Drone (UAV, Unmanned Aerial Vehicle) has drawn a lot of attentions in applications for commercial or military purposes. However, their security issues have been less discussed in the literature. As a first step to analyze the security of drones, this thesis studies security of controller, the heart and the brain of drone. Drone controllers transfer user`s control input to a receiver on the drone. Most controllers adopt physical layer implementations using spread spectrum to minimize external interference. This research focuses on controllers adopts FHSS (Frequency Hopping Spread Spectrum) among various spread spectrum technologies.
To have impact on an FHSS system, an attacker is first required to access its physical layer. This is difficult to achieve in most cases, since A) pseudorandomness of the hopping sequence makes it difficult to predict the next subchannel, and B) rapidly changing carrier frequency makes it difficult to monitor whole target bandwidth with high speed. However, these difficulties can be loosened, when 1) the hopping period is acquired, and 2) the attacker`s signal is synchronized. The second condition is relatively simple if the first condition is met, since the attacker only have to monitor one subchannel once the hopping period is acquired. Two steps are required to meet the first condition. First, the attacker needs to sense if a subchannel is activated, which allows one to extract a series of hopping sequence. To address a special case when SDR bandwidth is narrower than the target bandwidth, the SDR is tuned to multiple frequencies making its bandwidth overlapped one another. Second, the attacker is required to find repetitions in the hopping sequence, which allows extracting the hopping period.
GNU Radio and USRP are used for implementing the approach above, and the implementation is tested against an example test target. As a result, baseband signal is exposed and the possibility of realizing a reactive jammer is shown. These results indicate that FHSS physical layer implementation with short hopping periods cannot provide sufficient security. I recommend designing systems with more complicated FHSS physical layer for secure connection between the drone and the controller.
날로 증가하고 있는 현대의 무인항공기의 중요성에 비해서, 무인항공기들의 보안성은 이들이 제어 회선으로 근본적인 취약성을 가지고 있는 무선 채널을 사용할 수밖에 없음에도 불구하고 상대적으로 적은 관심을 받아왔다. 따라서, 무인항공기 보안 연구의 출발점으로서, 본 학위논문에서는 USRP와 GNU Radio로 구현된 물리 계층 접속 플랫폼을 사용하여 주파수 도약식 물리 계층을 활용하는 무선 모형 항공기 조종 장치에 대한 보안 검증을 하고자 한다. 무선 모형 항공기 조종 장치는 핵심 모듈 중 하나로써, 사용자의 조종신호를 항공기에 탑재된 수신 장치로 전송하는 역할을 수행하는데, 외부 간섭에 의한 영향을 최소화하기 위하여 확산 대역 물리 계층이 널리 사용된다. 여러 가지 확산 대역 기술이 사용되지만 본 논문에서는 주파수 도약식 확산 대역 물리 계층을 활용하는 조종 장치를 대상으로 하였다.
주파수 도약식 물리 계층을 사용하는 시스템에 위협을 가하기 위해서는 먼저 물리 계층에의 접근이 요구된다. 하지만 대상 시스템의 사용 채널이 계속해서 변화하기 때문에 물리 계층에 접근하기 위해서는 도약 시퀀스의 완전한 추출이 선행되어야 한다. 따라서 본 논문에서는 도약 시퀀스의 완전한 추출을 위한 단계적 방법론을 제시한다. 첫째로, GNU Radio 동작 중, 부속 채널의 활성화 상태를 실시간으로 감지하는 방법론을 제안한다. 이를 통해서 동적으로 도약 시퀀스를 추출하는 것이 가능해진다. 둘째로, USRP의 제한된 대역폭을 극복하는 방법론을 제안한다. 이를 통해서 타깃 시스템의 확산 대역폭이 USRP의 단일 대역폭보다 넓을 때에도 도약 시퀀스를 추출하는 것이 가능해진다. 마지막으로, 기록된 도약 시퀀스로부터 주기를 추출하는 방법론을 제안한다. 이를 통해서 공격자는 다음에 활성화될 부속 채널을 예측할 수 있게 된다.
위에서 열거된 방법론들은 GNU Radio 와 USRP를 사용하여 구현되고, 예시 타깃 시스템에 대하여 동작을 테스트하였다. 그 결과, 타깃 시스템의 기저대역 신호를 노출시킬 수 있었으며, 반응 재밍의 가능성 또한 보일 수 있었다. 이러한 결과들은 매우 짧은 도약 시퀀스 주기를 갖는 단순한 주파수 도약 물리 계층을 통해서는 충분한 보안성을 얻기 어려우며, 그럼에도 불구하고 시스템이 그러한 불리 계층으로 구현됐을 경우, 사용 소프트웨어 정의 하드웨어들과 약간의 다른 장비들과의 조합만으로도 보안이 위협될 수 있음을 보여준다.