Sensors are devices that measure physical quantities from surrounding environments. They are used by many embedded devices for various purposes. The data collected by sensors from the environments are used for decision-making and the actuation of embedded devices, and this interrelation creates a sensing channel between the embedded device and the real world. Traditional network-based attacks and software vulnerabilities have been studied for a long time, and defense techniques against them have been developed. However, the attacks or vulnerabilities exploited through the sensing channels of embedded devices have not been given significant attention previously. As a result, countermeasures or secure sensing systems have not yet been seriously considered. In this thesis, as a preliminary step to ensuring the security of sensor-equipped embedded devices, we classify the security problems caused by the sensing channel into three categories: spoofing attack, side-channel attack, and information leakage. For each category, we show that such attacks are practical and their threats are serious, through hardware and software analyses of real-world embedded devices. Firstly, we propose a new type of sensor spoofing attack that utilizes sensor saturation. A sensor has a linear relationship between its input (i.e., physical stimulus) and output in a typical operating region. However, if the input exceeds the upper bound of this operating region, the output is saturated and does not change as much as the corresponding changes in the input. Using saturation, our attack can cause a sensor to ignore legitimate inputs. To demonstrate our sensor spoofing attack, we targeted two medical infusion pumps equipped with infrared (IR) drop sensors to precisely control the amount of medicine injected into a patient's body. Our experiments based on analyses of the drop sensors showed that their outputs could be manipulated by saturating the sensors using an additional IR source. By analyzing the infusion pumps' firmware, we found a vulnerability in the mechanism handling the outputs of the drop sensors, and implemented an attack that could bypass the alarm systems of the targets. As a result, we showed that our spoofing attack could cause the system to inject up to 3.33 times the intended amount of fluid and down to 0.65 times this amount over 10 minutes. In addition, we found fundamental weaknesses in an existing sensor spoofing detection scheme, which is called PyCRA, and propose a theoretical method to bypass it. For a side-channel attack, we investigate the possibility of incapacitating drones equipped with micro-electro mechanical systems (MEMS) gyroscopes using intentional sound interference.While MEMS gyroscopes are known to have resonant frequencies that degrade their accuracy, it is not known whether this property can be maliciously exploited to disrupt the operation of a drone.We tested 15 kinds of MEMS gyroscopes subjected to sound interference and discovered the resonant frequencies of seven of these MEMS gyroscopes by scanning the frequencies under 30 kHz using a consumer-grade speaker. The standard deviation of the resonant output from those gyroscopes was dozens of times larger than that of the normal output. After analyzing a target drone's flight control system, we performed real-world experiments and a software simulation to verify the effect of the crafted gyroscope output. Our real-world experiments using a sound source in 10~cm of distance from the target drone showed that one of the two target drones equipped with vulnerable gyroscopes lost control and crashed shortly after we started our attack in all 20 trials. Theoretically, the attack distance can be increased using high-power sound sources. Furthermore, we experimented with the use of physical shielding as a countermeasure, and the results showed that the effect of the resonance could be reduced by this physical shielding. Lastly, for information leakage, we propose a fingerprinting method for tracking drones in motion based on the offsets of MEMS gyroscopes, which are essential for maintaining the attitudes of drones. Considering the increase in drone-related services, fingerprinting and tracking drones can cause security threats such as attempts to escape surveillance, disturb services, and capture drones by leaking route information. Telemetry transceivers are used to wirelessly monitor the status of drones, and the status the information contains latitude and longitude, calibrated sensor outputs, and sensor offsets. Because many telemetry transceivers support no authentication and encryption, an attacker can obtain the locations of the drones using a suitable wireless communication device, but cannot track the drones because the location data cannot be specified for each drone. However, we found that the offsets of MEMS gyroscopes can be used as efficient fingerprints because of the hardware imperfections caused by manufacturing mismatches. As evidence, we found that the offsets of five drones obtained through their telemetry were distinguishable and constant during their flights. To evaluate the performance of our fingerprinting method on a larger scale, we collected the offsets from 70 stand-alone MEMS gyroscopes to generate fingerprints. When using the offsets of three and two axes calculated using 128 raw outputs samples per axis as fingerprints, the F-scores of the proposed method reached 98.78 % and 94.47 %, respectively. The offsets collected after a month could also be fingerprinted with F-scores of 96.58 % and 78.45 %, respectively. The proposed fingerprinting and tracking method is effective and robust even when the target drones are flying because the offsets are determined during the booting process for the drones and do not change in flight. Furthermore, the fingerprints can survive firmware updates, factory resets, and reinstallations as long as the MEMS gyroscope is not replaced. In summary, because many critical decisions or operations of sensor-equipped embedded devices are decided based on the data collected by sensors, through sensing channels, fabricated sensor inputs or outputs can maliciously manipulate the embedded devices, and the leakage of the data can cause privacy problems. In this thesis, we show three types of security attacks and threats that can be caused through sensing channels in detail. Each attack is designed based on both hardware and software analyses and proved by experiments with real-world embedded devices. Therefore, it is necessary to securely design and implement the sensing channel, and sensing data need to be securely managed. The results of this study can be used as important cases to ensure that sensor-equipped embedded devices are secure in the future. In particular, the proposed side-channel and information leakage attacks targeting drones can be used for disabling and tracking unauthorized drones.

