지구 표면 수백 마일 위에는 위성 수천 개가 지구 궤도를 돌면서 세계가 원활한 통신 상태를 유지하도록 한다. 시간 체계와 GPS, 통신 기술 모두 위성을 바탕으로 실행된다. 그러나 어느 한 보안 연구팀이 다년간 위성 보안을 조사한 뒤 위성의 사이버 보안 방어 노력을 강화해야 할 필요성을 경고했다.
어느 한 독일 학술 연구팀이 새로이 공개한 분석 결과는 현재 지구 위를 떠다니는 위성의 보안 취약점 몇 가지를 엿볼 수 있는 자료를 제시한다. 보훔루르대학교 전문가와 CISPA 헤름홀츠 정보보안 연구소(Cispa Helmholtz Center for Information Security) 소속 전문가로 구성된 연구팀은 소형 위성 3대에서 사용하는 소프트웨어를 조사한 뒤 기본 보호 조치 몇 가지가 없다는 사실을 발견했다.
연구 논문에는 연구팀이 조사한 위성에는 펌웨어 자체에 간단한 취약점 여러 개가 존재하며, 지난 10년간 우주 궤도에 도달한 뒤 보안 연구가 거의 이루어지지 않았다는 분석 결과가 명시되었다. 연구팀이 발견한 문제 중에는 위성 시스템과 통신이 가능한 이의 보안 보호 부재, 암호화를 적용하지 못한 점 등이 있다. 이론상 연구팀이 발견한 것과 같은 문제는 공격자가 위성을 통제하고는 다른 위성 신호를 방해할 수도 있다.
오늘날 사용하는 위성 종류는 규모, 사용 목적 등에 따라 다양하다. 상용화 기업이 제작한 위성은 지구 사진 촬영과 내비게이션 데이터 전송 등에 사용하는 것을 발견할 수 있다. 군사용 위성은 비밀에 가려진 상태이며, 종종 감시 목적으로 이용한다. 과학 연구 기관과 대학 등이 운영하는 연구 위성도 있다.
이번 보안 분석 연구를 이끈 보훔루르대학교 대학원생 요하네스 빌볼드(Johannes Willbold)는 현재 위성 보안 상태를 ‘모호한 상태의 보안’으로 분류할 수 있다고 말한다. 즉, 위성 보안 수준과 관련하여 알려진 부분이 거의 없다는 뜻이다. 빌볼드는 연구팀이 우주에 위성을 띄운 여러 기관에 연락하여 펌웨어를 조사할 수 있는지 문의했으나 대부분 거부하거나 답변이 없었다고 밝혔다. 이에, 연구팀의 연구에 협력한 기관 3곳의 개방성을 높이 평가했다.
[사진=Pixabay]
연구팀이 집중적으로 연구한 위성 3개는 주로 대학 기관에서 운영하는 지구 저궤도를 도는 연구 위성이다. 연구팀은 2013년 발사된 에스토니아 큐브 위성 ESTCube-1과 유럽 우주국의 공개 연구 플랫폼인 OPS-SAT, 슈투트가르트대학교와 방위산업체 에어버스(Airbus)가 제작한 플라잉 랩탑(Flying Laptop)을 조사했다.
연구팀은 조사 대상이 된 위성 3곳에서 보안 취약점 6종을 발견했으며, 세 위성의 취약점 수는 총 13개라고 밝혔다. 연구팀이 발견한 취약점 중에는 지상의 위성 실행 기업이 궤도 진입 시 위성과 통신할 때 사용하는 ‘보호되지 않은 원격 실행 인터페이스’도 있었다. 빌볼드는 “종종 처음부터 보안 조치가 적용되지 않은 것으로 나타났다. 기본적으로 위성 작동 시 아무것도 확인하지 않는다”라고 말했다. 빌볼드는 연구팀을 대표하여 2023년 8월, 라스베이거스에서 개최될 블랙햇 보안 컨퍼런스(Black Hat security conference)에 참석할 예정이다.
연구팀은 위성 소프트웨어의 취약점 이외에도 여러 위성이 사용하는 것으로 드러난 코드 라이브러리의 문제점도 발견했다. 연구 논문은 나노 위성 제조사 곰스페이스(GomSpace)가 개발한 소프트웨어의 스택 기반 버퍼 오버플로 취약점을 상술했다. 연구팀은 스택 기반 버퍼오버플로의 원인이 2014년 마지막으로 업데이트된 라이브러리 내부에 있다고 지적했다. 빌볼드는 연구팀이 문제를 보고하자 곰스페이스 측이 문제를 인정했다고 전했다. 곰스페이스는 위성 소프트웨어 보안 결함 관련 문의에 답변하지 않았다.
와이어드의 취재에 응한 연구팀이 조사한 위성 개발사 모두 펌웨어를 연구팀에 제공한 것이 득이 되었으며, 미래 위성을 위해 관련 문제를 다룰 것이라고 밝혔다. 유럽우주국 미션 작전부 책임자 사이먼 플럼(Simon Plum)은 유럽우주국이 우주 연구 기관이므로 OPS-SAT에 적용한 보안 수준이 다른 탐사선과 다르다고 주장했다. 이어, 플럼은 유럽우주국이 연구팀의 분석 결과를 검토 중이며, 이미 위성에 최소 1가지 변경 사항을 적용했다고 밝혔다. 플럼은 “사이버 위협에서 우주 시스템을 보호하고, 우주 사이버 보안 분야에서 회복성이라는 문화와 보편적 지식을 개발하고자 한다”라고 말했다.
