보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1811호(2017. 8. 30. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재.pdf

ž 구글이 2016년부터 급증하고 있는 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 2천 5백만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남

Ø 구글의 보안 연구원 3인은 세계 최대 보안 컨퍼런스인 ‘블랙햇(Black Hat) 2017’에서 이러한 조사 결과를 발표했는데, 발표에는 비트코인 조사 기관인 체이낼러시스(Chainalysis)와 캘리포니아 대학 샌디에이고, 뉴욕 대학 등이 함께 참여했음

us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

Ø 구글의 조사 내용은 두 가지였는데, 우선 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인이 사용한 지갑의 거래 이력을 조사하였음

Ø 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래이력 추적은 체이낼러시스가 담당하였음

Ø 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 랜섬웨어 ‘락키(Locky)’였다고 함

Ø 2013년 3분기부터 2017년 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음

<자료> Google [그림 1] 분기별 랜섬웨어 몸값 지불 추이

Ø 랜섬웨어로 벌어들인 금액이 100만 달러가 넘는 ‘밀리언 달러 플레이어’들도 차례로 나타났는데, 받아 낸 몸값 총액을 보면 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트XXX(CryptXXX) 190만 달러 순서임

Ø 한편 최근 전세계적으로 감염 우려를 낳으며 논란을 일으켰던 워너크라이(WannaCry)가 받아 낸 몸값은 의외로 10만 달러에 불과하였음

ž 한편 랜섬웨어를 유포한 범인들은 거의 대부분 러시아인이 운영하는 비트코인 거래소 ‘BTC-e’를 통해 환전하는 것으로 조사됨

Ø 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 비트코인 거래소로는 1위가 ‘LocalBitcoins.com’, 2이 ‘Bithumb.com’, 3위 ‘Coinbase.com’이었음

Ø 랜섬웨어 공격자는 지불 받은 비트코인을 ‘BTC-e’라는 거래소에서 환전하는 것으로 나타났는데, 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있었다고 함

Ø 구글이 이번 조사를 발표하기 하루 전날 BTC-e의 운영자인 러시아인 알렉산더 비닉이 그리스의 한 휴양지에서 미 FBI와 그리스 당국에 의해 체포되었는데, 뉴욕타임스에 따르면 비닉은 2014년 벌어진 ‘마운트 곡스(Mt. Gox)’ 거래소의 비트코인 도난 사건에도 연루되어 있음

Ø 일부 보안 전문가들은 랜섬웨어 같은 아이디어는 과거에도 있었지만, 최근 들어 랜섬웨어가 만연하게 된 것은 비트코인이라는 익명성 높은 송금 수단이 등장했기 때문이라 지적하기도 함

Ø 그러나 이번 구글의 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적 할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포로 조만간 폐쇄되면 익명성이 크게 약화될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨

ž 구글은 이번 조사결과 발표와 더불어 3가지 종류의 랜섬웨어 ‘락키, 케르베르, 스포라’의 구조를 예로 들며 랜섬웨어의 기술 수준이 빠르게 향상되고 있음을 보여주었음

Ø 2016년에 등장한 락키는 랜섬웨어의 피해가 확대하는 계기가 된 동시에, 사상 처음으로 한달 동안 100만 달러 이상의 몸값을 받아 낸 것으로도 유명함

Ø 락키에 관해서 지적된 것은 이 랜섬웨어는 ‘네커스(Necurs)’라는 봇넷을 이용해 확산된다는 점인데, 봇넷은 멀웨어(악성 소프트웨어)에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 ‘전달 서버’로 변할 수 있다는 것임

Ø 케르베르는 ‘랜섬웨어 애즈 어 서비스(RaaS)’의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임

Ø 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용 할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1 분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임

Ø 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스(UI)를 갖추고 있음

Ø 구글이 공개한 스포라 피해자를 위한 UI에는 ‘완전 복구는 79 달러’, ‘파일 복구는 30 달러’, ‘랜섬웨어 제거는 20 달러’라는 메뉴 버튼과 비트코인을 사용한 결제 화면까지 제공되고 있음

