가능하게 하는 치명적인 수준이 될 것이다.
IV. 사이버공격에대한 탐지 및 대응 방안
사이버공격에 대한 선제적 대응으로 공격을 위한 대상으로부터의 약점을 발견하고 이에 대한 대응을 함으로써 사이버공격에대한 방어와 신속한 회복을 가능하게 해야 한다. 아래 Fig. 7은 사이버공격에 대한 수준별 방어로서 기초적인 방어 수준, 주요핵심 대상에 대한 방어수준, 최종적인 상태에서의 방어 수준과 대상을 정의하고 보여주고 있다.
Fig. 7. Defense Elements for Mission Ready
4.1 단계별 방어를 위한 탐지모듈 제안
기초적인 수준에서부터 최종적인 수준으로의 방어를 위하여 구성요소들에 대한 지속적이고 시기적절한 점검이 수행되어야 한다. 일차적으로 모든 구성요소들에 대한 점검이 필요할 것이다. Table 3은 공격 수준별 점검할 대상에 대한 예를 보여주고 있다. 정상적인 작동을 위해 기본적인 점검 매뉴얼에 의하여 점검을 실시하여 임무준비 상태를 완벽히 유지할 수 있도록 해야 한다. 전체적으로 임무계획 SW, HW 그리고 정비를 위한 SW 및 HW를 점검해야 할 것이다. 완전한 수준의 점검을 위해 임무와 관련된 모든 구성요소들을 수준별로 정의하고 리스트로 정리하여 누락되는 요소 없이 점검해야 한다.
일상적인 점검만으로는 정밀하고 은밀한 사이버공격을 탐지하고 식별하는 것은 쉽지 않다. 대부분의 사이버공격 시 이미 정상적인 점검절차에 대한 특성과 취약성을 파악하고 공격자는 무기를 만들기 때문이다. 또한 모든 요소에 대한 정상적인 절차를 통하여 점검을 하고 탐지하려는 노력은 너무나 많은 시간과 비용이 소모된다.
본 논문에서는 이러한 절차에서의 효율성을 제고하기 위해 탐지모듈을 개발하여 적용할 것을 제안하였다. 탐지모듈의 특성은 전투기와 관련된 다양한 장비와 프로그램에 연결이 가능해야 할 것이다. 또한 모든 종류의 전투기 관련 SW에 대해 표준화된 소스코드를 확보해야 할 것이다.
임무계획에 대한 각 무장별, 임무별 데이터의 형태를 표준화하여 탑재함으로써 표준화된 형태에서 벗어난 변형된 상태의 코드를 찾아내어 공격을 탐지하게 되는 것이다. Table 4는 사이버공격에 대한 탐지모듈의 구성요소와 기능을 보여주고 있다.
이러한 모듈을 바탕으로 전투기 소프트웨어에 대한 탐지를 시작한다. Fig. 8은 제안한 탐지모듈의 동작과정을 보여준다. 우선 탐지모듈로 전투기의 특정시스템 및 장비에 접속한다. 접속한 다음 소스코드를 읽고 모듈에 저장되어있는 표준형태의 코드를 비교하여 무결성 여부를 판단한다. 무결성 여부판단을 위한 기본적인 검사는 해쉬 값을 비교한다. 그 다음 구체적인 값으로 입력되어 있는 하드 코딩된 값을 찾는다. 만약 무결성 검사결과 이상이 없다면 정상이므로 계획대로 임무를 실시한다.
Fig. 8. Detection Module Operation Algorithm
그러나 무결성 검사 결과 이상이 발견되어 코드의 변화가 있거나 하드 코딩된 속도 값이나 고도 값이 발견된다면 이것이 악성코드인지 판단을 내려야 한다. 일단 발견이 되면 즉시 임무중지를 하고 악성코드를 보고한다. 보고받은 악성코드를 분석하여 이것이 치명적인가 아닌가를 판단한다. 치명적이지 않다면 수행 가능한 임무와 비교하여 제한적으로 수행이 가능한 임무를 출력하고 종료한다.
치명적일 경우에는 수행할 수 있는 임무가 없으므로 임무불가능을 출력하고 종료한다. 예를 들어 기초적인 최하위수준의 영향도를 지닌 기초공격대상 수준의 영향도 또는 주요공격대상 수준의 영향도라면 제한적으로 임무가 가능하게 될 것을 보고하고 종료한다. 그러나 치명적인 수준으로 비행 자체가 위험한 수준을 나타내는 최종공격대상 수준의 영향도를 가지는 상태라면 임무수행 불가능 상태를 보고하고 종료한다.
