드론 조종기 ExpressLRS에서 무단 조종 가능한 보안 취약점 발견
상태바
드론 조종기 ExpressLRS에서 무단 조종 가능한 보안 취약점 발견
  • 곽중희 기자
  • 승인 2022.07.13 16:12
  • 댓글 0
이 기사를 공유합니다

표준 ExpressLRS 호환 조종기 통해 모든 드론 제어 가능

 

드론 조종기 ExpressLRS에서 무단 조종을 할 수 있는 보안 취약점이 발견돼 주의가 필요하다.

ExpressLRS는 최대 범위까지 빠르게 드론을 제어할 수 있는 고성능 오픈 소스 무선 제어 장치다.

최근 알려진 정보에 따르면, 해커는 표준 ExpressLRS 호환 조종기를 통해 조종기의 트래픽을 관찰해 모든 드론을 제어할 수 있다.  

또한 해커는 조종기와 드론 간 주고받는 식별자의 정보도 알아낼 수 있다. 여기에는 무차별 대입 공격을 통한 분석이 사용된다.

식별자 정보를 획득하면 해커는 바인딩 문구에 대한 지식 없이 조종기를 사용해 드론을 제어한다. 공격은 표준 ExpressLRS 호환 하드웨어를 사용하는 소프트웨어에서 모두 실현이 가능하다.

보안 기업 NccGroup은 “ExpressLRS는 조종기를 드론에 바인딩하기 위해 컴파일 타임 펌웨어에 내장된 바인딩 문구를 사용한다. ExpressLRS 측에 따르면, 바인딩 문구는 보안을 위한 것이 아니라 충돌 방지를 위한 것이다"라고 설명했다.

이어 “바인딩 단계와 관련된 약점으로 인해 드론과 조종기 간에 공유되는 식별자의 일부를 추출하는 것이 가능하다. 무차별 대입 공격과 분석을 조합해 식별자의 나머지 부분을 파악할 수 있다. 전체 식별자가 발견되면 바인딩 구문에 대한 지식 없이 해커의 조종기를 통해 드론을 제어할 수 있다. 표준 ExpressLRS 호환 하드웨어를 사용하는 소프트웨어에서 가능하다”라고 덧붙였다.

ExpressLRS에서 사용하는 문구는 암호화 방식 중 하나로 알려진 해싱 알고리즘 MD5를 통해 암호화된다.

전문가들은 동기화를 목적으로 조종기와 드론이 주고받는 동기화 패킷이 바인딩 구문의 고유 식별자(UID)의 대부분을 유출시킨다고 관찰했다. 해커는 무차별 대입 공격을 통해 무선으로 패킷을 관찰해 나머지 정보를 찾아낼 수 있다.

ExpressLRS 측은 “세 가지 약점이 확인됐으며 장치를 제어하는데 필요한 UID의 4바이트를 찾을 수 있었다. 문제 중 두 가지는 동기화 패킷의 내용과 관련이 있다. 동기화 패킷에는 UID의 마지막 3바이트가 포함된다. 이 바이트는 충돌을 피하기 위해 조종기가 드론과 동일한 바인딩 구문을 가지고 있는지 확인하는데 사용된다. 단일 동기화 패킷을 관찰하면 링크를 인수하는데 필요한 바이트의 75%가 제공된다. CRC 이니셜라이저는 동기화 패킷과 함께 전송된 UID의 마지막 2바이트를 사용하므로 CRC 검사를 매우 쉽게 생성할 수 있다”라고 설명했다.

이어 “세 번째 약점은 FHSS 시퀀스 생성에서 발생한다. 난수 생성기의 약점으로 인해 4바이트 시드의 마지막 바이트의 두번째 128개 값은 처음 128개와 동일한 FHSS 시퀀스를 생성한다”라고 덧붙였다.

ExpressLRS 측은 원격 조종을 막기 위해 제어 링크를 통한 UID 전송을 피할 것을 권장했다. FHSS 시퀀스를 생성하는데 사용되는 데이터를 무선으로 전송해서는 안되며, 또한 보다 안전한 알고리즘을 사용하거나 기존 알고리즘을 조정해 반복되는 시퀀스를 해결할 수 있는 난수 생성기를 사용해야 한다고 강조했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.