보안뉴스 창간 17주년을 축하합니다!!

Home > SecurityWorld > 기획특집

[기획특집] 드론으로 인한 편리, 드론에 의한 위협, 그리고 드론을 위한 보안

입력 : 2024-07-01 18:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
드론의 활용성과 보안 이슈 및 강화방안 집중 분석
과기정통부·KISA ‘정보통신망연결기기등 정보보호 인증기준 상세 해설서(드론)’ 발간
[미니 인터뷰] 드론전문교육원/드론전문업체 아쎄따 김형준 대표이사


[보안뉴스 권준·이소미 기자] 북한의 드론이 우리나라 상공을 위협한 데 이어 최근에는 오물풍선으로 인해 시민들의 불안이 고조되고 있다. 이렇듯 드론으로 인한 편리함 못지않게 드론 등 무인기나 무인 풍선에 의해 시민들의 안전이 위협 받는 상황도 발생하고 있다. 특히, 드론은 해킹을 당할 경우 심각한 피해가 예상되므로 드론을 위한 보안에도 각별한 신경을 써야 할 때가 됐다. 이에 최근 과학기술정보통신부와 한국인터넷진흥원에서는 ‘정보통신망연결기기등 정보보호인증기준 상세 해설서(드론)’를 발간해 관심이 모아지고 있다. 여기서는 활용도가 점점 더 커지고 있는 드론의 최근 이슈와 드론의 보안 강화방안들을 모색해본다.


드론(Drone)의 활용도가 무궁무진하게 확대되고 있는 가운데 드론에 따른 각종 위협과 해킹 위험도 커지고 있다. 이에 과학기술정보통신부와 한국인터넷진흥원(KISA)에서는 드론에 대한 보안을 강화하기 위해 ‘정보통신망연결기기등 정보보호인증기준 상세 해설서(드론)(이하 드론 보안 인증기준 해설서)’를 배포했다.

[이미지=gettyimagesbank]


드론은 기상관측, 시설점검, 재난·교통감시, 물류, 국토·해양관측, 농업 등 다양한 산업 분야에서 활용이 확산되고 있다. 특히 정밀 측위와 함께 조난자 구조 등 인명 안전과 관련된 중요 데이터를 획득 및 전송, 활용하고 있기 때문에 갈수록 지능화되며 고도화되고 있는 사이버 위협에 대응해 보안성을 강화할 필요가 있다.

기존의 ‘정보통신망연결기기등 정보보호인증기준 상세 해설서(이하 IoT 보안 인증기준 해설서)’는 통합 주택 제어판(월패드), 전자잠금장치(디지털 도어록), 의료기기 등 일반적인 사물인터넷(IoT) 기기를 대상으로 하고 있다. 하지만 이번에 배포된 ‘드론 보안 인증기준 해설서’는 드론 제어방식과 운용 방식 등을 고려한 것으로 드론 제조기업 등이 보안 인증을 보다 효과적으로 준비하고, 공인시험 기관 등에서 체계적인 인증 시험에 활용할 수 있도록 지원하는 상세 해설을 포함하고 있다. 드론 제조기업의 보안 인증은 ‘정보통신망법’ 제48조의6(정보통신망 연결기기등에 관한 인증)에 따라 ‘가전’, ‘교통(드론)’, ‘금융’, ‘스마트도시’, ‘의료’, ‘제조·생산’, ‘주택’, ‘통신’ 등 8개 분야의 사물인터넷(IoT) 기기를 대상으로 하는 보안인증 제도를 말한다.

드론은 사물인터넷(IoT) 기기 중에서도 이동통신, 위성통신, 소출력 기기 통신방식 등 제어방식, 그리고 운영방식 등이 다른 사물인터넷(IoT) 기기와 다르다. 따라서 기존 ‘IoT 보안 인증기준 해설서’를 적용하기에는 어려움이 있어 ‘드론 보안 인증기준 해설서’를 별도로 마련했다는 게 KISA 측의 설명이다. 그럼 먼저 드론 보안 인증기준 해설서 내용을 중심으로 드론의 개요 및 활용 분야와 보안기준에 대해 살펴본다.

▲드론 시스템의 주요 구성요소[이미지=KISA 드론 보안 인증기준 해설서]


드론의 개요와 다양한 활용 분야
드론은 조종사가 탑승하지 않고 무선으로 원격 조정하는 무인 비행체이다. Drone Industry Insights의 최신 ‘Drone Market Analysis 2022~2030’에 따르면, 2022년 세계 민간 드론 시장의 가치는 약 306억 달러가 될 것이며, 2030년까지 연 7.8%의 성장률을 기록할 것으로 예측했다. 국내 드론 시장은 2022년 5억 8,500만 달러에서 2030년 11억 달러로 CAGR(연평균 성장률)가 8.3% 성장할 것으로 전망했다.