기존의 항공 소프트웨어 형상관리는 무결성과 추적성 확보를 위한 형상식별, 형상통제, 형상감사 및 형상현황기록 등으로 세분화하여 관리하고 있다. 하지만 대부분 개발단계에서 실시하는 것이며, 기체와 데이터 통신이 이루어지는 개별적인 시스템 전체를 관리하지는 못하고 있다. 제안하는 탐지모듈은 점검뿐만 아니라 추가적인 기능으로 임무의 미치는 영향도를 판단하는 것이다. 예를 들어 GPS시스템에 문제가 생긴다면 표적의 획득이나 좌표획득에 관련되는 임무를 할 수가 없다. 그리고 TAS같은 속도 계통에 문제가 생긴다면 무장운용에 있어 많은 제한을 가지게 된다. 이렇게 일부의 시스템이 특정 비행임무에 영향을 줄 것인가 아닌가 하는 판단을 추가하여 영향 수준별 가능한 임무를 정의함으로써 조종사는 공대공 전투 임무, 공대지 공격 임무 등 다양한 임무에 해당 기체의 투입가능 여부를 판단하고 적용하게 될 수 있게 되고, 정비지원 분야에서는 기체의 가용성을 더욱 체계적으로 관리할 수 있다.
4.2 사이버공격 형태 및 방법
전투기가 임무를 하려면 다양한 시스템이 통합적으로 작동해야한다. 특히 비행을 위한 필수 정보의 통합은 가장 기본적이면서 중요하다고 할 수 있다.
본 논문에서는 모든 임무에 영향을 줄 수 있는 전투기 속도 시스템의 디지털 데이터로의 전환에 의한 단계에서 데이터 변조에 대한 공격 지점으로 선택하여 시현한다. 공격을 위한 악성코드설치는 3장에서 설명한 임무계획분야와 정비를 위한 데이터통신분야 중에서 정비 분야의 OFP 업그레이드 시에 전투기에 악성코드를 전달하여 설치하는 것을 예로 설명한다. 즉 정비관리 컴퓨터에 사전 침투하여 은닉 후 OFP 업그레이드를 위한 전투기와의 데이터 전송모듈 연결 시 이동하여 설치되게 된다.
Fig. 9는 표적시스템에 대한 공격절차 흐름을 보여준다. 즉 전투기가 임무를 위하여 특정한 위치에 도달하게 되면 그 위치 GPS 데이터를 기준으로 악성코드가 작동한다.
ADC의 데이터 처리과정에 악성코드가 작동하여 무장운용을 위한 TAS (True Air Speed) 값에 변화를 주게 되어 변조된 TAS를 FCS(Fire Control System)에 제공하게 된다. 이는 최종적으로 무장을 투하하기 위한 제원 산정에 영향을 준다. 결국 변조된 TAS값에 의하여 계산된 제원으로 무장이 발사된다면 정확한 탄착과 폭발에 의한 원하는 기대효과를 달성할 수 없게 되어 임무실패를 초래한다.
이러한 효과로 인해 사이버공격을 수행하는 주체는 그들의 공격 목적을 충분히 달성하게 되는 것이다.
전투기가 속도를 획득하고 보정하기 위해서는 다양한 시스템으로부터 소스를 받게 된다. Fig. 10은 이러한 데이터의 보정과 흐름을 보여준다.
Fig. 10. Air Data Flow
기본적으로 동·정압계통에서 정보를 받아서 CAS(Calibrated Air Speed)와 TAS를 생산하여 사용한다. 또한 GPS를 이용하여 GS(Ground Speed)를 만들고 보정하여 각 계통에 공급하게 된다[20]. Fig. 11은 GPS 위치정보를 받아들여서 시스템으로 제공하는 부분의 소스코드의 예이다.
Fig. 13의 소스코드에서 ①은 EGI(Enhanced GPS/INS)로부터 좌표 값을 받아들이는 것이다. ②는 받아들인 좌표 값을 특정 메모리에 저장하게 되는 것이다. ③은 특정메모리에 저장된 좌표 값을 FCS에서 읽어서 사용하게 된다.
Fig. 11. GPS Information of Location Use Code
4.3 변조된 속도에 의한 임무수행 결과
전투기는 계획된 속도와 위치정보에 의하여 정밀한 무장의 운용 계획을 작성하고 그것을 업로딩하여 사용하게 된다. 하지만 아무리 정확한 정보를 바탕으로 임무를 계획하더라도 실제로 운용단계에서의 부정확한 소스를 받게 된다면 잘못된 항공데이터로 인하여 사용할 수 없게 되거나 임무를 실패하게 된다. 결국 신뢰성 문제로 인하여 작전을 수행할 수 없게 되는 결과를 초래하게 된다.
아래 Fig. 12는 무장시스템에서 TAS를 참조하여 사용하는 코드의 예를 보여준다.
