Journal of Institute of Control, Robotics and Systems (2014) 20(2):157-162 http://dx.doi.org/10.5302/j.icros.2014.13.9009 ISSN:1976-5622 eissn:2233-4335 COSPAS-SARSAT 을이용한탐색구조신호보안 Secured Search and Rescue Signal using COSPAS-SARSAT 백유진, 조태남 *, 김재현, 이상욱, 안우근 (Yoojin Baek 1, Taenam Cho 1,*, Jaehyun Kim 2, Sanguk Lee 2, and Woo-Geun Ahn 3 ) 1 Dept. of Information Security, Woosuk University 2 Satellite & Wireless Convergence Research Department, Electronic Telecommunications Research Institute 3 The 3rd R&D Institute, Agency for Defense Development Abstract: The international COSPAS-SARSAT program is a satellite-based search and rescue distress alert detection and information distribution system and best known as the system that detects and locates emergency beacons activated by aircraft, ships and so on. However, the current message format of the system is not encrypted so that, if the rescue signal can be intercepted by the unintended receivers, the subsequent rescue activities can be handled in a hostile environment. So, this article concerns how to deal with the rescue signals in a secure way and proposes some adequate encryption methods and the corresponding key management. Keywords: COSPAS-SARSAT, search and rescue signal, satellite, encryption, authentication I. 서론 COSPAS-SARSAT (Cosmicheskaya Sistema Poiska Avariynyh Sudov[translated into Space System for the Search of Vessels in Distress] - Search And Rescue Satellite-Aided Tracking) 프로그램 은위성기반의조난검색및구조시스템으로서 1979 년에 캐나다, 프랑스, 미국및옛소련에의해처음설립되었고 2011 년현재대한민국을포함한 26 개국가가참여하고있으 며항공기나선박등에의해활성화된탐색구조 (SAR: search and rescue) 신호를탐지하고그위치를특정할수있는시스 템으로잘알려져있다. 현재운용되는있는 COSPAS- SARSAT 위성을이용한단말기는주로저궤도탐색구조 (LEOSAR) 시스템에서도플러신호처리를이용하여조난자 의위치를추적하고정지궤도탐색구조 (GEOSAR) 시스템에서 GPS 칩을이용하여조난자의위치를추적하여해당선박이나 항공기, 조난자를식별하는형태로운용되고있다 [1]. 비행기, 선박, 개인은각각 ELT (Emergency Locator Transmitters), EPIRB (Emergency Position-Indicating Radio Beacon), PLB (Personal Locator Beacons) 라고불리는탐색구조단말기를 소유하고, 유사시에 COSPAS-SARSAT 으로조난자의위치정 보가포함된구조신호를보낸다. COSPAS-SARSAT 은수신한 이신호를지상으로중계한다. 