<자료> Google [그림 2] 랜섬웨어 스포라의 사용자 인터페이스

ž 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부 매체에 백업하지 않기 때문에 피해가 확대되고 있다며, 백업의 중요성을 강하게 호소

Ø 앞서 일부 전문가들의 지적처럼 비트코인의 등장이 랜섬웨어의 확산을 가져왔다는 분석은 일견 타당한 면이 있으나, 마치 비트코인 때문인 것으로 오해해선 안 된다는 견해도 있음

Ø 비트코인이 익명성 기반 결제 방식이기 때문에 해커들이 비트코인을 선호한다고 생각할 수 있지만, 사실 익명성만 놓고 본다면 추적 위험 없이 우편물로 보낼 수도 있고 전세계 어디서나 사용이 가능하며 재판매도 가능한 선불카드라는 보다 뛰어난 선택지가 있기 때문

Ø 또한 이번 구글의 추적에서 드러났듯 비트코인 거래는 비록 가명일지라도 블록체인에 그 흔적을 남기게 되므로, 해커가 환전을 할 때 부주의 하게 이름이나 IP 주소를 입력하게 된다면 자신의 정체가 드러날 수도 있고 이것이 빌미가 되어 체포될 가능성도 있는 수단임

Ø 해커들이 비트코인을 선호하는 실제 이유는 피해자가 언제 돈을 지불했는지 간단히 블록체인만 보아도 알 수 있고, 피해자마다 개별 계좌번호를 만들어 몸값을 지불한 피해자의 파일을 자동으로 암호 해제할 수 있는 편리함이 있기 때문

Ø 또한 범죄를 통해 불법적인 수익을 취하는 것이기 때문에 시스템이 제대로 작동하지 않을 경우 기술 지원이나 법적 지원을 받을 수 없는 치명적인 약점이 있기 때문에 사용 도구를 신중히 선택해야 하는데 그런 점에서 비트코인은 안정적인 시스템이기 때문임

Ø 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음

Ø 구글이 제시한 피해 방지 방법도 결국 데이터 백업을 하라는 매우 기본적인 것인데, 강력한 비밀번호를 사용하고 이를 노출하지 않으며, 그럴 듯한 이메일이라도 발신자가 수상하면 열어보지 않는 등의 기본적인 행위야말로 가장 강력한 보안 대책인 것임

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1761호(2016. 8. 31 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

블랙햇과 데프콘_IoT와 자동차 해킹 초점.pdf

[요 약 ]

매년 8월 초에는 세계 양대 정보 보안 컨퍼런스인 ‘블랙햇(BlackHat)’과 ‘데프콘(DEF CON)이 개최되어, 업계 관계자들이 모여 해킹의 최신 트렌드와 이에 대한 대응 방안을 논의함. 올해 두 행사에서는 커넥티드 카와 자율주행차에 대한 해킹, 스마트 홈과 IoT에 대한 해킹 가능성이 큰 관심을 모았으며 활발한 논의가 이루어졌음. 아울러 데프콘에서는 인간과 인공지능 간 해킹 실력 경연이 벌어져, 향후 인공지능에 의한 사이버공격 자동방어 시스템의 출현을 예고하였음

[ 본 문 ]

◈ 세계 최대 연례 정보 보안 컨퍼런스인 “블랙햇(Black Hat)”의 19번째 행사가 8월 초 미국 라스베이거스에서 개최

• 블랙햇이란 해킹 사실을 피해자에게 알리지 않고 다른 해커나 일반인에게 전파하여 해당 기관이 보안 대책을 세우기 전에 그 약점을 이용하도록 하는 해커나 크래커를 일컫는 업계 용어임

