가상현실(Virtual Reality, VR)은 게임 업계의 새로운 표준이 되고 있다. PokeMon GO는 가상현실 기술을 적용한 대표적인 사례이다. PokeMon GO는 출시 후 다음날 미국에서 가장 많은 iOS App Store 다운로드 수를 기록하였다. 이는 가상현실의 위력을 보여주는 사례이다. 가상현실은 자이로스코프, 가속도, 촉감 센서 등으로 구성되며 사용자가 게임을 깊이 몰입할 수 있게 한다. 새로운 기술이 등장함에 따라 새롭고 다양한 위협요소가 생긴다. 그래서 우리는 가상현실 기술과 게임 시스템에 대한 보안 연구가 필요하다. 본 논문에서 가상현실 기기(Oculus Rift)와 게임 시스템(Quake)의 정보보증을 위해 위협 분석을 진행한다. STRIDE, attack library, attack tree 순서로 체계적으로 분석한다. DREAD를 통해 보안 대책을 제안한다. 또한 VCG(Visual Code Grepper) 도구를 사용하여 소스 코드의 논리 오류 및 취약한 함수를 파악하고 해결 방법을 제안한다.
가상현실(Virtual Reality, VR)은 게임 업계의 새로운 표준이 되고 있다. PokeMon GO는 가상현실 기술을 적용한 대표적인 사례이다. PokeMon GO는 출시 후 다음날 미국에서 가장 많은 iOS App Store 다운로드 수를 기록하였다. 이는 가상현실의 위력을 보여주는 사례이다. 가상현실은 자이로스코프, 가속도, 촉감 센서 등으로 구성되며 사용자가 게임을 깊이 몰입할 수 있게 한다. 새로운 기술이 등장함에 따라 새롭고 다양한 위협요소가 생긴다. 그래서 우리는 가상현실 기술과 게임 시스템에 대한 보안 연구가 필요하다. 본 논문에서 가상현실 기기(Oculus Rift)와 게임 시스템(Quake)의 정보보증을 위해 위협 분석을 진행한다. STRIDE, attack library, attack tree 순서로 체계적으로 분석한다. DREAD를 통해 보안 대책을 제안한다. 또한 VCG(Visual Code Grepper) 도구를 사용하여 소스 코드의 논리 오류 및 취약한 함수를 파악하고 해결 방법을 제안한다.
Virtual Reality (VR) is becoming a new standard in the game industry. PokeMon GO is a representative example of VR technology. The day after the launch of PokeMon Go in the U.S, It has achieved the highest number of iOS App Store downloads. This is an example of the power of VR. VR comprises gyrosco...
Virtual Reality (VR) is becoming a new standard in the game industry. PokeMon GO is a representative example of VR technology. The day after the launch of PokeMon Go in the U.S, It has achieved the highest number of iOS App Store downloads. This is an example of the power of VR. VR comprises gyroscopes, acceleration, tactile sensors, and so on. This allow users could be immersed in the game. As new technologies emerge, new and different threats are created. So we need to research the security of VR technology and game system. In this paper, we conduct a threat analysis for information assurance of VR device (Oculus Rift) and game system (Quake). We systematically analyze the threats (STRIDE, attack library, and attack tree). We propose security measures through DREAD. In addition, we use Visual Code Grepper (VCG) tool to find out logic errors and vulnerable functions in source code, and propose a method to solve them.
Virtual Reality (VR) is becoming a new standard in the game industry. PokeMon GO is a representative example of VR technology. The day after the launch of PokeMon Go in the U.S, It has achieved the highest number of iOS App Store downloads. This is an example of the power of VR. VR comprises gyroscopes, acceleration, tactile sensors, and so on. This allow users could be immersed in the game. As new technologies emerge, new and different threats are created. So we need to research the security of VR technology and game system. In this paper, we conduct a threat analysis for information assurance of VR device (Oculus Rift) and game system (Quake). We systematically analyze the threats (STRIDE, attack library, and attack tree). We propose security measures through DREAD. In addition, we use Visual Code Grepper (VCG) tool to find out logic errors and vulnerable functions in source code, and propose a method to solve them.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 위협 모델링(threat modeling)을 통하여 가상현실 핵심 기기중 하나인 HMD과 가상현실 콘텐츠간의 위협요소를 도출하고 위협분석을 수행한 후 이에 대한 보안 방안을 제안하고자 한다.
본 논문에서는 가상현실 기기와 게임 시스템의 정보보증을 위하여 보안 위협을 식별하고 보안 요구사항을 도출하기 위하여 위협 모델링을 수행하였다. 도출과정은 DFD, STRIDE, attack tree,DREAD로 진행하여 발생할 수 있는 위협요소를 도출하였다.
