33.10 차세대 보안 미들웨어 프레임워크(SROS2)의 인증 프로토콜 패싱 및 토큰 암호화 접근 제어

33.10 차세대 보안 미들웨어 프레임워크(SROS2)의 인증 프로토콜 패싱 및 토큰 암호화 접근 제어

자율 에이전트 드론은 본질적으로 사이버 공격(Cyber Attack)에 노출될 경우 물리적 피해(Kinetic Damage)를 유발할 수 있는 고위험 무인 이동체이다. 초창기의 ROS(Robot Operating System) 생태계는 통신망 내부에 침투한 어떠한 노드도 시스템의 모든 토픽을 제한 없이 구독하거나 조작된 명령을 퍼블리시할 수 있는 근원적인 제로-트러스트(Zero-Trust) 결함을 안고 있었다. ROS2는 이러한 보안 위협을 원천적으로 차단하기 위해 DDS-Security(Data Distribution Service Security) 국제 통신 표준 위에 구축된 SROS2(Secure ROS 2) 프레임워크를 도입하였다. SROS2 아키텍처 하에서 노드 발견(Node Discovery) 및 데이터 교환은 단순한 호환성 매칭을 넘어, 강력한 암호학적 인증(Authentication)과 토큰 기반의 접근 제어(Access Control)라는 엄격한 관문을 통과해야만 성립된다. 본 절에서는 SROS2의 인증 프로토콜 패싱 원리와 암호화된 토큰 구조를 통한 접근 제어 메커니즘을 심도 있게 분석한다.

1. 분권화된 PKI(Public Key Infrastructure) 기반 노드 식별자 인증

SROS2 시스템의 근간은 마스터 서버에 의존하지 않는 탈중앙화된 공개키 기반 구조(PKI)이다. 시스템 관리자는 오프라인 환경에서 로봇 군집 전체를 관장하는 최상위 인증 기관(Certificate Authority, CA) 키 페어를 생성하고, 이 CA의 프라이빗 키(Private Key)를 사용하여 각 드론 노드에게 고유한 X.509 신원 인증서(Identity Certificate)를 서명하여 배포한다.

1.1 런타임 상주 노드의 교차 인증(Cross-Authentication) 핸드셰이크

단순 참가자 발견 프로토콜(SPDP) 단계에서 멀티캐스트 혹은 유니캐스트로 서로의 존재를 감지한 두 도메인 참여자(가칭 P_AP_B)는 데이터 패스를 개방하기 전, 상호 간의 신원 증명 절차를 의무적으로 밟는다.

  1. 인증서 지문(Certificate Thumbprint) 교환: P_AP_B는 서로가 소유한 X.509 인증서를 해싱하여 상대방에게 전송한다.
  2. CA 서명 체인 검증: 수신자는 상대방의 인증서 체인이 자신이 신뢰하는 루트 CA에 의해 유효하게 서명되었는지 수학적으로 검증한다. 침입자가 CA 프라이빗 키 없이 임의로 위조한 인증서는 이 단계에서 즉각 폐기되며, 미들웨어 콜백은 Authentication Failed 이벤트를 발생시킨다.
  3. 대칭 세션 키(Symmetric Session Key) 유도: 인증이 성공적으로 패싱(Passing)되면, 양측은 디피-헬만(Diffie-Hellman) 키 교환 알고리즘 등을 통해 오직 두 노드만이 해독할 수 있는 일회성 공유 비밀키(Shared Secret Key)를 유도(Derivation)한다. 이후의 모든 제어 명령과 텔레메트리 페이로드는 강력한 AES-GCM(Advanced Encryption Standard - Galois/Counter Mode) 기반으로 대칭 암호화(Encryption)되어 물리 라우터를 통과하게 된다.

2. XML 서명 기반의 퍼미션 토큰(Permission Token)과 세분화된 접근 제어

신원이 인증된 아군(Friendly Node)이라 할지라도, 시스템은 “이 노드가 특정 하드웨어 제어 토픽(예: /actuator_cmd)에 명령을 하달할 정당한 권한이 있는가?“라는 권한 부여(Authorization) 문제를 별개로 취급한다. SROS2는 이를 통제하기 위해 접근 제어 거버넌스 문서(Access Control Governance Document) 체계를 운용한다.

2.1 권한 승인 영수증: 서명된 정책(Signed Policy) 문서

시스템 빌드 타임에 보안 관리자는 노드별로 허용될 토픽, 서비스, 액션의 퍼블리시 및 서브스크라이브 내역을 구체적으로 기술한 XML 형태의 거버넌스 폴리시를 작성한다. 중요한 점은 이 XML 텍스트 문서 자체가 CA의 프라이빗 키로 위변조 방지 전자서명(Digital Signature) 처리가 된다는 것이다. SROS2 미들웨어는 런타임에 이를 부팅 메모리로 읽어 들여와 불변의 ’퍼미션 토큰(Permission Token)’으로 파싱(Parsing)한다.

2.2 SEDP 계층에서의 권한 교차 검증 로직

엔드포인트 발견 단계(SEDP)에서 퍼블리셔와 서브스크라이버가 매칭을 시도할 때, 앞서 설명한 QoS 일치성 검사에 더불어 토큰 검증 필터가 추가 개입한다.
원격 노드 P_B가 특정 토픽 /camera/rgb를 수신하겠다고 요청하면, 로컬 노드 P_A의 미들웨어 데몬은 P_B가 제시한 서명된 XML 토큰을 읽어들여 해시를 확인한 뒤, 내부 룰셋에 “허용(ALLOW)“으로 명시되어 있는지를 조회한다. 만약 공격자가 이식한 악성 노드가 인가되지 않은 토픽에 접근하려 시도할 경우, 토큰 해시가 불일치하거나 권한 명세가 누락되어 있으므로 DDS 소켓 계층에서 실질적 스트리밍 엣지(Edge) 생성이 영구적으로 차단(Denied)된다.

이러한 SROS2 체계는 오버헤드가 발생함에도 불구하고, 무인기 사이버 하이재킹(Hijacking)과 비인가 데이터 스니핑(Sniffing)을 프로토콜 전송망 최하단 커널 밖에서 원천 거부하는 강력한 쉴드(Shield) 아키텍처로 작용한다.