<자료> Hacker Post [그림 1] 역대 최대 인원 참가, 블랙햇 2016

• 명칭에서 알 수 있듯, 당초 블랙햇은 해커들의 이벤트라는 색깔이 강했으나, 현재는 IBM, RSA, 마이크로소프트 등 대기업들도 참여가 허용되고 있음

• 올해 블랙햇에는 전세계 100여 개 국에서 역대 최고인 1 만 1천 명 이상의 보안 전문가와 기업 관계자가 참가했는데, 120 개 이상의 세션과 70 개 이상의 기술 교육이 열렸으며, 250 개 이상의 기업이 부스를 개설해 방문자에게 자사 제품을 어필하였음

◈ 개막 기조 연설에는 컴퓨터 보안 연구자 댄 카민스키 씨가 등단했는데, 그는 인터넷 환경의 변화 속도 증가를 지적하며 보안을 위해 소스 코드 공유를 권고

• 카민스키는 2008 년에 ‘DNS 캐시 포이즈닝(DNS Cache Poisoning Attack)’을 발표한 것으로 유명한데, 후에 ‘카민스키 공격’이라 불린 이 기법은 DNS 캐싱에 있던 취약점을 악용하여 캐시 DNS에 저장된 쿼리 정보를 위, 변조하는 것임

• 캐시 포이즈닝 공격은 도메인 이름을 탈취하여 본래 목적지로 향하는 통신을 차단하며, 이 공격을 받으면 유해 사이트로 유도하거나 이메일 내용을 도청 당할 수 있음

• 카민스키는 인터넷을 둘러싼 환경 변화 속도가 급격히 빨라지고 있음을 지적했는데, 인터넷을 이용한 여러 프로젝트들이 이전에는 1 개월 정도 실시된 것에 비해, 지금의 모바일 앱 업데이트는 몇 분 단위로 실행되고 있는 상황임

• 이런 변화의 속도를 받아들여, 보안 유지를 위한 결정을 신속하게 내릴 필요가 있다는 것이 카민스키의 주장

• 또한 그는 건전하고 안전한 인터넷 환경은 정부 및 공공기관 등의 규제에 의해 실현되는 것이 아니며, 엔지니어와 보안 전문가들이 인터넷 전반에 관한 정보를 공유하고 취약점 대책을 강구하여 실현할 것을 목표로 삼는 것이 보다 유익하다고 주장

• 웹 서비스 등의 엔지니어들이 소스 코드를 공개하기 전에 공유하여 취약점을 발견하게 되면 인터넷의 안정성은 높아지는 대신, 개발 비용을 절하고 혁신도 진전시킬 수 있다는 것

• 이러한 과제는 IoT(사물인터넷) 분야에도 해당되는데, 특히 소비자용 제품은 소스 코드의 보안 검사가 허술해 취약점을 내포한 채 출시되는 경우가 많으며, 이처럼 보안이 담보되지 않은 제품이 인터넷에 연결되면 그 제품을 트리거 한 공격 위험이 증가함

• 인터넷이나 스마트폰의 경우 등장한 지 얼마 안된 무렵에는 보안 위험을 걱정하지 않았으나, IoT는 등장하자마자 보안 위험에 노출되어 있다며, 소스 코드의 공유를 통해 제품의 보안성을 향상시킬 필요가 있다고 호소

◈ 블랙햇에서는 매번 자동차와 의료기기에 대한 해킹 사례나 소프트웨어 및 웹 서비스의 새로운 취약점이 보고 되는데, 올해도 예외는 아니었음

• 작년 대회에서는 보안 연구자 찰리 밀러와 크리스 밸러섹이 주행 중인 지프 체로키 차량에 전화선을 통한 원격 조작으로 액셀레이터과 브레이크 기능을 무력화하는 실증 실험을 선보인 바 있음

