Earticle

초록

한국어

본 논문은 PX4(PX4 Autopilot) 기반 군사용 드론의 OTA(Over-The-Air) 공급망이 통제권 탈취에 악용될 위험을 분석한 다. 기체 회수 후 펌웨어 분석, Blind-SSRF(Server-Side Request Forgery)와 인증 우회(CVE-2024-56523, CVE-2023-31190) 를 통한 OTA 포털 침해, 악성 펌웨어 기반 탈취 절차를 제시한다. 또한 GNSS(Global Navigation Satellite System) 스푸핑, RTSP(Real-Time Streaming Protocol) 변조, IFF(Identification Friend or Foe) 우회를 다루고, Zero-Trust(Zero-Trust Security Model) 기반 OTA 보호와 RADD(Runtime Anomaly Detection for Drones) 탐지 전략을 제안한다.

영어

This paper examines security risks in PX4 based military unmanned aerial systems by analyzing how OTA update supply chain mechanisms can be exploited to compromise operational control. Through post recovery firmware analysis, we highlight attack paths involving Blind-SSRF and authentication bypass vulnerabilities, including CVE-2024-56523 and CVE-2023-31190, which permit unauthorized access to OTA management portals. We further outline a malicious-firmware hijacking workflow capable of altering flight logic, redirecting command channels, and leaking mission telemetry. Additional threat vectors including GNSS spoofing, RTSP manipulation, and IFF bypass are evaluated for feasibility and tactical impact. To address these risks, the paper proposes a Zero-Trust architecture for OTA protection and introduces RADD as a behavioral detection layer to identify anomalous updates and flight dynamics.

목차

요약
ABSTRACT
1. 서론
2. 본론
2.1 대상 시스템 및 위협 모델
2.2 공격 시나리오
2.3 영향 평가
2.4 대응방안
3. 실험 및 결과
3.1 실험 설계
3.2 실제 동작 원리
3.3 공격 평가 기준
3.4 공격 실험 결과 분석
3.5 ZTA 기반 대응 적용
3.6 결과 종합
4. 결론
참고문헌

저자

• 이명선 [ Myeong Seon Lee | 건양대학교 사이버보안공학과 학부생 ] 주저자
• 지현근 [ Hyeon Geun Ji | 건양대학교 사이버보안공학과 학부생 ] 공동저자
• 신정민 [ Jeong Min Shin | 건양대학교 사이버보안공학과 학부생 ] 공동저자
• 위정우 [ Jeong U Wi | 건양대학교 사이버보안공학과 학부생 ] 공동저자
• 정승욱 [ Seung Wook Jung | 건양대학교 스마트보안학과 학과장 ] 교신저자

참고문헌