가상현실 기기에서 사용하는 센서 정보는 민감한 개인정보가 될 수 있고 조작 및 변조를 통하여 신체적, 정신적 위협을 줄 수 있기 때문에 기존 IoT 기기보다 더 높은 수준의 보안과 신뢰성 및 가용성 등이 요구되지만 현재 가상현실 보안에 대한 연구는 미흡한 편이며 알고 있는 한 게임 시스템에 대한 보안 연구는 없는 것으로 보인다. 본 연구를 통해 가상현실의 보안 위협 및 대응 방안을 제시하였다. 위와 같은 과정은 안전한 가상현실 기술 보안 및 시스템 보안 연구에 많은 도움이 될 것이라 기대한다.
이번 연구는 가상현실의 전체적인 위협에 대해서 분석하였고 향후 연구에서 센서 관련 취약점을 상세히 분석할 예정이다. 특히 최근 가상현실 기기에 적용되고 있는 뇌파 센서 보호에 대해 연구할 계획이다.
제안 방법
3장에서는 DFD(Data Flow Diagram)를 그리고 STRIDE를 중심으로 위협을 도출한다. DFD를 이용해서 완성도 있는 위협 분석을 하기 위해 attack library를 수집하고, 발생할 수 있는 모든 위협에 대해 체계적으로 attack tree를 구성한다. 4장에서는 위협 분석을 통해 도출한 보안 요구사항을 바탕으로 신뢰성을 확보하기 위해 정보 보호를 넘어 정보 보증을 만족할 수 있는 대응기술과 보안 방안을 제시한다.
우영운 외 5인은 가상현실을 이용해 3D FPS 게임을 개발하였다[3]. 전용 컨트롤러를 스마트폰과 블루투스 페어링을 통해 연결하고 구글 카드보드를 장착하여 게임 환경을 구축하였다. 가상현실을 통해 현실감과 몰입감을 향상시켰으나 사용자가 총의 조준점을 움직이면 멀미가 발생하는 문제점을 해결하지 못하였다.
Przemyslaw Kazimierz Krompiec와 Kyoung Ju Park는 현실감과 UX를 향상시키는 기존 방법을 설명하고 FPS 게임에서 유저의 상호작용을 이용하여 가상현실 기술을 향상시키는 새로운 방법을 제안하였다[7]. Unreal 4.12 게임 엔진을 사용하여 실제 가상현실 게임을 개발하였다. 모션 컨트롤러를 이용해 기존 방법과의 차별성을 설명한다.
Marnix Dekker 외 Giles Hogben은 앱 스토어의 위협 요소를 위협 모델링을 통하여 분석하였다[8]. 어플리케이션의 생태계의 구성요소와 흐름도를 분석하고, 분석한 내용을 바탕으로 DFD를 그린 후, attack model, STRIDE threat analysis, attack tree와 같은 방법으로 위협 모델링을 진행하였다.
DFD를 그려 발생할 수 있는 위협과 공격 경로를 파악한다. STRIDE를 통해 위협을 정의하고 종류별로 나눈다.
DFD를 그려 발생할 수 있는 위협과 공격 경로를 파악한다. STRIDE를 통해 위협을 정의하고 종류별로 나눈다. 공격과 관련된 자료 등을 수집하고 attack tree를 그려서 가상현실 기술이 적용된 시스템에 대한 공격 경로와 방법을 탐색한다.
STRIDE를 통해 위협을 정의하고 종류별로 나눈다. 공격과 관련된 자료 등을 수집하고 attack tree를 그려서 가상현실 기술이 적용된 시스템에 대한 공격 경로와 방법을 탐색한다.
본 논문에서는 DFD를 그리기 전에 context diagram을 그려 분석 범위 및 구성 요소를 식별하였다. context diagram은 분석 대상과 외부 요소들과의 관계를 추상적으로 식별 할 수 있기 때문에 분석대상의 요소를 한 눈에 파악할 수 있다는 장점이 있다.
헤드 트레킹(head tracking)은 머리의 움직임을 추적하여 화면을 보여주는 기능이고, 포지션 트레킹(position tracking)은 카메라를 통해 사용자의 신체 움직임을 추적하여 위치를 파악하는 기능이다. 헤드 트레킹과 포지션 트레킹을 DFD와 STRIDE를 이용하여 자세히 분석한다.
앞서 도출한 DFD에서 각 요소들을 분리하고, 각각의 요소에서 발생 할 수 있는 위협들을 도출한다. 본 논문에서는 Microsoft에서 개발한 위협 분석 방법인 STRIDE를 이용하여 위협요소를 식별한다.
은 수집한 attack library에 대한 표이다. 이 표를 이용하여 DFD의 각 요소에 대해 발생할 수 있는 위협을 식별하고 다양한 공격 방법을 도출한다.