<자료> WIRED [동영상] 찰리 밀러와 크리스 밸러섹의 지프 체로키 해킹

• 이 데모의 영향으로 자동차 대기업 피아트·크라이슬러·오토 모빌스(FCA)는 140 만 대의 지프 체로키 차량을 리콜 수리 중에 있음

• 올해도 두 연구자는 ‘Advanced CAN injection Techniques for Vehicle Networks(차량 네트워크를 위한 개선된 CAN 인젝션)’이라는 제목으로, 차량 정보를 취득하는 ‘OBD2’ 커넥터를 통해 액셀레이터와 브레이크의 기능을 비활성화하거나 임의로 조작할 수 있음을 실증 실험을 통해 증명하였음

<자료> EE Times

[그림 2] 커넥티드 카의 노출된 약점 15개

◈ 하드웨어 전문 보안 연구자인 콜린 오플린은 필립스가 출시한 스마트 IoT 조명 시스템을 드론을 이용해 원격 해킹하는 방법을 소개

<자료> BlackHat [그림 3] 오플린의 자작 IoT 해킹 도구

• 필립스는 집 안의 전기를 스마트폰으로 조작할 수 있는 ‘필립스 휴 시스템(Philips Hue system)’을 내놓았는데, 오플린은 10~20 미터 떨어진 곳에서 단거리 무선통신 규격인 지그비(ZigBee) 보드와 USB 전원 장치 만으로 해킹해 전기를 온·오프하는 방법을 소개

• 영상으로 공개된 데모에서 오플린은 필립스 휴 시스템을 이용하고 있는 오피스 빌딩 근처에서 직접 만든 해킹 장치를 탑재한 드론(무인 항공기)을 비행시켜, 5~6층의 전기를 점멸시키는 것을 보여주었음

◈ 개별 세션에서는 해킹 사례 외에도 사용자의 보안 의식에 관한 연구도 발표되었는데, 구글의 연구자는 인간 심리의 허점을 교묘히 찌르는 소셜 엔지니어링 기법을 소개

  ※ 발표자료 링크 : Does Dropping USB Drives In Parking Lots And Other Places Really Work?

• 구글의 엘리 부르츠타인 연구자는 소셜 엔지니어링 연구의 일환으로 ‘주차장이나 공공시설에 떨어져 있는 USB 메모리를 주운 후 자신의 PC로 연결해 보는 사람은 있는가’에 대한 조사 결과를 발표

• 조사 결과 미국 일리노이 대학 캠퍼스에 뿌려진 297 개의 USB 메모리 중 48%가 PC에 연결되어 USB 메모리에 있는 파일이 클릭되었으며, 이들 중 20%가 1 시간 이내에 50%가 7 시간 이내에 연결되었음

• 부르츠타인은 ‘USB 메모리를 사용한 공격은 대표적인 소셜 엔지니어링 공격 기법이지만, 이렇듯 단시간에 PC에 연결된다는 것은 놀라운 일’이라고 평가

• 지난 2010년 6월에 발각된 이란의 핵 시설을 겨냥한 사이버 공격 ‘스턱스넷(Stuxnet)’의 발단은 시설 내에 떨어진 USB 메모리를 통한 감염이라고 알려져 있음

• 부르츠타인은 이번 연구가 다수의 보안 사건 및 사고가 사람에 의해 발생할 수 있다는 것을 환기시킬 수 있는 연구 결과라고 총평

<자료> BlackHat [그림 4] USB 고의 분실을 통한 해킹

◈ 블랙햇 참가자들의 즐거움 중 하나는 ‘포니상(The Pwnie Award)’ 시상인데, 지난 1년 동안 보안에 기여한 연구자와 보안상 구멍이 뚫린 제품이나 서비스를 표창하는 것임

• 올해 컨퍼런스에서도 서버 및 클라이언트 접근 권한, 백도어 등 17 개 카테고리에서 각각 수상자가 표창되었음

• 서버 부문에서는 시스코 시스템즈가 자사 보안 제품인 ‘적응형 보안 어플라이언스(Adaptive Security Appliance)’에서 올해 2월 발견된 취약점으로 수상했는데, 이는 정교한 UDP 패킷을 보내면 임의의 코드를 실행시킬 수 있는 취약점임

