사이버 범죄는 드론을 타고…드론 악용 사례 늘어나 : zum 뉴스

우크라이나 군은 전장 공격과 방어를 위해 드론을 창의적으로 사용하는 방법을 전 세계에 퍼뜨리고 있다. 우크라이나는 정밀 타격, 정찰, 카미카제 임무를 위해 맞춤 제작된 드론을 대량으로 구축했다.

그러나 이러한 혁신은 사이버 보안 공격과 방어에도 적용된다.

전 세계의 악의적인 사이버 공격자는 우크라이나의 사례를 통해 교훈을 얻고 있다. IT 업계 종사자, 특히 사이버보안 분야종사자는 이 사실을 기억해야 한다.

사이버보안 분야에서 우크라이나가 드론을 활용하는 방법

우크라이나의 새로운 보고서에 따르면, 군은 현재 러시아의 시스템을 교란하고 사이버 위협에 대응하기 위해 드론에 멀웨어를 심고 있다고 한다. 드론이 포획되면, 적의 하드웨어를 파괴한다. USB 포트를 태우거나, 재프로그래밍을 차단하거나, 심지어는 적군이 드론을 재사용하려고 할 때 제어 시스템을 가로채서 드론 조종사의 위치를 노출한다. 일부 멀웨어는 원격으로 악용될 수 있는 취약점을 내장하기도 한다.

이러한 커스터마이제이션은 우크라이나의 정보를 수집하는 동시에 압수한 우크라이나 드론을 재활용하는 러시아의 관행에 엄청난 마찰을 일으킨다.

전쟁 전, 우크라이나에는 많은 전문성을 갖춘 강력한 사이버보안 산업이 있었다. 그리고 지금은 전 세계의 전문성을 통합하고 있다. 한 예로 페리퍼리(Periphery)라는 사이버보안 업체가 우크라이나의 대의에 기술을 기부했다. 페리퍼리는 IoT 기기를 위한 군사급 위협 관리 시스템을 전문으로 하며, 중요 인프라를 모니터링, 적응, 보호하는 임베디드 AI 기반 솔루션을 제공한다. 페리퍼리의 기술은 현재 우크라이나의 드론을 해킹과 간섭에서 보호한다.

초기에 우크라이나는 단순한 소비자용 드론을 전투에 투입해 영상을 촬영하거나 수류탄을 투하했다. 요즘에는 드론이 해킹당하거나 적에게 잡히면 공격 및 방어용 사이버 공격 기능을 점점 더 많이 갖추고 있다.

드론에 멀웨어를 사용하는 것은 작은 코드 스크립트가 비행 컴퓨터에 내장될 때 큰 영향을 미칠 수 있다는 것을 보여주는 완벽한 예시다.

먼저 보안 연구원 그렉 리나레스가 X에서 밝힌 이야기를 들어보자.

2022년 여름, 개인 투자 전문 금융 서비스 업체인 이스트 코스트가 드론을 이용한 새로운 유형의 사이버 공격의 표적이 되었다. 이 사건은 업체의 사이버보안 팀이 내부 아틀라시안 컨플루언스(Atlassian Confluence) 페이지에서 비정상적 활동을 감지하면서 밝혀졌다. 회사 네트워크 내에서 시작된 줄 알았지만, 사실은 재택 근무 중인 직원이 동일한 MAC 주소를 원격으로 동시에 사용하고 있었다.

보안팀은 신속하게 플루크 에어체크(Fluke AirCheck) 와이파이 테스터를 배포해 악성 신호를 추적했다. 건물 옥상으로 이동해 조사한 결과, DJI 팬텀과 DJI 매트리스 600 개조 드론 두 대를 발견했다. 팬텀 드론에는 와이파이 파인애플 기기가 장착되어 있었다(이 기기는 일반적으로 침투 테스트에 사용되지만, 이 경우에는 회사의 합법적인 네트워크를 스푸핑하는 데 악용되었다). 이로 인해 공격자는 직원이 가짜 네트워크에 연결할 때 로그인 자격 증명을 가로챌 수 있었다. 매트리스 드론에는 라즈베리 파이, GPD 미니 노트북, 4G 모뎀, 추가 와이파이 기기, 배터리 등 더 많은 장치가 실려 있었다.

이후 보안팀은 팬텀 드론이 정찰에 사용되어 직원의 자격 증명과 와이파이 액세스 권한을 몰래 캡처했다는 사실을 발견했다. 이 자격 증명은 매트리스 드론에 배치된 도구에 하드코딩되었다. 공격자는 자격 증명을 악용해 회사의 내부 컨플루언스 페이지와 그곳에 저장된 다른 리소스에 액세스하려고 했다.

공격은 저지되었지만, 가해자는 잡히지 않았다.

분명히 말하자면, 공격 자체는 특별히 이국적인 것이 아니었다. 내부자의 위협으로 인해 발생할 수 있는 일이다. 이 사건이 독특했던 이유는 공격자가 하드웨어를 드론에 연결함으로써 물리적 보안을 쉽게 극복하고 익명으로 남을 수 있었기 때문이다.

더욱 놀라운 것은 드론 해킹이 처음 시도된 것이 아니라는 것이다.