R1, R4, R5, R6의 위협을 완화하거나 제거하기 위해 VCG 프로그램을 통해 정적 분석을 진행하였다[18]. VCG는 C/C++, Java 등 다양한 언어를 지원하며 심각성(severity), 함수명, 설명, 소스코드 라인 등을 확인할 수 있다.
본 논문에서는 가상현실 기기와 게임 시스템의 정보보증을 위하여 보안 위협을 식별하고 보안 요구사항을 도출하기 위하여 위협 모델링을 수행하였다. 도출과정은 DFD, STRIDE, attack tree,DREAD로 진행하여 발생할 수 있는 위협요소를 도출하였다.
도출한 보안 요구사항에 대해 공격 방법에 대해 체계적으로 분석하였으며 이를 보호할 수 있는 보안 대책과 대응 기술을 제안하였다. 정적 분석 도구인VCG 프로그램을 이용하여 취약한 함수 사용 및 논리적 오류를 찾고 이를 보호할 수 있는 방법을 기술하였다.
도출한 보안 요구사항에 대해 공격 방법에 대해 체계적으로 분석하였으며 이를 보호할 수 있는 보안 대책과 대응 기술을 제안하였다. 정적 분석 도구인VCG 프로그램을 이용하여 취약한 함수 사용 및 논리적 오류를 찾고 이를 보호할 수 있는 방법을 기술하였다.
대상 데이터
실제로 도출한 위협이 발생하는지 확인하고 제안한 보안 방안이 확인하기 위해 HMD 기기인 Oculus Rift DK2와 가상현실 게임 Quake를 대상으로 실험을 진행하였다.
은 VCG 프로그램에서 보안에 대해 정적분석을 수행하여 상위 10개의 안전하지 않은 소스 코드 파일을 추출한 표이다. 전체 소스코드 파일은 568개이다. 가장 취약한 코드가 많은 파일은 g_ctf.
이론/모형
앞서 도출한 DFD에서 각 요소들을 분리하고, 각각의 요소에서 발생 할 수 있는 위협들을 도출한다. 본 논문에서는 Microsoft에서 개발한 위협 분석 방법인 STRIDE를 이용하여 위협요소를 식별한다. STRIDE는 위장(Spoofing), 데이터 훼손(Tampering), 부인(Repudiation), 정보 노출(Information Disclosure), 서비스 거부(Denial of Service), 권한 상승(Elevation of privilege)공격방법의 약자로 가장 널리 알려진 위협 모델링 기법이다.
이때 각 노드의 자식노드를 연결하는 방법은 AND, OR를 사용하면 된다. STRIDE의 위협요소를 체계적으로 분석하기 위해 attack tree를 사용한다. Table 4.
성능/효과
가상현실은 실제와 유사하지만 인공적으로 만들어진 가상의 환경 혹은 이를 만드는 기술을 의미한다. 사용자의 오감을 사용하여 공간적, 시간적 체험을 하게 함으로써 가상현실 속에 구현된 물체와 상호작용이 가능하다. 가상현실 기술은 광범위한 분야에 응용이 가능하며 크게 게임, 교육, 의료, 영상, 방송/광고, 제조/산업 분야 등 여러 분야에 적용될 수 있다.
DFD의 프로세스, 데이터 저장소, 데이터 흐름, 신뢰 구간 요소에 대해 상세하게 분석할 수 있다. 세 번째로 LINDDUN은 개인정보에 최적화된 위협 분석 방법이며, PASTA는 응용 프로그램 개발에 대한 위협 분석 방법이기에 사용하기 적합하지 않다.
안전한 함수 사용을 통해 R1,R4, R5, R6의 위협요소를 완화하거나 제거하는 것이 가능하다. 또한 OculusSDK LibOVR 라이브러리의 OVR_Profile.h 파일을 보면 기기의 시리얼값과 ID가 사용되는 것을 확인할 수 있다. 위와 같은 중요한 정보를 SHA-1이나 MD5 해시를 통해 암호화함으로써 R2의 Sniffing(VR device)을 막을 수 있다.
c 파일에서 게임 멀티 플레이의 핵심 코드가 들어가는데, 이를 구현하기 위해서는 코드 복잡도가 높다보니 안전하지 못한 코드 설계가 이루어 진 것으로 보인다. 그리고 g_monster.c 파일은 코드는 비교적 간단하여 복잡도가 낮은 편이지만, 안전하지 않은 함수인 strcat()을 자주 사용하여 전체 코드 길이 대비 취약 코드 비율이 7.49%로 높게 측정되었다.