• 시스코는 보고 즉시 ‘심각한 취약점’이라고 판단해 패치 파일을 전격 공개한 바 있으며, 이번 시상식에도 시스코 직원들이 등단해 ‘취약점을 보고한 연구원에 감사 드리며, 이를 교훈 삼아 보안을 더욱 강화하기 위해 노력하겠다’는 수상소감을 발표

◈ 한편 블랙햇 개최에 즈음해 또 하나의 국제 보안 이벤트인 "DEF CON(데프콘)"의 24번째째 행사가 블랙햇과 마찬가지로 미국 라스베이거스에서 개최되었음

• 미국의 해커 제프 모스(Jeff Moss)가 창설한 데프콘은 전세계 해커들이 해마다 모여 기술력을 겨루는 국제 대회로, 데프콘이란 명칭은 영화 ‘워게임(WarGames)’에서 따왔다고 하며, 제1회 대회는 1993년 개최되었음

• 컴퓨터 보안 관련 교수와 학생, 저널리스트, 법률가, 정부 및 민간 관계자들이 대거 참관하는 데프콘은 ‘해커 올림픽’이라고도 불림

• 데프콘은 블랙햇과 더불어 세계 최대의 보안 이벤트로 자리 매김하고 있으며, 개최 시기와 장소가 겹치는 덕분에 블랙햇 참가자의 절반 이상이 데프콘에 참여하고 있는데, 올해는 전년 대비해서도 24% 증가한 2만 2천여 명이 컨퍼런스에 참여

<자료> Inverse [그림 5] 데프콘 24의 해골 뱃지들

• 데프콘이 블랙햇과 크게 다른 점은 자원 봉사자들에 의해 운영되고 있다는 것이며, 해골 모양을 본뜬 노출된 기판으로 만든 입장 뱃지의 제작이나 ‘빌리지(village)’라 부르는 워크숍 모임의 기획·운영 모두 자원 봉사자들이 담당하고 있음

• 참가 비용에도 차이가 있는데, 블랙햇이 1,895~2,595 달러로 비교적 고가인 반면, 데프콘은 240 달러로 저렴한 편

◈ 테마별 워크숍이라 할 수 있는 데프콘의 빌리지는 다양한데, 올해 컨퍼런스에서는 전자제어 카드 키 시스템 해킹을 소개한 빌리지가 인기를 모았음

• “자동차 해킹 빌리지(Car Hacking Village)”에서는 워크샵 주최자가 자동​​차 내부 네트워크인 CAN(Car Area Network)에 공격 코드를 보내 해킹하는 기법을 소개하고, 키리스 엔트리(Keyless Entry)를 구현한 도요타의 취약점을 설명하는 등 지금까지 밝혀진 자동차 해킹의 구조 등을 다루었음

• 키리스 엔트리란 차 키를 이용해 문을 열거나 시동을 걸지 않고, 키를 몸에 키를 지니고 있기만 하면 차에 다가갈 때 문의 잠금이 해제되고, 키를 꽂지 않아도 시동 스위치를 돌리면 시동이 걸리게 만드는 시스템을 말함

• IoT 빌리지에서는 의료기기 및 가전 제품, 공공 시설에 설치되어있는 네트워크 감시 카메라 등의 취약점을 설명했는데, 실제로 일반 가정에서 사용하는 무선 랜 라우터의 취약점을 해킹하는 워크숍도 열렸음

• 빌리지 중에서 인기가 높았던 것은 “자물쇠 따기 빌리지(Lock Picking Village)”였는데, 특수 도구를 사용해 자물쇠를 따거나 호텔 등에서 이용되는 전자제어 카드 키 시스템을 해킹 하는 방법이 소개되었음

