죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

GNSS 스푸핑을 방지하는 새로운 차원의 보안

PDF 다운로드

글/헤수스 자모라(Jesus Zamora) 소프트웨어 책임 엔지니어, 유블럭스(u-blox)

GNSS 스푸핑 및 재밍 공격이 점점 더 증가하고 있다. 최근 들어 그리 비싸지 않은 가격에 신호 시뮬레이터를 구입할 수 있게 되면서 스푸핑 사건이 이어지고 있는데, 이 때문에 GPS 및 Galileo 신호가 방해를 받고 있다고 고정밀 GNSS 장비 제조사들은 말한다. 

기간 인프라, 항공, 해운 같이 정밀한 위성항법 시스템을 필요로 하는 글로벌 시장 분야에서 GNSS 신호 변조가 중요한 문제가 되고 있다. 이러한 변조는 예컨대 어선이 자신의 좌표를 오인하게 만들고, 기간 인프라의 타이밍을 교란시키며, 운행기록장치(tachograph)와 차량, 무인 항공기(unmanned aerial vehicle, UAV)에 간섭을 일으킬 수 있다.

이에 따라서 유럽의 GNSS인 Galileo는 스푸핑 공격에 대한 복구 성능을 강화하기 위한 ‘안전 기능’을 개발했다. OSNMA(Open Service Navigation Message Authen-tication)라고 하는 이 기능은 하이엔드 및 매스 마켓 GNSS 수신기용으로 인기가 높아지고 있는 GNSS 내장형 스푸핑 방지 기능이다.

이 기능은 위성과 GNSS 수신기 간의 보안과 안전한 통신을 보장하는 데 있어 진전을 나타내지만, 기능성을 향상시킬 가능성도 있다. 이러한 향상은 비단 Galileo 시스템만이 아니라 다른 위성군과 여러 주파수 대역에서도 이루어질 수 있다. 이러한 향상을 달성하기 위해서는 필드 테스트를 통해 한계점을 파악하고 그에 대한 솔루션을 찾는 것이 필요하다.

GNSS 스푸핑 방지를 위한 OSNMA 작동 방법

Galileo의 OSNMA는 Galileo 위성과 GNSS 수신기 사이에서 보안이 강화된 엔드-투-엔드 전송을 보장함으로써 GNSS 스푸핑 공격을 막기 위해 개발됐다. 이 기능은 현재 최종 시험 단계에 와있다.

OSNMA는 Galileo 위성이 전송하는 항법 메시지의 진위성과 무결성을 보호하기 위한 보안 조치로서 작용하여, 궁극적으로 GNSS 위치추적 및 타이밍 정보의 신뢰성을 더욱 높인다. 이는 어떠한 신호 조작 행위도 방지하는 메커니즘을 통해 GNSS 위성으로부터 GNSS 수신기로 전송되는 신호의 진위성을 보장한다. 이 보안 메커니즘은 다음과 같은 7단계로 실행된다.

OSNMA의 7단계

• 메시지 생성: 위성 시스템이 위성 위치, 위성의 상태, 정밀 시간 데이터 등의 핵심 정보를 담은 항법 메시지를 생성한다. 이 메시지는 사용자 수신기에 의한 정확한 위치추적을 보장하는 데 있어서 핵심적이다.

• 키 생성: 위성 시스템 사업자가 자신만의 비밀 암호화 키를 생성하고 배포한다. 이 키를 사용해서 MAC (message authentication code)을 생성한다.

• MAC 계산: 이 비밀 암호화 키를 이용하여, 각 항법 메시지에 대한 MAC 계산이 가능하고, 메시지 콘텐츠에 암호화 알고리즘(HMAC이나 CMAC)을 적용함으로써 MAC을 생성할 수가 있다. 그러므로 MAC은 메시지의 콘텐츠와 비밀 키를 기반으로 하여 해당 특정 메시지에 대한 고유의 서명으로 작용하는 것이다. 

• 메시지에 MAC 포함: 이렇게 계산된 MAC은 항법 메시지에 결합된다.

• 메시지 전송: 위성이 원래의 항법 메시지와 MAC을 포함하는 이 결합 메시지를 전송한다.

• 키 검증: 사용자 수신기는 위성 시스템 사업자의 비밀 키에 액세스할 수 있는데, 이 키는 특정한 지연시간을 두고 공개된다. 이 키는 동일한 암호화 알고리즘을 사용하여, 수신된 항법 메시지에 대한 MAC을 별도로 계산한다.