2013년 12월, 보안 연구원 새미 캄카르는 비행 중 다른 드론을 자율적으로 제어할 수 있는 드론 해킹 시스템 스카이잭(SkyJack) 프로젝트를 공개했다. 캄카르는 패롯 AR.Drone 2.0, 라즈베리파이, 그리고 맞춤형 소프트웨어를 사용해 개인용 드론을 장악하는 방법을 시연했다. 이 시스템에서 패롯 드론은 암호화되지 않은 와이파이 연결을 악용해 정당한 운영자를 차단하고, 좀비 드론 군대를 만들었다.

스카이잭 시스템은 패럿 드론과 관련된 와이파이 신호를 스캔하는 방식으로 작동한다. 신호를 식별한 후, 에어크랙-ng와 같은 오픈소스 도구를 사용해 “인증 해제 공격”을 수행해 드론과 원래 조종사 사이의 연결을 끊는다. 그런 다음, 캄카르의 소프트웨어는 조종사를 대신해 드론의 조종권을 장악하고 실시간 비디오 피드에 액세스한다. 이 모든 과정은 자동으로 이루어졌다.

드론 악용한 사이버 공격의 현실을 직시할 때

소비자용 드론 기술의 급속한 발전은 사이버 공격에서의 활용을 포함해 여러 가지 방식으로 잠재적 용도를 재편하고 있다.

최신 개인용 드론은 더 조용하고 빠르며, 배터리 수명도 길어져서 조종사에게서 멀리 떨어진 곳에서도 잘 작동한다. 또한 장애물을 자율적으로 탐색하고, 움직이는 물체를 추적하며, 고해상도 이미지나 동영상을 캡처한다.

예를 들어, 일반적으로 약 750달러에 판매되는 DJI 미니 4 프로는 조종하는 사람에서부터 12마일 이상 떨어진 곳까지 날아가 초당 100프레임의 4K 비디오를 촬영할 수 있다. 또한 최대 시속 35마일의 속도로 장애물을 피하면서 자동으로 차를 따라갈 수 있다.

여러 가지 가능성이 있다. 예를 들어, 사이버 공격자의 드론이 해킹 장비를 부착한 채 퇴근 후 직원의 집을 따라간다. 그런 다음 목적지의 집 지붕에 착륙해 회사 네트워크에 연결된 홈 오피스 컴퓨터를 해킹할 수 있다.

사이버 공격에 드론을 사용할 수 있는 방법은 이 외에도 많다.

- 네트워크 스니핑과 스푸핑 : 드론에는 라즈베리 파이와 같은 작은 컴퓨터가 장착되어 있어, 와이파이 네트워크의 MAC 주소와 SSID를 포함한 정보를 수집할 수 있다. 그러면 드론은 알려진 와이파이 네트워크를 모방할 수 있고, 의심하지 않는 개인이나 기기가 그 네트워크에 연결하면, 해커가 로그인 자격 증명과 같은 민감한 정보를 가로챌 수 있다.
- 서비스 거부 공격 : 드론은 기기를 운반해 로컬 인증 해제 공격을 수행할 수 있으며, 이로 인해 사용자와 와이파이 액세스 포인트 간의 통신이 중단될 수 있다. 또한 와이파이 또는 기타 무선 통신을 방해하기 위해 전파 방해 기기를 운반할 수도 있다.
- 물리적 감시 : 고품질 카메라가 장착된 드론은 물리적 감시를 위해 사용될 수 있으며, 이를 통해 교대 근무 변경 사항을 관찰하고, 보안 프로토콜에 대한 정보를 수집하고, 잠재적인 진입 지점 또는 취약점을 식별해 물리적 공격과 사이버 공격을 모두 계획할 수 있다. 열화상 카메라는 온도 변화를 감지해 서버와 같은 민감한 장비를 찾을 수도 있다.
- 데이터 가로채기 : 드론을 개조해 와이파이, 블루투스, RFID 신호를 포함한 다양한 무선 통신을 가로채 데이터를 훔칠 수 있다. 예를 들어, 드론이 블루투스 키보드를 대상으로 키 입력을 기록해 사용자 이름과 암호를 얻을 수 있다.
- 악성 하드웨어의 전달 : 드론은 라즈베리 파이나 와이파이 파인애플 같은 소형 기기를 운반해 목표 건물 근처에 떨어뜨려 근거리에서 네트워크에 침투할 수 있다. 그런 다음, 이 기기를 제어해 다양한 사이버 공격을 수행할 수 있다.
- 악성 소프트웨어의 전달 : 개인용 드론에 대해서는 명시적으로 자세히 설명되어 있지 않지만, 우크라이나 분쟁에서와 같이 멀웨어를 운반하는 무기화된 드론의 개념은 악의적인 행위자의 여러 경로 가능성을 제시한다.
- 사이버 시스템을 지원하는 물리적 인프라 공격 : 드론을 사용해 데이터센터의 옥상 냉각 시스템과 같은 사이버 작전을 지원하는 인프라를 물리적으로 공격할 수 있으며, 이로 인해 데이터 손실이나 시스템 장애가 발생할 수 있다.