• 지난 2012년 휴스턴의 하얏트 호텔에서 카드 키 회로 기판의 취약점을 노린 사이버 공격에 의해 객실 기물 파손 사건이 여러 건 발생한 바 있음

• 카드 키의 해킹 수법은 이미 공개되어 그 대책이 강구되고 있지만, 카드 키에 적용되는 암호화 방법은 간단한 무차별 대입 공격에 깨지는 수준임에도, 취약한 카드 키 시스템을 이용하고 있는 호텔들이 여전히​​ 존재한다고 함

◈ 데프콘 24에서는 참가자들의 안이한 보안 의식에 긴장감을 주기 위해 참가자들의 PC나 스마트폰을 고의로 해킹하는 이벤트도 있었음

<자료> Peerlyst [그림 6] 공개 와이파이 이용자에 대한 해킹

• 대회장에는 여러 개의 개방형 액세스 포인트(AP)가 존재했는데, 게 중에는 부주의하게 접속한 사용자의 PC나 스마트폰을 해킹하기 위한 것도 있었음

• ID나 패스워드를 암호화하지 않고 액세스 포인트에 연결할 경우 ‘Wall of Sheep(양의 벽)’이라는 대회장의 스크린에 사용자의 이름과 ID, 패스워드가 가차없이 노출되었는데, 이는 자동으로 개방형 와이파이에 접속할 경우 해킹의 위험이 있음을 환기시키기 위한 것

◈ 블랙햇 뿐만 아니라 데프콘에서도 100개 이상의 데모와 세션이 개최되었는데, 특히 커넥티드 카에 대한 해킹에 많은 관람객이 몰렸음

• 데프콘 시연회의 특징은 테마의 범위가 넓은 것인데, 자동차나 ATM(현금 자동입출금기) 등 전통적인 테마는 물론, 태양전지 패널, 웹 캠, 통신 기능을 가진 성인용품까지 해킹 대상이 되었으며, 각각의 취약점과 일부 해킹 기법이 시연과 더불어 소개되었음

• 시연회 중에서도 이목이 집중된 것은 커넥티드 카에 탑재된 레이더와 카메라를 해킹하는 시연을 상세한 설명과 곁들인 세션이었음

• 중국의 인터넷 보안업체인 ‘치후 360 테크놀로지(Qihoo 360 Technology)’에서 자동차의 사이버 보안 부문을 담당하는 패디 류 교수는 테슬라 모터스, 폭스바겐, 아우디 등의 차량이 탑재한 ‘고급 드라이빙 지원 시스템(ADAS)’을 오작동시키는 데모를 선보였음

※ 발표자료 링크 Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle

• ADAS는 레이저를 이용한 레이더인 리다(LiDAR), 초음파 센서, CCD(전하결합소자) 카메라 등을 이용해 다른 차량이나 장애물을 감지해 추돌 전에 자동 브레이크로 정지나 감속시키는 시스템

<자료> Jianhao Liu [그림 7] 자동차 ADAS 시스템에 대한 스푸핑 공격(위)과 흡음소재를 이용한 교란(아래)

• 또한 ADAS는 차고로 들어갈 때에는 초음파 센서로 주변을 감시하고 후방 충돌을 피하기 위해 핸들 조작을 지원하는 기능도 가지고 있는데, 최근 자율주행을 지향하는 모델에 탑재되는 핵심 부품들이기 때문에 해킹 여부에 지대한 관심이 쏠리고 있는 것

• 류 교수는 초음파 센서에 대한 ‘방해 공격’을 통해 ADAS가 장애물을 인식하지 못하게 하는 데모를 선보였는데, 방해 공격은 초음파 센서와 동일한 주파수 대역의 전파를 대상물의 근처에서 발생시킴으로써 초음파 센서를 오작동시키는 것임

• 또한 장애물을 인식하는 CCD 카메라에 일정한 파장의 빛을 비춰 주위의 장애물을 인식할 수 없게 만드는 데모도 공개했으며, 리다를 향해 유사한 패턴을 가지는 펄스 신호를 전송하여 스푸핑 하는 것도 가능하다고 소개하였음