여기에 사이버공격을 위해 전투기가 특정한 지역에 위치하게 되면 그 위치에 대한 GPS 좌표값을 기반으로 악의적인 행위가 가능하도록 TAS를 변조하는 악성코드가 작동한다. 아래 Fig. 13은 GPS가 특정한 위치 값이 되었을 때 TAS 변조하는 악성코드를 보여준다.
Fig. 12. Weapon System Speed Use Code
Fig. 13. True-Airspeed Modulation Code
실제 TAS 값을 시스템 설계 허용치 범위(대략70~1700Kts) 내에 있도록 변조 되어야 한다. 그렇지 않을 경우 시스템은 이상을 발견하고 조종사에게 시스템 이상을 알려줘 비정상을 인지시켜준다. 따라서 변조하려는 속도의 값은 중요하다.
전투기의 설계 최대속도에 근접한 2.4마하일 경우를 메트릭 변환을 이용하여 환산해 보면 1,587.5kts로 환산이 된다. 최저속도와 관계없이 최대 속도에 환산하였을 경우 설계 허용치를 벗어나면 정상작동이 불가능하므로 112.5kts보다 작으면서 한계치를 넘지 않도록 ±12kts의 완충을 반영한 값인 Fig. 15의 ①에서와 같이 100kts를 변조 값으로 추가하여 저장하도록 한다. 만약 전투기가 2.4Mach에서 무장을 발사를 하려고 시도한다면 변조된 속도는 1,587.5kts + 100kts = 1687.5kts가 되어 설계 허용치 범위 내에 있게 되므로 시스템에서는 정상적인 시도가 이루어진다.
최저속도에서는 언제나 70kts이상이 될 것이므로 정상 작동에 문제가 없다. 그러나 전투기 무장계통에는 실제와는 다른 부정확한 속도를 제공한다.
이와 같이 변조된 속도는 무장투하 및 탄착 거리 및 지점 계산에서 실제와는 다른 결과 값을 도출하고 시현시켜 줌으로써 임무의 실패를 초래한다. Table 5는 MK-84 GP 2,000LBS 공대지무장에 대하여 고도 30,000ft, 무풍상태에서 300~800TAS까지의 탄착거리를 보여준다. TAS 100kts가 변화되어 공대지 무장 탄착지점에 대한 영향은 아래와 같으며 평균 6,183.4ft의 변화로 대략 6,000ft의 변화량을 가진다고 할 수 있다. 결과적으로 100kts가 변조되면 탄착거리 계산이 실제와 6,000ft정도 표적과 거리오차를 갖게 되어 임무를 실패하게 한다.
하지만 GPS 위치정보가 작동조건에서 벗어나게 될 경우는 다시 정상적인 상태로 환원되어 작동하게 되므로 신뢰성검사에서는 검출할 수가 없다. 또한 이러한 악성코드는 최초 도입 시 소스코드의 신뢰성 검사에서는 찾을 수가 없으므로 취약할 수밖에 없다.
이러한 소스코드의 환경을 볼 때 충분히 공격 가능한 약점이 존재하게 된다. 따라서 비단 TAS뿐만 아니라 ADC에서 보정된 값들이 변조됨 없이 각 필요 계통에서 사용되는가에 대한 무결성 검사가 필요하다.
특히 각 무장종류별 투하 시스템에 대한 속도입력 부분에 개별적인 검사가 필요하다. 점검 시기는 임무계획 PC 백신 업데이트 후, 무장 투하 임무 전, 임무계획 후, 항공전자장비시스템 교체 및 정비 후, 특정 시스템의 비밀 Key 등 외부 특정 데이터 장입 후, 사격을 위한 스마트웨폰 장착 후 점검을 통하여 결정적 임무 수행 전에 항공데이터 변조 공격에 대하여 선제적으로 탐지하여 임무수행여부를 결정함으로써 대응 할 수 있다.
V. 결론 및 향후연구
최근의 해킹기술의 변화와 발전에 의하여 독립적인 내장형 시스템에 대한 해킹 공격 가능성 등 사이버 위협이 매우 증대되었다. 그렇지만 전투기와 같은 내장형 시스템에 대한 적극적인 사이버방호 방법과 절차가 명확히 정립되지 않아 도입이후 심각한 공격위협에 노출된 상태로 지속운용 되어왔다. 따라서 본 논문에서는 군용항공자산에 대한 사이버 위협의 노출가능성을 감소하고자 전투기를 대상으로 위협탐지 및 대응방안을 제안하였다. 즉, 전투기 항공 데이터 변조 사이버공격의 수준별 대상과 방법을 정의하고 공격에 대한 피해를 무장시스템을 대상으로 산출 하였다. 이러한 피해에 대응하기 위한 탐지 방안을 제안함으로써 사이버공격에 대한 적극적 탐지 및 선제적 대응을 가능하게 하였다. 이러한 탐지방안을 제안하고 적용함으로써 현재 운용되고 있는 수많은 첨단 군사항공자산의 핵심기능이 정상 작동하도록 소프트웨어의 무결성을 보장하게 되었다. 제안한 방안은 전투기 항공데이터 변조공격에 대한 대응에 국한되는 것이 아니라 유사한 성격의 내장형 시스템으로 작동되는 모든 군용자산에도 적용 및 활용이 가능 하다.