지역수신지구국 LUT (Local User Terminal) 는위성으로부터신호를받아임무통제본부 MCC (Mission Control Center) 로전송한다. MCC 에서는구조조 정본부 RCC (Rescue Coordination Center) 로구조를요청하고 * Corresponding Author Manuscript received November 20, 2013 / revised December 20, 2013 / accepted December 31, 2013 백유진, 조태남 : 우석대학교정보보안학과 (yjbaek@ws.ac.kr/tncho@ws.ac.kr) 김재현, 이상욱 : 한국전자통신연구원위성무선융합연구부 (longinus@etri.re.kr/slee@etri.re.kr) 안우근 : 국방과학연구소제 3 기술연구본부 (wgahn@add.re.kr) 본연구는방위사업청과국방과학연구소가지원하는국방위성항법특화연구센터사업의일환으로수행되었음. 그림 1. 위성을이용한탐색구조. Fig. 1. Search and rescue using satellite. 단말에게신호를수신하였음을알리는 ACK 메시지를송신 한다 ( 그림 1 참조 ). 이를위해서사용되는메시지포맷은 COSPAS-SARSAT 관리문서형식으로사무국에서관리되고있으나이러한메 시지포맷은그특성상어떠한보안서비스가제공되지않고 있기때문에, 만약원치않는상대방에의해서탐색구조신 호가가로채질경우그후속구조활동에서의안전성을매우 취약하게만든다. 가령군장병이조난을당하는경우현재 의메시지포맷을이용하여구조신호를보내게되면해당 장병의위치정보가고스란히적에게노출될우려가있다. 적군이먼저이러한신호를먼저탐지했을경우해당장병의 안전성및그가가지고있을수있는정보의안전성을심각 하게훼손할우려가있다. 본논문에서는 COSPAS-SARSAT 위성을이용한탐색구 조단말기의구조신호에사용되는메시지포맷을분석하고 위치정보와같은민감한정보에대한암호화방법을제안하 며, 그리고이러한암호화서비스제공시사용될암호키의안 전한저장및처리방식등에대한새로운방법을제안한다. Copyright ICROS 2014
158 Yoojin Baek, 백 Taenam 유진, Cho, 조태 Jaehyun 남, 김재 Kim, 현, Sanguk 이상욱 Lee,, 안 and 우근 Woo-Geun Ahn 그림 2. COSPAS-SARSAT 탐색구조신호의단문메시지포맷 [1]. Fig. 2. Short Message Format of COSPAS-SARSAT Search and Rescue Signal [1]. 그림 3. COSPAS-SARSAT 탐색구조신호장문메시지포맷 [1]. Fig. 3. Long Message Format of COSPAS-SARSAT Search and Rescue Signal [1]. 그림 4. Format Flag 와 Protocol Flag 의결합방식 [1]. Fig. 4. Format Flag and Protocol Flag Combinations [1]. II. COSPAS-SARSAT 탐색구조신호메시지포맷분석 COSPAS-SARSAT 탐색구조신호에사용되는메시지포맷은 COSPAS-SARSAT 관리문서형식으로사무국에서관리되고있으며메시지데이터포맷은장문의경우송신메시지 144 bit의 520 ms ± 1 percent, 400bps ±1 percent 를만족하여야하고, 단문의경우송신메시지 112 bit의 440 ms ± 1 percent, 400bps ±1 percent 를만족하여야한다. COSPAS-SARSAT 메시지는단문과장문의 2가지포맷을지원한다. 단문메시지포맷은 112비트길이로구성되며, 장문메시지포맷은단문메시지에포함된위치정보의정확도를높이기위한정보가추가된포맷으로서 144비트의길이를가진다. 