• ADAS를 오작동 시키기 위한 가장 저렴한 도구는 초음파 센서의 음파를 흡수하는 ‘흡음 소재’인데, 류 교수는 흡음 소재를 품에 안은 사람이 자동차의 앞을 가로질러 가도 ADAS가 작동하지 않고 자동차가 계속 주행하는 영상도 소개하였음

◈ 데프콘 행사의 메인 이벤트는 상호 공격과 수비 실력을 겨루는 ‘깃발 잡기(CTF, Catch The Flag)’이지만, 올해는 인공지능이 참여해 인간과 겨룬다고 해서 화제가 되었음

• CTF는 자신들의 서버는 방어하면서 다른 팀의 서버를 공격하며, 시스템 내에 숨겨진 취약점(깃발)를 발견하고 수정하는 기술을 겨루는 경기로, 데프콘 CTF에는 전세계 각 지역의 예선을 통과한 14개 팀이 참여하였음

• 올해 데프콘 CTF에는 카네기멜론대학 ‘포올시큐어팀(Team ForAllSecure)’이 만든 슈퍼컴퓨터 ‘메이험(Mayhem)’이 본선 경연자로 참가했는데, 인공지능(AI) 슈퍼컴퓨터가 데프콘에서 인간들과 해킹 방어 대결을 펼친 것은 이번이 처음임

• 메이험은 보안 취약점 발견에는 인간 해커들보다 실력이 떨어졌지만, 취약점을 보완하고 수정하는 패치 능력은 매우 높은 수준을 보여줘 경연 참가자들을 놀라게 했으며, 향후 해킹 분야도 인공지능이 사람을 능가할 가능성이 있다는 평가를 이끌어냈음

◈ 올해는 데프콘 CTF 보다 같은 장소에서 미 국방부 방위고등연구계획국(DARPA)이 주최한 ‘사이버 그랜드 챌린지(Cyber​​ Grand Challenge, CGC)’가 더 큰 주목을 받았음

• CGC는 데프콘 행사와 관련이 없지만, CGC의 최종 결승전이 데프콘과 같은 장소에서 개최되었고, 데프콘에서도 CGC와 관련한 여러 세션이 열리면서, 자연스레 두 행사가 하나로 묶여 진행이 되었음

<자료> DARPA [그림 8] 인공지능 해킹 경영대회 CGC, 맨오른쪽이 메이험

• CGC의 기본 규칙은 일반 CTF와 마찬가지로, 시스템의 취약점을 찾아 내고 수정하면서 다른 팀의 시스템을 공격하는데, CGC의 특징은 이러한 일련의 작업을 컴퓨터가 자율적으로 수행하도록 하는 데 있음

• DARPA는 2013년 10월에 CGC의 개최를 발표하며, ‘제로데이 공격에 신속하게 대응할 수 있는 프로그램 개발이 목적’이

라고 했는데, 취약점의 발견과 수정을 자동화함으로써 강력한 사이버 공격 자동방어 시스템을 구축하려는 정부 정책의 일환이라고 함

• CGC에 대한 미국 정부와 국방부의 관심은 대회 예산 규모에서도 드러나는데, DARPA는 CGC에 약 5,500만 달러를 투자하였음

• CGC 예선에는 미국 전국에서 104 팀이 참가하였으며, 최종적으로 7개 팀이 결승전을 벌였는데, 이 7개 팀은 사전에 DARPA가 제공 한 75만 달러의 연구지원금을 바탕으로 프로그램을 개발해 결승전에 임했음

• CGC에서 우승한 컴퓨터가 바로 카네기멜론대학 포올시큐어팀의 메이험이었으며, 우승 상금 200만 달러와 함께, 데프콘 CTF에 참가할 수 있는 기회를 부여 받았음