ESA

블로그

May 25, 2024

ESA

ESA의 감독하에 Thales Alenia Space의 전문가 팀이 최근 사이버 보안 시연을 수행했습니다. 그들은 ESA의 OPS-SAT의 일부에 은밀하게 접근할 수 있음을 보여주었습니다.

ESA의 감독하에 Thales Alenia Space의 전문가 팀이 최근 사이버 보안 시연을 수행했습니다. 그들은 일반적으로 출입이 금지된 ESA의 OPS-SAT 우주선의 일부에 은밀하게 접근할 수 있음을 보여주었습니다.

OPS-SAT는 일반 운용 위성에 탑재하기에는 너무 위험한 혁신적인 새 소프트웨어를 테스트하기 위해 ESA가 유럽 전역의 팀에 제공하는 비행 실험실입니다.

탈레스 팀은 위성의 제어 계층에 성공적으로 액세스한 후 위성 카메라로 촬영한 이미지를 조작하고 우주선을 정상적인 방향에서 벗어나게 회전시킬 수 있는 방법을 시연할 수 있었습니다.

이번 시연은 사이버 보안 회사인 CYSEC, ESA 및 Thales가 고안했습니다. 그런 다음 Thales 팀은 '무해해' 보이는 소프트웨어를 OPS-SAT에 업로드하는 방법을 고안하는 작업에 착수했지만 실제로는 나중에 악용할 취약점이 발생했습니다. 나중에 이 취약점을 악용하여 일반적으로 실험자에게는 제한이 있는 소프트웨어의 제어 계층에 성공적으로 액세스했습니다.

소프트웨어와 절차는 ESA의 ESOC 임무 통제 센터에 보관된 동일한 위성 사본에서 처음 테스트되었습니다. 이를 통해 위성이 탑재되기 전에 위성에 회복 불가능한 손상을 입히는 일이 없도록 보장했습니다.

제어 계층에 대한 액세스 권한을 얻은 후 팀은 OPS-SAT의 카메라로 촬영한 이미지를 교체하고 우주선이 가리키는 방향에서 멀어지게 회전할 수 있었습니다(위성의 '자세'를 변경했습니다).

ESA 미션 운영 책임자인 Simon Plum은 "ESA 팀은 위성을 복구하고 소프트웨어를 이전의 안전한 보안 상태로 성공적으로 되돌렸습니다."라고 말했습니다.

“이것은 ESA가 앞으로 일어날 일을 미리 알고 테스트를 감독하며 시연 전반에 걸쳐 제어를 유지하는 잘 제어된 실험이었습니다. 이 테스트는 ESA의 작전 임무와 완전히 격리된 상태에서 수행되었으며 우리는 가능한 사이버 위협에 대해 더 많은 것을 배울 수 있었습니다. OPS-SAT, ESA 전반의 우리 팀, 그리고 CYSEC 및 Thales와 같은 활동 참가자 및 조직자 덕분에 이제 ESOC의 운영 보안을 더욱 강화할 수 있습니다.”

인류가 컴퓨터와 기타 디지털 시스템을 사용하여 수행하는 모든 활동은 사이버 보안 위협에 노출되어 있습니다. 위성은 우리 일상생활의 많은 부분에 필수적이기 때문에 우리는 위성의 보안을 최대한 보장해야 합니다.

“우주선 설계자와 운영자는 잠재적인 사이버 공격자가 어떻게 생각하는지 이해해야 합니다. 그래야만 최상의 방어를 구축할 수 있습니다.”라고 OPS-SAT 프로젝트 관리자인 David Evans는 말합니다.

“ESA와 Thales가 수행하는 것과 같은 활동은 종종 '윤리적 해킹'이라고 불리며 우주선 엔지니어가 이러한 지식을 얻을 수 있는 매우 효과적인 방법입니다. 이러한 공격자의 활동을 관찰하고 그들의 방법론을 이해하는 것은 우리에게 매우 귀중한 일이었습니다.”

이 통제된 실험은 교육적 활동이었으며 위성 시스템 개발에 참여하는 공격적인 사고방식을 가진 사이버 보안 전문가의 가치를 보여주었습니다.

OPS-SAT 팀은 실험을 통해 많은 것을 배웠으며 Thales 팀 및 ESA 보안국과 함께 시연 결과를 사용하여 OPS-SAT SMILE 제어 센터의 보안 시스템을 업데이트했습니다.

탈레스 팀이 강조한 우주선을 조작하는 방법은 더 이상 가능하지 않습니다. 즉, 실제 위협에 대한 잠재적인 공격 경로가 하나 줄어드는 것입니다.

OPS-SAT는 독특합니다. 실험과 혁신을 위한 플랫폼으로서의 역할은 ESA 외부 팀이 우주선에서 소프트웨어를 실행할 수 있음을 의미합니다. 다른 ESA 위성은 이런 방식으로 작동하지 않습니다.

탈레스 팀은 또한 OPS-SAT의 내부 작동에 대한 정보에 대한 고급 액세스 권한을 갖고 있으며 협력의 일환으로 OPS-SAT의 플랫 위성에 대한 테스트를 수행할 수 있었습니다.

OPS-SAT의 지상 기반 IT 시스템은 다른 ESA 위성의 시스템과 격리되어 있으므로 Thales 팀과 다른 OPS-SAT 실험자는 다른 위성 시스템에 액세스할 수 없습니다.