그림 2와그림 3 은이러한구조신호의단문및장문메시지포맷을나타내며데이터포맷구성표에서무변조데이터가 160ms 동안송신된뒤부터장문과단문에따라나머지 360ms 및 280ms 동안에해당데이터가송신된다. 단문메시지포맷의 1-24 비트는비트동기와프레임동기비트정보로서데이터를수신하기위한데이터이고, 다음 25-85 비트의 PDF1 영역은전송하고자하는조난자정보등을담고있다. 이는초창기단문형태로개발되었던포맷이다. 하지만, GPS 정보를같이송신할수있는단말기가사용됨에따라위치정보의정확도를높이기위하여두번째데이터영역 PDF-2(107-132 비트 ) 를추가한형태가그림 2의장문메시지가된다. 단 / 장문메시지의 86-106 비트의 BCH-1 과장문메시지의 133-144 비트의 BCH-2 는구조신호의전송중에 발생할수있는통신오류를탐지 / 정정할수있는오류정정부호에사용되며 COSPAS-SARSAT 위성탐색구조신호의경우 BCH 코드가사용된다. BCH-1 은 PDF-1 에대한코드이며 BCH-2 는 PDF-2 에대한코드이다. 메시지가단문인지장문인지는 25번째비트에따라결정된다. 이비트는조난신호의포맷을나타내는 F 형식플래그로서 0 은단문을 1 은장문을나타낸다. 26번째비트는탐색구조에서사용가능한부호화된데이터의구조를나타내는프로토콜들중사용된특정한프로토콜을나타내는 P 형식플래그로서 0 은표준위치프로토콜이나국가위치프로토콜을 1 은사용자프로토콜이나사용자위치프로토콜을나타낸다. 이러한프로토콜정보는이후 37번째부터 85 번째비트까지의 Identification or Identification plus Position 필드중첫 3비트또는 4비트정보를결정하게되며자세한필드설정방식은그림 4에좀더자세히나타나있다. 27번째비트에서 36번째비트까지총 10비트는 ITU에서관리하는 MID (Maritime Identification Digit) 국가코드를나타내며한국의경우 440(10) 과 441(10) MID 코드를가진다. 따라서국가코드는 440(10) = 0110111000(2) 혹은 441(10) = 0110111001(2) 로나타낼수있다. 37-85 비트의 Identification or Identification plus Position 필드는실제데이터가들어가는부분으로그중처음 3비트나 4 비트는위에서설명하였듯이다양한프로토콜들중현재사용되는프로토콜을나타내고 ( 그림 4 참조 ), 그외의데이터에
Secured Search COSPAS-SARSAT and Rescue Signal 을이용한 using 탐색구조 COSPAS-SARSAT 신호보안 159 그림 5. 국가사용자프로토콜의메시지포맷 [1]. Fig. 5. Message Format of National User Protocol [1]. 그림 6. 국가위치프로토콜의메시지포맷 [1]. Fig. 6. Message Format of National Location Protocol [1]. 는해상이동업무용식별부호 (MMSI) 및비콘 (beacon) 번호를할당해동일한선박에여러개의비콘을탑재할때이를구별하기위해사용된다. 단문메시지의 107-112 비트와장문메시지의 107-132 비트는응급상황이나국가사용을위한코드또는여분의데이터용으로할당되었다. III. COSPAS-SARSAT 구조신호에대한보안방식제안현재 COSPAS-SARSAT 에서정의하고있는여러사용자프로토콜중국가사용자프로토콜은각국가별로임의로사용할수있는데이터영역을둔프로토콜로서, 국가사용자프로토콜을사용하는조난신호는 COSPAS-SARSAT 중계국에서데이터해독을하지않고해당국가로전달하여해당국가의기관에서해독할수있도록한다. 따라서 COSPAS- SARSAT 시스템을이용할경우전송메시지에추가적인보안조치가가능한프로토콜이다. 이때메시지형태에따라단문일경우에는국가사용자프로토콜, 장문일경우에는국가위치프로토콜로분류할수있으며, 두프로토콜의차이는장문에따른추가적인데이터영역의존재유무이다. 각메시지의포맷은그림 5 및그림 6과같다. 다음절에는이메시지포맷에적합한대한암호화방식을제안하고자한다. 이를위해먼저보안을제공하기위해고려해야할사항을분석한다. 1. 보안고려사항탐색구조신호에대한최소보안요구사항은다음과같다. 