Sensors are devices that measure physical quantities of the environment for sensing and actuation systems, and are widely used in many commercial embedded systems such as smart devices, drones, and medical devices because they offer convenience and accuracy. As many sensing and actuation systems depend entirely on data from sensors, these systems are naturally vulnerable to sensor spoofing attacks that use fabricated physical stimuli. As a result, the systems would become entirely insecure and unsafe. In this thesis, we propose a new type of sensor spoofing attack based on saturation. A sensor shows a linear characteristic between its input physical stimuli and output sensor values in a typical operating region. However, if the input exceeds the upper bound of the operating region, the output is saturated and does not change as much as the corresponding changes of the input. Using saturation, our attack can make a sensor to ignore legitimate inputs. To demonstrate our sensor spoofing attack, we target two medical infusion pumps which are equipped with infrared (IR) drop sensors to control precisely the amount of medicine injected into a patients' body. Our experiments based on analyses of the drop sensors show that the output of them could be manipulated by saturating the sensors using an additional IR source. In addition, by analyzing the infusion pumps' firmware, we figure out the vulnerability in the mechanism handling the output of the drop sensors, and implement a sensor spoofing attack that can bypass the alarm systems of the targets. As a result, we show that both over-infusion and under-infusion are possible: our spoofing attack can inject up to 3.33 times the intended amount of fluid or 0.65 times of it for a 10 minute period.

센서는 주변 물리량의 변화를 전기적인 신호로 바꾸어 주는 장치를 일컫는다. 이러한 센서들을 이용해 sensing & actuation system을 구성하게 되는데 신호를 감지하는 과정에서 시스템은 아무런 의심없이 센서 데이터를 받아들이게 되고, 이로 인해 스푸핑공격에 취약해지게 된다. 몇 가지의 센서 스푸핑 공격이 존재했지만, 이 논문에서는 포화 특성을 이용한, 새로운 센서 스푸핑 공격을 제시한다. 센서는 고유의 동작영역이 존재하며 이 영역 안에서 입력, 출력 사이에 선형적인 특성을 보인다. 만약 공격자가 외부에서 강한 신호를 주입해, 센서가 동작 영역을 넘어서는 입력을 받게 되면 출력이 포화되는 현상이 발생해 더 이상 아무 변화도 인식하지 못하게 된다. 센서 스푸핑 공격의 가능성을 보이기 위해 주로 중환자실에서 많이 쓰이는 의료 장비인 의약품 주입 펌프에 대한 분석과 공격을 진행했다. 의약품 주입 펌프는 환자에게 정확한 양의 약물을 주입하도록 도와 주는 장비로, 주입량을 측정의 정확도를 높이기 위해 드롭 센서를 이용하기도 한다. 드롭 센서는 수액세트의 드립 챔버에 클립 형태로 끼워 사용하는 장비로 드립 챔버 안에서 떨어지는 물방울의 개수를 세서 정확한 주입량을 측정한다. 물방울을 감지하기 위해 적외선을 사용하는데 구조적인 특성상 적외선 수광부가 외부에 노출되어 있고, 수광부에 적외선 레이저를 조사함으로써 센서에 영향을 미칠 수 있었다. 보다 정밀한 스푸핑 공격을 위해 의약품 주입 펌프와 드롭 센서에 대한 분석을 진행했다. 드롭 센서에서 펌프 본체로 향하는 출력 신호의 형태를 파악한 후, 이 출력 값을 어떻게 처리하는 지 알아내기 위해 메인보드에 있는 마이크로컨트롤러의 펌웨어를 추출했다. 추출한 펌웨어 분석을 통해 물방울 감지 알고리즘을 얻어냈으며, 펌프가 단지 센서에서 들어오는 전압값의 상대적인 변화만를 이용해 물방울을 감지한다는 사실을 알아냈다. 전압의 강하만으로 물방울을 인식했기 때문에 공격자가 외부 신호를 ON/OFF 함으로써 전압을 변화시켜 가짜 물방울을 만들어 내는 것이 가능했다. 또한 드롭 센서는 동작 영억 외부에서의 비선형적인 특성상 높은 입력에 대해서 출력이 포화되는 성질을 가지고 있었기 때문에 강한 적외선 레이저를 이용해 더 이상 물방울을 감지하지 못하도록 하는 것이 가능했다. 그 결과, 우리는 두 가지 공격 모델을 만들 수 있었다. 1) Over-infusion 적외선 레이저를 이용해 센서를 포화시키면 드롭 센서는 드립 챔버 안에서 떨어지는 물방울을 감지하지 못하게 되고 주입 펌프는 약물이 주입되지 않는다고 판단, 주입을 계속하게 된다. 멈추지 않고 주입이 계속되기 때문에 이 경우, 세팅된 값보다 더 많은 양의 약물이 주입된다. 2) Under-infusion 센서 수광부에 적외선 레이저를 ON/OFF 시키면 전압의 강하가 발생하여 드롭 센서에서 인식하는 가짜 물방울이 생성된다. 주입 펌프는 가짜 물방울을 약물로 인식하고 주입속도를 늦추게 되어 더 적은 양의 약물이 주입된다. 하지만 이 같은 공격을 수행한 결과, 드롭 센서에서 물방울이 감지되지 않음 또는 너무 많은 물방울이 감지됨을 의미하는 경보가 울리며 동작이 정지되는 현상이 발생했다. 이 경보를 우회하기 위해 특별한 스푸핑 패턴을 만들어 공격을 시도, 성공했다. 또한 센서를 포화시키는 시간을 조절함으로써 초과 주입되는 양을 조절하는 것이 가능했고, 일정 주기로 가짜 물방울을 만들어냄으로써 약물이 덜 주입되도록 하는 것 역시 가능했다. 결과적으로, 60mL/h의 주입 속도에서 스푸핑을 통해 약 65% 에서 330% 까지 주입량을 조절할 수 있었고, 의료 장비의 특성 상 이 같은 공격은 환자에게 심각한 위협이 될 것이다.