향후 연구는 다양한 항공자산에 대한 각각의 항공전자장비시스템 접속 지점에서의 사이버공격에 대하여 능동적으로 탐지하고 대응할 수 있도록 탐지모듈의 세부적인 형태와 자동 패치기능에 대한 연구가 필요하다. 또한 전투기 연구를 위한 접근이 가능한 여건이 된다면 동적 테스트를 기반으로 더욱 발전된 결과를 획득하게 되고 관련된 추가적인 연구를 진행할 것이다.
참고문헌
- Marcusson, Lief, "The Sponsor'S Overview of an it Project, According to it Project Managers Opinion", Journal of Economics and Management Sciences, vol. 1, no. 1, pp. 65-77, May. 2018. https://doi.org/10.30560/jems.v1n1p65
- Snyder, Don et. al., "Cybersecurity of Air Force Weapon Systems: Ensuring Cyber Mission Assurance Throughout a System's Life Cycle", Rand Corporation, Oct. 2015.
- Waheed, Mohammed and Michael Cheng, "A system for real-time monitoring of cybersecurity events on aircraft," Digital avionics Systems Conference (DASC), 2017 IEEE/AIAA 36th. IEEE, pp.1-3, Nov. 2017.
- Koch, Robert and Mario Golling, "Weapons systems and cyber security -a challenging union," 2016 8th interna tional Conference on Cyber Conflict (CyCon), pp. 191-203, June 2016.
- Korea Internet & Security Agency, Software Development Security Guide for e-Government SW Developers/Operators, Jan. 2017.
- Micro software interactive, micro Software, Testing standards for embedded software, pp. 132-139, June 2011.
- Texas Instrument INC, SYS/BIOS (TI-RTOS Kernel) User's Guide, May. 2017.
- Wind River Systems INC, vxworks kernel programmers guide 6.2, Oct. 2005.
- Parkinson, Paul and Larry Kinnan. "Safety-critical software development for integrated modular avionics." Embedded System Engineering, vol. 11, no. 7, pp. 40-41, 2003
- Qian, Hua-ming, and Chun Zheng. "A embedded software testing process model." International Conference on Computational Intelligence and Software Engineering(CiSE) 2009 IEEE, pp. 1-5, Dec. 2009.
- Johnson, Leslie A., "DO-178B, Software considerations in airborne systems and equipment certification." Crosstalk, Oct. 1998.
- Kowkutla, Venkateswar, and Srivaths Ravi. "Security Standards for Embedded Devices and Systems." Fundamentals of IP and SoC Security. Springer, Cham, pp.295-311, Jan. 2017.
- Tsai, Wei-Tek, et al. "Rapid embedded system testing using verification patterns," IEEE software 22.4, pp. 68-75, July 2005. https://doi.org/10.1109/MS.2005.103
- Wotzak, William J., and Kenneth P. Fecteau. "Advanced integrated avionics testing system." U.S. Patent No. 5,638,383, June 1997.
- Abdelaziz, Adil A., Yaseen El-Tahir, and Raheeg Osman. "Adaptive Software Development for developing safety critical software." 2015 International Conference on Computing, Control, Networking, Electronics and Embedded Systems Engineering (ICCNEEE), pp. 41-46, Sept. 2015.
- SJeppu, Yogananda V., Kundapur Karunakar, and P. S. Subramanyam. "Testing safety critical Ada code using non real time testing." International Conference on Reliable Software Technologies. Springer, Berlin, Heidelberg, pp. 382-393, June 2003.
- Singh, Raghu. "International Standard ISO/IEC 12207 software life cycle processes." Software Process Improvement and Practice 2.1, pp.35-50, Mar. 1996. https://doi.org/10.1002/(SICI)1099-1670(199603)2:1<35::AID-SPIP29>3.0.CO;2-3
- Director.Operational Test and Evaluation, "Mission Planning Systems (MPS) / Joint Mission Planning System - Air Force (JMPS-AF)", FY 2017 Annual Report, pp.267-268, Mar. 2017.
- Cui, Ang, Michael Costello, and Salvatore J. Stolfo. "When Firmware Modifications Attack: A Case Study of Embedded Exploitation." NDSS. pp. 1-13, Feb. 2013.
- Foster, John, and Kevin Cunningham, "A GPS-based pitot-static calibration method using global output error optimization." 48th AIAA Aerospace Sciences Meeting Including the New Horizons Forum and Aerospace Exposition, p. 1350, Jan. 2010.