1 외부노출시, 안전성에영향을줄수있는위치정보의기밀성제공 2 단말기분실 / 도난시다른단말기로의영향최소화 3 공격자의메시지위변조공격에대응 4 단말기의장기사용에대한보안위험성완화이러한보안요구사항을해결하기위해고려해야하는제한사항은다음과같다. 1 기존메시지포맷준수 2 위성및 MCC가기존메시지와제안메시지를구분처리가능 3 보안기술적용과무관하게전송오류정정가능 2. 메시지보안 앞에서기술한보안요구사항및제한사항을반영한각필 드에대한처리방식은다음과같다. 1 Bit & Pattern Synchronization, Format & Protocol Flag, Country Code, Protocol Code, National ID Number 는평문으로전송 ( 제한사항 2) 2 위치정보와장문메시지포맷의 127-132 비트의 National Use 필드를암호화 ( 보안요구사항 1) 3 암호문의길이는기존필드와동일하게유지 ( 제한사항 1) 4 암호화적용후 PDF1 영역에대한 BCH 코드생성및 장문메시지포맷의경우 PDF2 영역에대한 BCH 코드 생성 ( 제한사항 3) 5 각단말은서로다른암복호화키를사용 ( 보안요구사항 2) 6 메시지위변조를확인할수있는정보를메시지에포함 ( 보안요구사항 3) 7 암복호화키는지속적으로변경 ( 보안요구사항 4) 처리방식 1-4 은본절의 메시지암호화 를통해기술하 고, 처리방식 5-7 는다음절 키관리구조 를통해기술한다. 각메시지포맷에상기처리방식을적용하였을경우암 호화되는데이터필드를그림 7 과그림 8 에점선으로표시 하였다. 따라서암호화되어보호될위치정보필드는단문메시지 포맷의경우 27 비트의크기를가지며장문메시지포맷의경 우 47 비트크기를가지게된다. 따라서 64 비트블록크기를 가지는 DES 나 128 비트블록크기를가지는 AES [5] 등의블 록암호는적용하기어려우며스트림암호방식을적용하는 것이바람직하다. 본논문에서는블록운용모드중 CFB (Cipher FeedBack) 모드를 [4] 활용한다. 암호화알고리즘으로 는 128 비트 AES 를이용한다. 그림 9 는암복호화하고자하 는메시지의길이가암복호알고리즘의블록크기인 b 비트이 하일경우에 CFB 운용모드로암복호화할경우를보여준다. 이경우각메시지포맷에대한위치정보를암호화하기위
160 백유진, 조태남, 김재현, 이상욱, 안우근 그림 7. 단문메시지의암호화가적용될데이터필드. Fig. 7. Data fields to be encrypted in Short Message Format. 그림 8. 장문메시지의암호화가적용될데이터필드. Fig. 8. Data fields to be encrypted in Long Message Format. 표 1. 단말기에저장된데이터. Table 1. Data Stored in User Terminal. 데이터 단말 ID Key IV CNT 비트길이 18 128 128 6 해서는암호화비트길이인 s 는메시지포맷이단문혹은 장문인지에따라각각 27 비트혹은 47 비트가되며, b 는 AES 의블록크기인 128 비트가된다. 단말기가메시지 P 를키 K 로암호화하기위해서는 IV (Initialization Vector) 를 K 로암호화한다음그결과의왼쪽 s 비트와평문 s 비트를배타적논리합 (exclusive-or, Å) 으로결 합하여암호문 C 를생성한다. 이 s 비트암호문은 IV 에피드 백된다. 즉, IV 를 s 비트만큼왼쪽으로쉬프트시키고, 오른쪽 s 비트를 C 로채운다. 따라서암호화를수행될때마다다른 IV 를사용하게된다. MCC 에서의복호화프로세스도거의유 사하다. IV 를키 K 로암호화한암호문의왼쪽 s 비트와수신 한암호문 C 를논리적배타합으로결합하면평문 P 를얻을 수있다. 복호화후, 역시 IV 는왼쪽으로 s 비트쉬프트되고 오른쪽 s 비트를수신한암호문 C 로채워서다음암호문의 복호화에사용한다. OFB (Output FeedBack) 모드는 CFB 와유 사하지만 IV 로피드백되는값이다르다. OFB 에서는메시지 의암호문이아니라 IV 를암호화한값의왼쪽 s 비트가 IV 로 피드백된다. OFB 를사용할경우 IV 의암호화한결과가주기 적으로반복된다는단점을가지기때문에 CFB 가더적합하 다. 