센서는 주변 환경으로부터 특정 물리량을 측정하는 기기로써, 다양한 용도로 임베디드 기기들에 사용되고 있다. 센서로부터 측정되는 데이터는 임베디드 기기의 동작이나 의사 결정에 중요하게 사용되며, 이러한 입출력 관계로 인해 센서는 임베디드 기기와 실제 환경 사이의 센싱 채널을 형성한다. 기존에 네트워크를 통한 공격들과 소프트웨어 취약점을 이용한 공격들에 대해서는 오랜 기간 동안 많은 연구가 있어 왔고, 따라서 이들에 대한 대응방법들도 많이 개발되었다. 반면, 임베디드 기기에서 센싱 채널로 인한 공격 및 위협에 대해서는 지금까지 실제적이고 다각적인 연구들이 제시되지 않았으며, 그로 인해 센싱 채널 공격에 대한 대응방법들은 연구뿐만 아니라 제품 설계 및 구현에서 고려조차 되지 않고 있다. 본 연구에서는 센서를 이용하는 임베디드 기기의 안전한 설계를 위해, 임베디드 기기의 센싱 채널이 야기할 수 있는 공격들을 크게 스푸핑 공격, 부채널 공격, 그리고 정보 유출로 분류하고, 실존하는 공격 대상 시스템들에 대한 분석을 기반으로 각 공격의 가능성과 그로 인한 보안 위협을 입증하였다. 첫번째로, 스푸핑 공격에서는 환자의 몸에 정확한 양의 약물을 주입하기 위한 의료기기인 인퓨전 펌프와 함께 사용되는 적외선 드롭 센서를 분석하였다. 적외선 드롭 센서는 인퓨전 펌프가 주입하는 약물의 양을 정확히 측정하기 위한 목적으로 사용되는데, 적외선 드롭 센서의 수광부가 물리적으로 외부에 노출되어 있기 때문에, 별도의 적외선 소스를 이용하여 공격자가 임의의 신호를 수광부에 인가할 수 있다. 하드웨어 분석을 통해 드롭 센서의 출력 신호를 추적하고, 출력 신호의 처리를 담당하는 프로세서의 펌웨어를 추출하고, 펌웨어를 정적 분석한 결과, 인퓨전 펌프에서 드롭 센서의 출력으로부터 물방울을 검출하는 알고리즘은 이러한 의도적인 외부 신호를 고려하지 않고 설계되어 있을을 알 수 있었다. 또한 센서는 정해진 동작 영역을 벗어난 입력 신호에 대해서는 센서가 포화됨으로 인해 입력의 변화를 출력으로 충분히 나타내지 못하는 특성을 갖고 있다. 따라서 공격자는 드롭 센서의 수광부를 포화시킬 수 있는 충분한 수준의 적외선 신호를 이용하여 공격 대상의 경고 시스템을 우회할 수 있는 공격 신호 패턴을 생성할 수 있다. 스푸핑 공격의 결과, 생성한 패턴의 공격 신호를 드롭 센서의 수광부에 인가하였을 때, 10분동안 설정된 주입량의 최대 3.3배 까지 더 주입하거나, 최소 0.65배 까지 덜 주입할 수 있음을 실험을 통해 확인하였다. 적외선 신호는 사람의 눈에 보이지 않기 때문에 제안하는 스푸핑 공격은 은닉성이 높으며, 의료기기에 대해서 사람의 생명에 영향을 미칠 수 있는 위협을 발생시킬 수 있다. 추가적으로, PyCRA라고 불리는 센서 스푸핑 공격을 탐지하는 최근 연구의 문제점을 분석하고, 이를 우회할 수 있는 방법을 이론적으로 제시하였다. 두번째로, 부채널 공격에서 공격 대상은 최근 여러 용도로 활용되는 드론이다. 드론에 사용되는 여러 센서들 가운데 각속도를 측정하는 MEMS (Micro Electro Mechanical Systems) 자이로스코프는 드론의 자세제어에 핵심요소이다. MEMS 자이로스코프는 내부적인 기계구조로 인해 특정 주파수의 음향 간섭에 의해 공진현상을 일으키고, 이 공진현상은 MEMS 자이로스코프의 출력에 비정상적인 영향을 미친다. 100 Hz 에서 30 kHz 까지의 주파수를 스캔하는 방식의 실험을 통해서 15종류의 MEMS 자이로스코프 가운데 7종류에서 공진주파수를 찾아내고, 공진으로 인한 MEMS 자이로스코프의 비정상적인 출력이 드론 비행 제어에서 어떠한 영향을 줄 수 있는지를 파악하기 위해 오픈소스 드론 펌웨어 2종을 분석하였다. 개별 자이로스코프에 대한 실험과 드론 펌웨어 분석을 기반으로, 실제 드론에 대해 MEMS 자이로스코프의 공진현상의 영향을 실험한 결과, 약 10~cm 거리에서 일반 블루투스 스피커를 통해 음향 간섭을 이용한 공격 시 드론의 제어가 불가능하고 추락하게 됨을 확인하였다. 