후속연구
위와 같은 과정은 안전한 가상현실 기술 보안 및 시스템 보안 연구에 많은 도움이 될 것이라 기대한다. 이번 연구는 가상현실의 전체적인 위협에 대해서 분석하였고 향후 연구에서 센서 관련 취약점을 상세히 분석할 예정이다. 특히 최근 가상현실 기기에 적용되고 있는 뇌파 센서 보호에 대해 연구할 계획이다.
질의응답
핵심어
질문
논문에서 추출한 답변
가상현실은 무엇인가?
가상현실은 실제와 유사하지만 인공적으로 만들어진 가상의 환경 혹은 이를 만드는 기술을 의미한다. 사용자의 오감을 사용하여 공간적, 시간적 체험을 하게 함으로써 가상현실 속에 구현된 물체와 상호작용이 가능하다.
VR 기술을 적용한 대표적인 게임은 무엇인가?
가상현실(Virtual Reality, VR)은 게임 업계의 새로운 표준이 되고 있다. PokeMon GO는 가상현실 기술을 적용한 대표적인 사례이다. PokeMon GO는 출시 후 다음날 미국에서 가장 많은 iOS App Store 다운로드 수를 기록하였다.
가상현실 기술은 어떤 분야에 적용할 수 있는가?
사용자의 오감을 사용하여 공간적, 시간적 체험을 하게 함으로써 가상현실 속에 구현된 물체와 상호작용이 가능하다. 가상현실 기술은 광범위한 분야에 응용이 가능하며 크게 게임, 교육, 의료, 영상, 방송/광고, 제조/산업 분야 등 여러 분야에 적용될 수 있다. 현재 가장 활발히 연구되는 가상현실 분야는 게임이다.
참고문헌 (18)
Yunmok Son, Hocheol Shin, Dongkwan Kim, Youngseok Park, Junwan Noh, Kibum Choi, Jungwoo Choi, and Yongdae Kim, "Rocking Drones with Intentional Sound Noise on Gyroscopic Sensors," Usenix Security Symposium, pp. 881-896, Aug. 2015
KBENCH, "Oculus lift collects personal information, irrespective of Facebook," http://www.kbench.com/?qnode/161711 , Apr. 2016
Young Woon Woo, Soon Ho Baek, Young Ho Cha, Geun Ho Kim, Jong Hoon Heo, and Da-In Kim, "A 3D FPS Game based on Virtual Reality," The Korean Society Of Computer And Information, 24(2), pp. 205-206, Jul. 2016
Suk Tae Kim, "Game engine based vir- tual reality characteristics and the development of content implementation technology," Korea Multimedia Society, 20(4), Dec. 2016
Parth Rajesh Desai, Pooja Nikhil Desai, Komal Deepak Ajmera, and Khushbu Mehta, "A Review Paper on Oculus Rift-A Virtual Reality Headset," International Journal of Engineering Trends and Technology, vol. 13, no. 4, Jul. 2014.
Kumar Mridul and Ramanathan Muthuganapathy, "Design and Development of a Portable Virtual Reality," Proceedings of the Virtual Reality International Conference, no. 15, Mar. 2016.
Przemyslaw Kazimierz Krompiec and Kyoung Ju Park, "Enhanced player in- teraction using motion controllers for VR FPS," 2017 IEEE ICCE, pp. 19-20, Mar. 2017.
Marnix Dekker and Giles Hogben, "ENISA Appstore security: 5 lines of defence against malware," ENISA, Sep. 2011.
Kim Wuyts, Riccardo Scandariato, and Wouter Joosen, "Empirical evaluation of a privacy-focused threat modeling," The Journal of Systems and Software, pp. 122-138, Jun. 2014.
Tony Ucedavelez and Marco M. Morana, "Intro to Pasta," Wiley, May. 2015.
Ji Young Woo and Huy Kang Kim, "Survey and Research Direction on Online Game Security," Proceedings of the Workshop at SIGGRAPH Asia, pp. 19-25, Nov. 2012.
Tae Un Kang, "VR-Threat-Modeling," https://github.com/comma1/VR-Threat-Modeling
OWASP, "OWASP Game Security Framework Project," OWASP, Mar. 2017.
CAPEC, "CAPEC List Version 2.9," CAPEC, Aug. 2017.
Akash B. Mahagaonkar and Amar Buchade, "Survey of DoS attack quelling technics," International Journal of Computer Science and Information Technology & Security, vol. 6, no.2, Mar. 2016.
Teresa Nicole Brooks, "Survey of Automated Vulnerability Detection and Exploit Generation Techniques in Cyber Reasoning Systems," arXiv preprint, Oct. 2017.
nccgroup, "Visual Code Grepper," https://github.com/nccgroup/VCG, Mar. 2016.
이 논문을 인용한 문헌
저자의 다른 논문 :
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.