미국 미시간대학교, 플로리다대학교, 일본 전기통신대학교(電氣通信大學)가 참여하는 연구팀이 발표한 논문 “You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks”는 자율주행차 주변을 감지하는 센서에 레이저 빛을 물리적으로 쏘아서 선택적으로 장애물을 보이지 않게 만드는 공격을 제안한 연구 보고다.

가짜 정보를 주입하는 스푸핑(Spoofing) 공격으로 자율주행차의 물체감지 모델에 영향을 주어 안전을 위협한다.

▲ 이와 같은 공격으로 인해 자율주행차 앞 횡단보도를 건너는 보행자가 제거되고 있는 모습

자율주행차의 지각(知覺)시스템은 LiDAR와 카메라, 레이더 등의 센서를 활용해서 장애물 회피와 내비게이션 제어를 수행한다. 특히 LiDAR는 차량 주변의 심도계측을 3D 점군으로 고정밀도로 수집하고 장애물을 감지하기 위해 사용된다.

기존에도 LiDAR의 취약성을 실증한 연구는 보고된 바 있지만, 실제 장면에 가짜 물체를 추가하는 것만 가능했다. 그와 달리 LiDAR의 점군데이터를 부분적으로 제거하여 주행에 영향을 미칠 수 있는지에 대한 검증은 미해결 상태였다.

그래서 이번 연구에서는 회전식 LiDAR가 수집하는 점군 정보를 선택적으로 제거하는 공격 “Physical Removal Attacks(PRA)”를 제안한다.

공격방법은 LiDAR 센서 근방에 특정 타이밍에 보이지 않는 레이저 펄스를 물리적으로 원격 조사(照射)하는 것이다. 이동 중인 차량에 대해서는 LiDAR를 카메라로 포착해서 물체 감지 모델로 추적해서 조준한다.

원래 LiDAR란 보이지 않는 빛을 주위 장애물에 쏘아서 반사되어 온 반사광의 시간을 계측함으로써 장애물까지의 거리를 도출하며, 박쥐나 돌고래 등이 갖고 있는 능력 에코로케이션(Echolocation, 반향정위)과 유사하다.

이번 공격은 가짜 반사광을 만들어 내서 LiDAR가 스캔하는 회전에 맞추어 특정 타이밍에 반사광을 조사해서 3D 계측을 속이는 것이다.

해당 가짜 반사광은 실제 존재하는 대상물에서 되돌아오는 반사광을 밀어내지만 이 후 신호처리를 통해 제거된다. 해당 공격으로 인해 LiDAR를 중심으로 한 지정한 원형 영역 상의 점군만을 제거할 수 있다. 해당 영역 상에 보행자가 있으며 보행자가 없다고 인식하게 되는 것이다.

평가실험에서는 자율주행 연구에서 일반적으로 이용되는 세 가지 장애물 감지 시스템(Apollo, Autoware, PointPillars)과 세 가지 센서 퓨전 모델(Frustum-ConvNet, AVOD, Integrated-Semantic Level Fusion)에 대해 공격이 통용되는지를 검증했다.

그 결과 모든 시스템과 센서 퓨전 모델에 대해 효과가 유효한 것으로 나타났으며 원형 영역의 방위각 45도까지 제거할 수 있다는 사실을 확인했다. 나아가 시속 5km로 주행하는 차량에 대해 공격을 실시한 실험에서는 점군 중 90%를 제거하고, 92.7%의 성공률로 물체 감지를 방해했다.

공격자는 이 효과를 이용해서 차량 전방의 물체, 다른 차량, 혹은 보행자를 지워서 충돌을 유발하거나 긴급회피를 위한 급격한 스티어링 휠 조작, 인접 차선으로 튀어나가는 것 등을 유발할 수 있다.