스트림암호를사용할경우송수신자간의키에대한동 기화가필수적이다. 이에대해서는다음절인 키관리구조 에서다룬다. (a) Encryption. 그림 9. CFB 운용모드. Fig. 9. CFB Operational Mode. (b) Decryption. 3. 키관리구조암호키저장및관리는제안된암호화방식에서또다른보안사항중하나이다. 가령, 상기알고리즘을구현한단말기가모두동일한키를사용할경우한단말기의분실은전체시스템의안전성에커다란위협이된다. 즉, 공격자가분실한단말기를습득하거나탈취하여키를얻게되면, 다른단말기로부터의탐색구조신호를복호화함으로써조난자의위치를파악할수있게된다. 가장간단한방법은각단말기마다다른키를사용하도록하는것이다. 이것은보안요구사항 2를지원한다. COSPAS-SARSAT 의단문및장문메시지포맷에는단말기를식별할수있는비콘번호가포함되어있는데이를단말 ID로사용할수있다 (II장참조 ). 따라서각단말기가서로다른키를사용하도록하고, 그키를 MCC와공유하도록한다. MCC에서는수신한메시지의단말 ID로부터복호화에사용할키를결정할수있다. 따라서각단말기는키관리를위하여표 1과같은데이터를저장하고있으며, MCC는표 1 과같은데이터를단말기수만큼저장하고있다. 단말 ID는단문및장문메시지에포함된단말 ID와동일한값이다. Key는 AES에사용될키이고, IV는 CFB 운용모드에서사용된최종값이다. 제안한방식에서는 CFB 운용모드를이용한스트림암호를사용하고있다. 스트림암호에서는동일한키를재사용해서는안된다. 제안한방법을사용할경우, 전송할메시지시퀀스가달라지면생성되는 IV값의시퀀스가달라지게된다. 또한 IV는비밀값일필요가없으며, 모든단말기가초기 IV 값을동일하게가지더라도메시지를보낼때마다서로다른 IV값이생성되어다음메시지암호화에사용된다. 따라서키자체는동일하지만, 스트림암호에서의키역할을하는값은 IV를키로암호화한값이고, 이값이매번달라지므로키를
COSPAS-SARSAT 을이용한탐색구조신호보안 161 그림 10. MCC 의메시지처리흐름도. Fig. 10. Message Processing Flow of MCC. 재사용하는문제는발생하지않는다. 따라서단말은마지막 IV 값을저장하고있어야하며, MCC 는단말마다마지막사 용한 IV 값을표 1 과같이저장하고있어야한다. 이로써보 안요구사항 4 를지원한다. CFB 운용모드를이용한스트림암호방식에서또하나고 려해야할것은송수신자간의동기화이다. 초기에서로공유 하는값은 IV 와 K 이다. 그러나메시지가송수신될때마다 IV 값이달라지게되는데메시지의송신과정에서메시지가 분실되거나전송오류가발생한다면 MCC 는다음메시지를 복호화할수없게된다. 장문메시지포맷을이용할경우, National Use 필드를이용하여이를방지할수있다. 이필드는 127-132 비트로서 6 비트길이를가지는데이필 드를카운터로활용한다. 이를 CNT 라하자. CNT 의초기값은 0 이며매전송마다 1 씩증가하다가최대값인 63 에도달하면 다시 0 으로리셋된다. MCC 는수신된메시지에서복호한 CNT 값이 MCC 에저 장된해당단말기의 CNT 값보다 1 큰값인지확인한다. 그 렇지않으면동기화에실패한것으로간주하고단말에게 RESET 메시지를송신하여 IV 및 CNT 를초기화한다. 이를 위해단말과 MCC 는초기에할당받은 IV 도저장하고있 어야할것이다. 만약동기화에성공하면, MCC 는 CNT 값 을 1 증가시켜저장하고업데이트된 IV 를 DB 에저장한다 ( 그림 10 참조 ). 이렇게함으로써 CNT 는암호화된메시지 필드에대하여변조여부를판단할수있는무결성을지원 하며, 이전에송신된메시지를재전송함으로써정상적구 조작업을저해하는재생공격도막는다. 이로써보안요구 사항 3 을지원한다. 비밀정보가아닌 CNT 를암호화하는이유는다음과같다. 공격자가의도적으로 CNT 는변조하지않고암호화된위치 정보만변조할경우, MCC 는잘못된위치정보를얻게된다. 뿐만아니라동기화실패를인식하지못한채, 변조된암호 문을이용하여 IV 를업데이트함으로써이후의메시지를제 대로복호화하지못하게된다. IV. 