• MAC 비교: 사용자 수신기는 별도로 계산한 MAC과 수신된 MAC을 비교한다. 두 MAC이 일치하면 이 항법 메시지는 전송되는 동안에 조작되지 않은 것이다. 다시 말해, 이 메시지는 인증되었으며 정확한 위치추적 정보를 제공하는 것으로 신뢰할 수 있다.

현재 OSNMA의 한계와 그 해결을 위한 초기 조치들

범용 수신기에 OSNMA를 구현하기 위해서는 기술적 과제들과 자원의 한계를 해결해야 한다. 현재 OSNMA는 Galileo 위성으로부터의 I/NAV 메시지만 인증할 수 있다. 하지만 현재의 동향은 더 높은 정확성과 가용성을 위해 GNSS 수신기가 여러 위성 및 신호 대역으로부터 전달되는 신호를 처리할 수 있는 능력을 갖출 것을 요구한다.

이러한 상황에서 순수한 OSNMA 솔루션을 채택하는 것은 불리할 수 있다. 설계 엔지니어가 병렬 항법 솔루션을 실행하기 위한 방법을 찾아야 할 것이고, 그러기 위해서는 더 높은 수준의 프로세싱 성능을 요구할 것이기 때문이다. 

항법 품질을 유지하면서 이러한 과제들을 해결하기 위해 가장 먼저 해야 할 일은 Galileo OSNMA의 성능을 평가하는 것이다. 이를 위해 유블럭스(u-blox)는 다양한 환경 조건에서 서로 다른 유블럭스 OSNMA 수신기를 이용해 일련의 테스트를 실시했다.

테스트의 주된 목적은 서비스 성능을 평가하고, 서로 다른 실제 시나리오에서 가용성을 측정하고, 인증에 필요한 추가적인 프로세싱 성능을 파악하는 것이었다. 이러한 목적을 달성하기 위해, 가상의 시나리오로 만들어진 스트레스 조건 하에서 다양한 OSNMA 파라미터가 수신기 성능에 미치는 영향을 살펴보았다.

이 테스트를 통해 순수한 OSNMA 솔루션의 항법 정확도와 가용성은 특정한 환경 또는 애플리케이션을 기반으로 예상되는 커버리지에 대한 전반적인 이해를 제공해주었다. 

다양한 환경에서 GNSS 스푸핑 평가

유블럭스는 탁 트인 개활지에서부터 복잡한 도심지에 이르는 다양한 환경에서 OSNMA의 신뢰성을 평가했다. 테스트는 2023년 여름에 스위스의 취리히와 미국의 시카고에서 총 2회 실시되었다. 취리히에서는 교외 지역, 고속도로, 도심지가 섞여 있는 환경에서 테스트를 실시했고, 시카고에서는 도심 한복판에서 테스트를 실시했다.

유블럭스의 엔지니어들은 1) 데이터를 인증하기 위한 OSNMA 데이터의 가용성과 2) 주행 중에 OSNMA 인증 데이터를 사용해서 (최소한) 4개의 위성 비행체(SV)에 대한 액세스 가능성을 테스트했다.

• 취리히: 고속도로와 취리히 시내에서 약 1시간 반 동안 주행했다. 이 시간 동안, OSNMA 인증의 액세스 비율은 상당히 높았다.

이 액세스 비율의 측정은 GNSS 수신기가 계산한 MAC과 메시지에 포함된 MAC의 비교를 통해 가능하다. 이 비교를 통해서, 수신기는 해당 메시지가 전송 과정에서 조작되지 않았는지, 그리고 메시지의 출처가 신뢰할 만 한지 확인할 수 있다.

고속도로와 시내에서도 동일한 테스트를 실시했는데 결과에 있어서 눈에 띄는 차이는 발견되지 않았다. 아래의 그래프는 취리히에서 실시한 테스트에서 시간의 경과에 따른 인증된 MAC의 수를 보여준다.

전체 테스트 시간 중 적어도 98% 이상 동안, 인증된 데이터를 사용해서 4개의 Galileo 위성에 일관되게 액세스할 수 있는 것으로 나타났다. 가장 까다로운 장소는 고속도로든 시내이든 관계없이 터널 진출입 지점이었는데, 이들 장소는 위성 가시성이 제한되어 인증된 데이터를 이용할 수 없었다.