드론은 ‘무인항공기(Unmanned Aerial Vehicle, UAV)’ 또는 ‘무인기’를 통칭하며 무선으로 조종하여 사전에 정해진 경로에 따라 자동 또는 반자동으로 날아가는 항공기를 말한다. 우리나라 ‘항공안전법 제2조’에서는 공기의 반작용으로 뜰 수 있는 장치로 자체중량, 좌석수 등 국토교통부령으로 정하는 기준에 해당하는 ‘초경량비행장치’ 중 ‘무인동력비행장치’를 드론이라고 할 수 있는데, 사용 목적과 크기, 형태 등에 따라 다양한 종류 및 형태의 드론이 있다. 드론은 사용목적에 따라 군사용 및 민간용으로 나눌 수 있으며 형태에 따라 고정익, 회전익, 혼합형이 있다. 이중 멀티콥터는 기체에 모터를 2개 이상 이용하는 항공기로서, 복잡한 기계적인 장치가 필요하지 않으며 좁은 공간에서 이착륙이 용이하기 때문에 가장 많이 사용되는 형태이다.

민간에서 드론은 송전탑, 철도, 교량 등 사람이 접근하기 어려운 대형 구조물을 점검하거나 드론 촬영을 통해 농작물의 생육 상태를 분석하고 농약을 살포할 수 있으며, 영화나 다큐멘터리 등을 다양한 각도에서 저비용으로 촬영할 수 있다. 특히 재난발생 지역이나 오지 등 교통 인프라가 부족한 지역에 드론을 이용하여 구호품, 식품을 배송하는 등 드론을 활용한 산업은 계속 확대될 전망이다.

드론의 구성 및 주요 보안 위협과 7가지 보안대책
드론은 단독으로 운영되기보다는 통합된 플랫폼의 의미를 갖는 체계로서 무인기 체계(Unmanned Aircraft System, UAS)라 한다. 일반적으로 드론 기체와 통신하여 비행체를 조종할 수 있는 통제장비, 드론 기체에 탑재되는 임무장비, 드론 운용에 필요한 분석·정비 등에 활용되는 지원장비로 통합되어 운용된다.

드론은 다양한 센서와 복합적인 모듈로 이루어진 집합체로 일반적으로 구동부, 제어부, 페이로드, 통신부로 구성된다. 주요한 동작은 통신부인 수신기로부터 전달받은 비행 명령을 제어부인 각종 센서로부터 받은 상태 추정치와 비교하여 그 차이값을 구동부인 변속기를 통해 모터를 구성하고 프로펠러를 회전시켜 비행한다. 페이로드는 드론의 사용 목적에 따라 탑재되는 장비들로 구성된다. 이렇듯 드론은 통합된 플랫폼으로서 운영되는 체계이고, 드론 기체는 고도의 센서기술 및 통신기술, 데이터 처리뿐만 아니라 고성능의 배터리 관리 기술 등 전자·기계·제어·SW 분야 고도의 기술이 적용된 복합체이다. 이에 따라 드론은 다양한 방면에서 사이버 위협이 발생할 수 있으며, 이 경우 서비스 마비뿐만 아니라 인명피해 및 개인정보가 포함된 영상데이터 등 민감한 정보가 노출될 수 있다. 이에 KISA가 발간한 ‘드론 보안 인증기준 해설서’에서는 크게 7가지 측면에서 보안 위협에 대비하고, 보안을 강화해야 한다고 강조하고 있다.

1. 식별 및 인증
드론에 최초 접속 시 초기 인증정보를 변경하지 않으면 인가되지 않은 사용자가 드론에 접근하여 드론 설정 정보 변경 및 중요정보 노출 등에 취약할 수 있다. 따라서 이를 효과적으로 방어하기 위해서는 드론 최초 접속 시 초기 인증정보를 안전한 인증정보로 강제 변경하여 사용하도록 할 필요가 있다.

드론에 접근 가능한 주체(사용자, 다른 기기 등)에 따라 식별 및 인증 대상이 달라질 수 있으므로 드론에 접근하는 것을 허용하기 전에 식별 및 인증을 수행해야 하는 사용자(관리자, 일반사용자, 기술지원 인력 등)와 제어정보·중요정보 전송을 위해 상호작용하는 다른 기기가 존재하는지 확인해 식별 및 인증 관련 인증기준을 만족하는지 검증할 필요가 있다.

2. 데이터 보호
드론과 구성요소 사이에 전송되는 중요 데이터나 제어 데이터가 위변조되어 심각한 드론의 동작·결함을 유발하거나 외부로 유출되어 임의 도용될 수 있다. 따라서, 전송되는 중요 데이터나 제어 데이터의 도청 또는 위·변조를 방지하기 위해 안전한 암호통신 프로토콜을 이용하여 전송해야 한다.