ESTCube 프로젝트 연구를 진행 중이던 안드리스 슬라빈스키스(Andris Slavinskis) 에스토니아 타르투대학교 부교수는 연구팀의 위성 보안 분석 결과가 위성과 중요한 관련성이 있으며, ESTCube-1 시스템은 “큐브 위성이 마구 발전하던 초기에 개발 후 발사되었다”라고 전했다. 슬라빈스키스 부교수 연구팀은 2023년 중으로 두 번째로 개발된 ESTCube-2 발사 계획을 준비 중이다. 반면, 플라잉 랩탑 개발 과정에 참여한 사빈 클린크너(Sabine Klinkner) 슈투트가르트대학교 위성 기술 교수는 빌볼드 연구팀이 발견한 취약점이 위성 기능과 접근성 간 균형을 맞추려 한 결과라고 전했다.
클린크너 교수는 “다수 대학 위성과 마찬가지로 플라잉 랩탑의 위협 모델은 링크를 확립하고 위성으로 유효한 명령을 보내는 과정의 큰 문제에 맞서 학술 위성 공격을 막으면서 얻을 장점에는 거의 초점을 맞추지 않았다”라고 말했다. 이어, 지금까지 플라잉 랩탑의 악성 연결이 감지된 적이 없으며, 추후 위협 방지를 위해 사이버 보안 조치를 강화할 계획이라고 덧붙였다.
주로 연구 및 학계 위성에 초점을 맞춘 위성 보안 분석 결과가 발표되었으나 다수 전문가가 몇 년간 우려한 위성 관련 보안 위험은 더 넓은 영역에 존재한다. 우주 사이버 보안을 집중적으로 연구하는 그레고리 팔코(Gregory Falco) 존스홉킨스대학교 부교수는 연구원이 위성 펌웨어 관리 권한을 직접 얻고 관련 연구를 발표하는 사례가 드물다고 말했다. 그는 빌볼드 연구팀이 발표한 분석 결과와 같이 공개적으로 접할 수 있는 위성 보안 분석 연구가 거의 없다고 전했다.
우주 시스템은 과거에도 경고 대상이 되었다. 다수 연구원이 사이버 공격에 대비하여 우주 시스템 보호 수준을 높이고, 위성 개발 방식을 개선해야 할 필요성을 오랫동안 이야기했다. 팔코 부교수는 우주 펌웨어와 소프트웨어 개발이 악몽과도 같은 두 가지 이유를 다음과 같이 전했다. 먼저 레거시 소프트웨어를 종종 개발 과정에 사용하지만, 업데이트는 거의 없다는 점을 언급했다. 이어, 팔코 부교수는 우주 시스템을 소프트웨어 개발자가 개발하는 것이 아니라는 점을 지적했다. 빌볼드 연구팀은 우주 산업 전문가 19명을 대상으로 직접 개발한 우주 시스템의 보안 수준도 조사했다. 연구팀의 논문에 따르면, 조사에 응한 어느 한 전문가는 “위성 시스템 보안보다는 정상 기능 작동에 더 초점을 맞추었다”라고 답변했다.
군사 국책 연구소 로열 유나이티드 서비스 연구소(Royal United Services Institute) 연구 애널리스트 겸 정책 책임자인 줄리아나 수에스(Juliana Suess)는 소프트웨어와 펌웨어 취약점 이외에도 위성 시스템을 공격할 방식이 많다고 설명했다. 위성으로의 신호 전송 및 수신을 방해하는 전파 방해와 스푸핑(spoofing) 공격을 대표적인 예시로 언급할 수 있다. 수에스는 “우주에 없어도 위성을 공격할 수 있다”라고 언급했다. 2022년, 어느 한 연구팀은 임무를 끝낸 위성이 악성 TV 신호 송출에 악용될 수 있다는 사실을 입증했다. 2007년 10월과 2008년 7월, 미국 위성 2대의 신호 장애 발생 배후로 중국 해커 조직이 지목됐다.
수에스는 2022년, 러시아의 우크라이나 침략 초기 발생한 비아샛(Viasat) 위성 시스템을 노린 사이버 공격이 우주 산업의 보안 문제 경각심을 더하는 계기가 되었다고 전했다. 2022년 2월 24일(현지 시각), 러시아 군대가 우크라이나에 침략하자 사이버 공격이 발생하면서 비아샛 위성 인터넷 시스템 모뎀 수천 대에서 접속 장애가 발생했다. 유럽연합과 영국, 미국은 비아샛 위성 시스템 공격이 러시아의 공격과 관련성이 있다고 판단했으며, 미국 국가안전보장국(NSA)의 위성 보안 문제 의견 공개로 이어졌다.
다수 전문가가 우주 사이버 보안 문제에 계속 경각심을 제기하지만, 상용화 우주 산업 부문은 지금도 호황이다. 스페이스X를 비롯한 여러 기업이 지구 궤도에 위성을 대거 발사하여 인터넷 연결 서비스를 제공하고자 한다. 게다가 우주에서 지구 사진을 촬영하는 위성 비용이 더 저렴해졌다. 대기업 외에도 위성 구성요소와 부품을 개발하는 일부 기업도 찾아볼 수 있다. 우주 산업 공급망은 보안 위험성을 더할 수 있는 부분이다.
![[사진=Pixabay]](/news/photo/202307/4896_6400_3224.jpg)
뉴스레터 신청