• 시카고: 유블럭스 팀은 대서양 반대편에서도 동일한 테스트를 실시했다.

이번 테스트에서는, 시카고 시내에서 덜 밀집된 지역에서 좀더 밀집된 지역으로 거의 동일한 시간 동안 주행했다. 마찬가지로, 테스트 시간 동안에 인증된 MAC 수를 기록했다.

아래 그래프에서 보듯이, 시간이 경과함에 따라 인증된 MAC 수는 테스트를 처음 시작할 때가 테스트 중간이나 끝날 때보다 더 높게 나타났다. 이는 덜 밀집된 지역에서 좀더 밀집된 지역으로 이동함에 따른 결과이다.

번화가로 들어서자 대로변 양쪽으로 고층 건물들이 늘어서면서 환경이 취리히보다 훨씬 까다로워졌다.

측정 결과는 예상과 맞아떨어졌다. 이처럼 매우 까다로운 환경에서는 인증된 데이터를 사용해서 4개 이상의 Galileo 위성에 액세스할 수 있는 것이 전체 시간의 83%에 불과했다.

여기에는 두 가지 이유를 들 수 있다. 인증된 데이터 사용을 위해 Galileo 위성만을 액세스 해야만 하는 데서 오는 제한과, 인증 상태와는 무관하게 높은 빌딩들 때문에 위성 신호가 차단될 수 있다는 것이다.

유블럭스는 이 두 테스트를 통해서 환경에 따라서 MAC 인증 수가 줄어들 수 있다는 것을 확인했다. 더 많은 빌딩, 터널, 교량 같은 것들로 인해 환경이 보다 까다로워질수록 4개의 Galileo 위성에 동시에 액세스할 수 있는 비율은 낮아진다.

다만, 교차 인증을 사용하며 동일한 항법 데이터는 한 번만 인증하면 되기 때문에, 극히 불리한 조건에서도 인증된 데이터와 위치 정보에 액세스할 수 있다.

추가적인 조치들

OSNMA의 성능과 이것이 내비게이션에 미치는 영향을 파악했다면 다음 할 일은 OSNMA의 근본적인 제약들을 극복하기 위한 전략을 탐구하는 것이다.

현재 OSNMA 프로토콜은 Galileo I/NAV 데이터를 인증하는 데 초점을 맞추고 있기 때문에, 항법 솔루션을 인증된 데이터를 사용하는 Galileo 신호로 제한한다. 그 결과, 수많은 제품들의 보안, 정확도 및 가용성에 영향을 미치는 원치 않는 절충이 발생한다.

설계 엔지니어는 데이터 인증을 위해 병렬 항법 필터를 구현하는 방안을 고려할 수 있고, 이는 사용자가 이 솔루션을 내비게이션에 사용되는 다중 위성 사용 환경과 비교 가능하게 할 수 있게 해준다. 그럼에도 불구하고 어떤 제품들은 고정밀 보정이나 센서 융합을 위한 병렬 필터를 구동하기 위해 추가적인 자원을 요구할 수 있다.

다시 말해, 해결책은 여러 위성군에 OSNMA 견고성을 제공하면서 멀티밴드 수신기의 자원 및 프로세싱 요구를 최소화하는 솔루션을 찾는 것이다.

이 외에도 유블럭스는 다음과 같은 측면들을 검토했다:

• 인증 및 비인증 페이로드 데이터 요소의 구별 가능성 평가

• 전리층 에러가 제거된 E1/E5a 신호의 조합을 사용하는 듀얼 주파수 수신기를 위해 인증된 I/NAV 데이터를 사용할 수 있는지에 대한 가능성(또는 I/NAV에 기반해서 F/NAV 신호를 확인할 수 있는지에 대한 가능성) 시험 

• GPS 및 UTC에 대한 Galileo의 인증된 오프셋을 사용하여 GPS 협정 세계시(UTC) 교차 인증

유블럭스가 채택한 몇 가지 전략들은 Galileo OSNMA 기능 향상을 위한 앞으로의 노력에 귀중한 통찰을 제공할 것이다. 이와 관련한 중요한 성과들에 관심을 갖고 지켜봐 주길 바란다. 

참고로, 유블럭스 제품들은 2024년부터 OSNMA 기능을 지원하고 있다. 

leekh@seminet.co.kr
(끝)
<저작권자(c) 반도체네트워크, 무단 전재-재배포 금지>