드론을 통해 전송되는 중요정보를 노출 및 변경으로부터 보호하기 위해서는 안전한 암호통신을 지원하는지, 기기의 통제된 저장소에 저장되는 중요정보가 존재하는지 확인해 데이터 보호 관련 인증기준을 만족하는지 검증해야 한다.

3. 암호
드론에 악의적인 공격자가 접근하여 정보의 위·변조 또는 노출 시 사용자에게 금전적·물리적 피해를 일으킬 수 있다. 따라서 112bit 이상의 보안 강도를 제공하는 국내외 표준 암호 알고리즘을 사용하여 기밀성을 보장해야 한다. 암호에 사용되는 암호키는 안전한 방식으로 생성 및 저장하고 파기해야 한다.

드론을 통해 전송되거나 저장소에 저장되는 중요정보를 노출·변경으로부터 보호하기 위해 사용되는 암호 기능(암호 알고리즘, 암호키 생성·관리, 난수 생성)이 존재하는지 확인해 암호 관련 인증기준을 만족하는지 검증할 필요가 있다.

4. 소프트웨어 보안
시큐어 코딩이 적용되지 않은 드론의 경우 입력 데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용 등에서 보안 취약점이 발생할 수 있다. 소프트웨어 또는 펌웨어 구현상의 오류나 개발자의 실수로 인해 최종 고객에게 배포 이후 보안 취약점이 존재하지 않도록 시큐어 코딩을 적용해야 한다.

드론에 탑재된 소프트웨어·펌웨어 개발 과정에서 보안 취약점 발생의 최소화를 위해 적용된 보안대책이 존재하는지 확인해 소프트웨어 보안 관련 인증기준을 만족하는지 확인해야 한다. 또한, 평가자는 자체 고안한 침투시험을 통해 드론이 공개된 보안 취약점에 악용되지 않도록 충분한 내성을 가지는지 검증해야 한다.

5. 업데이트 및 기술지원
인증이 완료된 드론에 대한 사후관리 지원, 사용자에게 안전한 업데이트 정보 제공(보안 취약점이 존재하지 않는 안전한 버전의 드론 등) 및 사용자가 인증된 안전한 드론인지 아닌지를 파악할 수 있도록 드론 식별정보(하드웨어 모델, 소프트웨어 및 펌웨어)를 제공해야 한다.

드론으로 업데이트되는 파일을 온라인을 통해 설치·적용하거나 매체에 저장하여 수동으로 설치·적용하는 업데이트 기능 또는 업데이트가 불가능한 경우 적절한 기술지원 서비스가 필수적으로 제공되는지 확인해 업데이트 및 기술지원 관련 인증기준을 만족하는지 체크할 필요가 있다.

6. 운영체제 및 네트워크 보안
드론에는 다양한 운영체제가 탑재된다. 드론의 펌웨어, 중요정보 등을 보호하기 위해 최신의 보안패치가 적용되고 알려진 보안 취약점에 지속적으로 대응이 가능한 안전한 운영체제를 탑재하여 사용해야 한다.

드론 운영에 기반이 되는 운영체제의 안전성 확보를 위한 보안대책(신뢰할 수 있는 운영체제 사용, 불필요한 계정·서비스·접근권한·비인가SW 통제, 무결성 검증 등) 및 네트워크 안전성(네트워크 인터페이스·트래픽 통제, 네트워크 장애 및 DoS 공격 대응 등) 확보를 위해 적용된 보안대책이 존재하는지 확인해 운영체제 및 네트워크 보안 관련 인증기준을 만족하는지 검증할 필요가 있다.

7. 하드웨어 보안
공격자는 드론 기기로 침투해 악성코드(멀웨어, 루트킷, 부트킷 등)가 포함된 파일로 교체할 수 있으며, 이러한 악성코드에 대한 검사가 수행되지 않을 경우 드론이 제공하는 기능은 신뢰성을 잃게 되어 중요정보가 노출될 가능성이 커진다. 이에 드론 부팅 시 안전한 부팅 절차를 통해 비인가 파일에 대한 검사를 수행해야 하며, 드론 구성요소에 대한 자체시험을 수행해 기능의 신뢰성을 확보할 필요가 있다.

드론 운영에 기반이 되는 하드웨어 요소에 대한 보안취약점 발생 최소화를 위해 적용된 보안대책(안전한 부팅, 자체시험, HW 장애 대응, 무단 훼손 방어, 부채널 메모리 공격 대응, 내외부 인터페이스 보호 등)이 존재하는지 확인해 하드웨어 보안 관련 인증기준을 만족하는지 검증해야 한다.