또한 고성능 스피커를 사용할 경우 공격 거리를 증가시킬 수 있음을 이론적으로 제시하였으며, 물리적인 차폐를 통해서 이러한 공격을 차단할 수 있음을 실험적으로 보였다. 마지막으로, 정보 유출에서는 센서 출력값을 이용한 드론의 식별과 위치 추적을 목적으로 한다. 드론의 상태 정보를 무선으로 모니터링하기 위한 원격측정기능은 드론과 별도의 지상국 간에 무선 통신을 제공하며, 이를 통해 사용자는 위치 정보, 센서 정보 등을 포함한 상태 정보를 실시간으로 확인할 수 있다. 상용 원격측정모듈들은 인증 및 암호화 기능을 제공하지 않기 때문에 취약하며, 공격자는 적합한 무선 송수신 기기를 이용하여 드론의 상태 정보를 얻을 수 있다. 공격자는 드론의 상태 정보에 포함된 위치 정보를 통해 위치를 실시간으로 알 수 있지만, 상태 정보에는 별도의 식별자가 없어 위치 정보를 특정 드론과 연결 지을 수 없기 때문에 드론의 위치 추적이 불가능하다. 하지만 제안하는 식별 방법은 상태 정보 가운데 MEMS 자이로스코프의 오프셋 정보를 이용하여 개별 드론을 식별할 수 있음을 보여준다. MEMS 자이로스코프의 오프셋은 제조 공정 상의 미세한 오차로 인하여 개별 자이로스코프 마다 다른 값을 갖는다. 먼저 실험을 통해 5개의 드론에서 MEMS 자이로스코프의 오프셋을 측정한 결과 서로 구분이 가능함을 확인하였다. 대규모 실험을 위해서 70개의 개별 MEMS 자이로스코프들로부터 오프셋 정보를 측정하였을 때, 제안하는 방법의 식별율은, 128개의 MEMS 자이로스코프의 보정되지 않은 출력을 통해 계산한 오프셋을 3개 축 모두 이용할 경우, 98.78 %의 F-score로 높게 나타났다. 또한 2개 축만 이용한 경우에도 평균적으로 94.47 %의 F-score로 측정된다. 식별자로 사용한 오프셋 값들은 온도 변화에 둔감하며, 약 한 달 후 오프셋 값의 변화를 측정한 결과 식별가능한 범위를 벗어나지 않음을 확인하였다. 또한 오프셋 값들은 드론의 부팅 단계에서 계산되고 비행 중에 변하지 않기 때문에, 제안하는 방법은 드론이 비행 상태와 무관하게 활용 가능하다. 제안하는 방법은 기존의 하드웨어 기반의 식별자로써 소프트웨어의 상태에 관계없이, 또한 해당 센서를 교체하지 않는 한 영구적으로 활용 가능하다는 장점이 있다. 제안하는 드론 식별 및 위치 추적 방법은 무선 신호 증폭기를 이용하여 통신 거리를 늘리거나, 여러 장소에 지상국을 구축함으로써 상용 드론들의 이동경로를 추적하는데 사용할 수 있다. 요약하면, 임베디드 기기에서 센서를 통해서 측정된 데이터는 시스템의 동작에 중요한 정보로 사용되기 때문에, 센싱 채널을 통한 악의적인 센서 입력 및 출력의 조작은 센서를 사용하는 임베디드 기기들에 심각한 문제를 일으킬 수 있고, 악의적인 센싱 데이터의 유출은 그 의미에 따라 개인정보 문제를 야기할 수 있다. 본 연구는 임베디드 기기의 센싱 채널에 존재하는 세 가지 형태의 보안 문제점과 그로 인한 위협을 구체적으로 보여준다. 각 보안 문제점들에 대한 제안하는 공격 기법들은 실제 대상에 대한 하드웨어 및 소프트웨어 분석을 기반으로 설계되었으며, 실험을 통해 공격의 가능성 및 그로 인한 위협을 실증하였다. 실증된 공격의 가능성과 위협을 근거로 볼 때, 보안 관점에서 기존의 네트워크 및 소프트웨어 관련 보안 연구 뿐만 아니라 센서 및 센싱 채널에 대한 보안 연구 또한 중요하다. 그리고, 본 연구의 결과는 센서 및 센싱 채널은 물리적인 공격을 고려하여 설계될 필요가 있으며, 센싱 데이터는 안전하게 관리되어야 한다는 것을 의미한다. 본 연구의 결과는 향후 센서를 이용하는 임베디드 기기의 안전한 설계를 위한 중요 사례들로 활용이 기대되며, 특히 드론과 관련된 두 가지 연구는 공격 그 자체로 비인가된 드론을 무력화하거나 추적하는데 사용될 수 있다.