결론및향후연구 본논문에서는 COSPAS-SARSAT 위성을이용한탐색구 조단말기의구조신호에사용되는메시지포맷을분석하고 위치정보와같은민감한정보에대한암호화가능성, 그리 고이러한암호화서비스제공시사용될암호키의안전한 저장및처리방식등에대한새로운방법을제안하였다. 제 한된메시지포맷으로인하여 AES 를이용한 CFB 운용모드 방식을채택하였다. 또한단말기의키저장관리기법및 IV 의동기화를기법과위치정보에대한무결성제공및재생 공격방지방안을제시하였다. 이로써기존 COSPAS- SARSAT 의메시지포맷을준수하면탐색구조신호에요구되 는보안요구사항을지원한다. 본논문에서제안한방법은 COSPAS-SARSAT 메시지포 맷의제약으로인하여강도높은보안레벨을제공하지는못 한다. 특히단문메시지포맷을사용하는경우에는위치정보 의정밀도도낮을뿐아니라메시지의무결성이나 IV 의동 기화를제공하지못하기때문에장문메시지포맷의사용을 권장한다. 만약좀더보안보안레벨을높일수있는탐색구조메시 지보안이요구된다면, 단말기등록, 단말의사용자인증이나 장기적키의업데이트를지원할수있도록업링크메시지뿐 만아니라위성으로부터의다운링크메시지를포함한위성 메시지시스템을새로설계하는것이바람직하다. REFERENCES [1] COSPAS SARSAT, Specification for COMPAS-SARSAT 406 MHz distress beacons, C/S T.101, Issue 3 - Revision 13, 2012. [2] A. J. Menezes, P. C. van Oorschot, and S. A. Vanstone, Handbook of Applied Cryptography, 5 th Ed., CRC Press, 1996. [3] IEEE, Standard for cryptographic protection of data on blockoriented storage services, IEEE P1619/D16, 2007. [4] W. Stallings, Cryptography and Network Security, 5th Ed., Pearson, 2011. [5] FIPS-197, Advanced encryption standard (AES), 2001. 백유진 관심분야는부채널공격, 정보보안. 1997 년서울대학교수학과 ( 학사 ). 1999 년서울대학교수학과 ( 석사 ). 2003 년서 울대학교수리과학부 ( 박사 ). 2003 년 ~2003 년 KAIST 박사후연구원. 2003 년 ~2013 년삼성전자책임연구원. 2013 년 ~ 현재우석대학교정보보안학과교수. 조태남 1986 년이화여자대학교전자계산학과 ( 학사 ). 1988 년이화여자대학교전자계 산학과 ( 석사 ). 2004 년이화여자대학교 컴퓨터학과 ( 박사 ). 1988 년 ~1996 년한국 전자통신연구원선임연구원. 2005 년 ~ 현 재우석대학교정보보안학과교수. 관 심분야는암호프로토콜, 네트워크보안, 안드로이드보안.
162 Yoojin Baek, 백 Taenam 유진, Cho, 조태 Jaehyun 남, 김재 Kim, 현, Sanguk 이상욱 Lee,, 안 and 우근 Woo-Geun Ahn 김재현 2005 년한양대학교전자전기컴퓨터공학부 ( 학사 ). 2007 년한양대학교전자통신컴퓨터공학과졸업 ( 석사 ). 2007 년 ~ 현재한국전자통신연구원위성항법연구실선임연구원. 관심분야는위성항법, 신호처리, 무선통신. 이상욱 1988 년연세대학교천문기상학과졸업 ( 학사 ), 1991년 Auburn 대학교항공우주공학과졸업 ( 석사 ). 1994년 Auburn 대학교항공우주공학과졸업 ( 박사 ). 1993 년 ~ 현재한국전자통신연구원위성항법연구실책임연구원. 관심분야는위성시스템및제어, 위성항법, 탐색구조시스템. 안우근 2001 년고려대학교전기전자전파공학부 ( 학사 ). 2003 년 KAIST 전기및전자공학과 ( 석사 ). 2010 년 KAIST 전기및전자공학과 ( 박사 ). 2011 년 ~ 현재국방과학연구소항법기술부선임연구원.