드론전문교육원의 기능과 역할
앞서 설명한 것처럼 드론의 활용 분야가 확대되고, 드론으로 인한 위협 및 해킹 가능성도 커지면서 드론자격증 취득을 지원하는 동시에 드론 보안 교육 등을 담당하는 드론전문교육원의 역할이 더욱 중요해지고 있다.

드론자격증의 경우 국가자격증은 초경량비행장치 무인멀티콥터 조종자 자격증(통칭 드론 조종자 자격증)이 유일하며 1종부터 4종까지, 그리고 지도사 자격증까지 구분되어 있다. 4종의 경우 취미 용도의 자격증으로 250g 이상 2kg 미만의 드론을 조종할 수 있는 정도로, 홈페이지에서 6시간 정도의 교육만 이수해도 금방 취득할 수 있다. 보통은 1종부터 3종까지 이 3가지의 자격증을 따기 위해 드론 교육을 알아보게 되는데, 3종의 경우 소형 드론으로, 할 수 있는 업무들도 모두 수행이 가능하고, 실기시험이 없어서 비교적 쉽게 딸 수 있는 자격증이다.

또한, 드론 자격증 2종은 25kg 이하를 다룰 수 있는 자격으로 10시간의 교육과 필기, 실기시험을 봐야 한다. 1종의 경우 150kg 이하의 드론을 사용할 수 있고, 필기시험과 실기시험을 봐야 하는데, 실기시험을 보기 위해서는 필기시험 합격과 함께 20시간의 비행경력이 필요하다. 해당 비행경력은 인증된 드론전문교육원에서 교육을 통해 받을 수 있는데, 20시간 동안 실기시험을 위한 코스 연습을 한다고 보면 된다.

마지막으로 드론 지도사 자격증의 경우 드론 자격증 1종과 비행 경력 시간 100시간 증명서, 그리고 기체 안정성 인증검사 인증서 이렇게 3가지가 충족되어야만 드론 지도사 자격증을 취득할 수 있는 자격이 부여된다. 자격인증이 완료되면 드론 지도사 자격증의 경우 별도의 실기시험 없이 필기시험만 치러서 70점 이상이 되면 합격할 수 있다

[Mini Interview] 드론전문교육원/드론전문업체 아쎄따 김형준 대표
“최근 트렌드는 ‘가성비 높은 드론’... 회사는 ‘종이 드론’ 제작에 집중”


드론전문교육원을 찾는 교육생들이 많아진 이유는?

▲드론전문교육원/드론전문업체 아쎄따 김형준 대표[사진=보안뉴스]

북한의 무인기, 오물풍선 이슈 등이 끊이지 않는 가운데 러·우 전쟁 발발 등 국방에서 드론의 영향력은 상당합니다. 또한 드론의 활용 영역은 군이나 농업 분야, 그리고 개인의 취미 생활에 이르기까지 점차 확대되고 있습니다. 무인화·자율화되는 시대 흐름에 따라 무인기 시장은 지속 성장할 것이며, 관련 학과도 계속해서 신설되고 있는 추세입니다. 드론이 유망한 기술로써 이미 자리잡고 있어 이를 교육하는 교육원도 수년 전 10개에 불과했으나 현재는 900여개로 늘어났습니다.

드론과 관련된 다양한 사업 중 핵심 사업은?
저희 아쎄따는 드론전문교육원을 운영하고 있지만, 드론 ‘제조’에 보다 집중된 사업을 펼치고 있는 기업으로 주로 ‘국방 드론’을 제작하고 있습니다. 그 중에서도 군(軍)에서 가장 많은 수요가 생기고 있는 소형 ‘VTOL’ 제작에 집중하고 있습니다.

군용 소형 VTOL 중 가장 유망한 제품은?
최근 트렌드는 ‘가성비 높은 드론’입니다. 기존 정찰용 드론이 주였으나, 최근 러·우 전쟁 등의 영향으로 공격용 드론에 대한 수요가 커지면서 정찰과 공격을 동시에 할 수 있는 드론의 관심이 높아졌습니다. 그 가운데서도 저희는 ‘종이 드론’을 벤치마킹해 국내에서 생산하고 있습니다.

왜 드론은 부품까지도 반드시 ‘국산’이어야 하나요?
국방에서 요구하는 기준은 ‘드론의 소재·부품·장비까지 모두 국산화를 해야 한다’는 것입니다. 특히 국방에 납품되는 상용·전력화 드론은 암호화 인증 모듈 KCMVP(Korea Cryptographic Module Validation Program)를 장착해야 합니다. 하지만 아직까지 순수 국산화는 어려운 실정입니다. 중국의 저가 제품 시장 대비 국내 시장의 여력이 충분치는 않습니다. 하지만 최대한 오리지널 K-드론에 부합하기 위해 모터·프로펠러 등의 부품 관련 국내 업체와의 협력을 통해 드론 국산화를 위한 적극적인 노력을 기울이고 있습니다.
[권준·이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)