[특집] CAN의 자동차 보안

OS 업계 변화의 중심 ③
  • 2017년 06월호
  • 빌 볼트(Bill Boldt), 사업개발 매니저, 블랙베리



자동차 보안 시장에 안전 문제가 대두되면서 업계는 보안이 실직적으로 거의 전무한 상태에서 즉각적으로 강력한 보안을 구현하는 쪽으로 옮겨 가는 변곡점에 있다.

번역 | 김지은 〈snsn6175@naver.com〉
감수 | 박한돌 〈pskcom2@naver.com〉

운전자가 사람이 아닌 경우, 운전석에 보안을 설정하도록 하는 많은 강력한 시장 동인(Drivers)과 급변하는 움직임이 있다. 특히 자동차와 같은 임베디드 시스템들이 연결되면, 가장 먼저 생각하게 되는 것이 얼마나 안전한가이다. 최근까지도 커넥티드 자동차의 경우 안전은 기껏해야 최종적인 고려 대상이었다. 다행히 상황이 바뀌고 있으며, 보안은 자동차가 커넥티드 자율주행 자동차로 진화함에 따라 소프트웨어로 정의되고 있어 중요하다. 

마크 안드레센(Marc Andreessen)은 “소프트웨어가 세계를 삼키고 있다”라는 유명한 말을 했다. 만약 그의 말이 사실이라면, 다음은 자동차 차례가 될 것이다. 소프트웨어는 이미 자동차 제조업체의 경쟁 기반이 되고 있다. 통계에 따르면, 소프트웨어가 자동차 제조업체의 수익성을 좌우하는 주요 동인이 될 것이라고 한다.

자동차 소프트웨어는 자율주행, 연결성 및 기타 대책들과 정교한 와이어로 날아다니는 제트 전투기보다 많은 코드 라인들로 인해 매우 복잡해지고 있다. 연결성과 코드의 크기가 커지면서 자동차는 해킹에 취약해지고 안전문제가 제기되고 있다. 사실 업계는 지난 몇 년 동안 세간의 이목을 끌만한 경고를 몇 번 받았다. 자동차의 버스 및 ECU(가장 유명한 것은 밀러(Miller)와 발라첵(Valacek)이었음)의 해킹은 강력하게 암호화된 보안이 시급하다는 것을 명백하게 보여줬다.

이는 점차 소프트웨어 기반의 연결된 자동차가 됨에 따라 (스마트 고속도로 인프라) 강력한 암호화 보안 없이는 안전도 없다는 간단한 계산법 때문이다. 보안은 자동차 디자인부터 특정 프로세서에 이르기까지 새로운 논제가 될 것이다. DNA가 생명체의 본질인 것처럼 보안 또한 자동차 시스템과 하위 시스템의 본질이 되어야 한다.



불안전성은 법적 책임을 의미

자동차 보안 시장은 현재 자동차 제어 시스템(CAN 버스를 통해 작동하는 ECU와 같은 것)이 불안전하기 때문에 자동차 제조업체가 엄청난 잠재적인 법적 책임을 지게 될 것이라는 사실에 직면해 있다. 이러한 책임은 공격자들보다 더 진보된 기술로만 해결될 수 있다. 세간의 이목을 끌만한 해킹들, 자동차 제조업체들의 충분한 자금력, 그리고 ‘복권 당첨’과 같은 소송의 특성 때문에 안전한 운송 수단을 위한 경쟁이 시작됐지만, 자동차 제조업체들은 아직 뒤를 따라가는 입장에 불과하다.

하지만 머지않아 석면 중독 광고가 불안전한 자동차 시스템으로 인한 상해 광고로 대체될 것이다. 사람이 운전을 하는 자동차에서는 사람에게 책임이 있겠지만, 소프트웨어 시스템에 의해 구동되는 자동차는 자동차 제조업체가 책임을 질 가능성이 높다. 이미 자동차 안전 및 보안 위험은 워싱턴 DC의 국회의원들의 관심을 끌었으며, 자동차 산업 법규화의 역사가 약간의 실마리가 된다면, 앞으로 더 많은 것들이 추진될 것이다.

공공 안전이 자동차 해킹과 관련이 있기 때문에 특정 암호화 보안은 법에 의해 강제될 것이다. 세부 사항이 무엇이 될 지는 아직 명확하지 않다. 오늘날 자동차 보안에 대한 법적 관심의 가장 두드러진 예는 마키 자동차 보안 리포트(Markey Car Security Report)다. 워싱턴이 법률을 제정하려는 움직임을 보이면서 자동차 업계는 보안을 설계, 분석, 테스트, 대응 및 표준화하는 것이 시급해졌다. 그러나 기술적 해결법이 표준화되거나 입법화되기 전에 중요한 것은 자동차 보안을 이해하는 것이다.

모바일 컴퓨트 플랫폼 

커넥티드 자율주행 자동차는 융합된 센서와 액추에이터로 통합된 정교한 네트워크 컴퓨팅 플랫폼으로 변형될 것이다. 그리고 점차적으로 인공지능에 의해 통제될 것이다. 현재 이것은 명확해지고 있다.

자동차는 이미 진화하고 있는 신호 버스가 조화롭게 유기적인 방식으로 작동하도록 신호를 주고받는 광범위한 전자 제어 장치로서 (ECU라고 불림) 하이브리드 기계-전기 제어 시스템이다. ECU는 점점 더 정교하고 복잡한 소프트웨어에 의해 제어된다. 그러나 연결되고 네트워크화된 자동차가 안전하려면, 소프트웨어와 하드웨어가 매우 견고해야 한다.

즉, 여러 층의 강력한 암호화 보안 메커니즘이 내장되어 있어야 한다. 암호 보안이란 은행 시스템, 스마트 카드, 모바일 인프라, 보안 웹사이트 등을 보호하기 위해 사용되는 수학적 알고리즘, 수단, 프로토콜, 암호 키 및 인증서들이 자동차 및 제조 시스템에 맞게 설계되어야 한다는 것을 의미한다. 이 방법론은 감지기, 액추에이터, ECU, 통신 버스, ECU 액세스 포인트와 외부 세계로의 게이트웨이 등을 보호하는 데에 사용될 것이다. 

오늘날 신호 버스와 ECU는 안전하지 않으며 해커가 악의적 메시지를 삽입해 자동차를 잠재적으로 불안전하게 만들 수 있다. 보안이 없다면 커넥티드 자율주행 자동차의 개념이 안전하게 인식될 수 없다고 볼 수 있다. 즉, 안전하지 않다는 것은 커넥티드 자율주행 자동차 산업의 미래가 없다는 것을 의미한다.

자율주행 자동차가 차세대 제품이라고 한다면, ECU, 게이트웨이, 도메인/영역 컨트롤러, 그들의 제조 시스템들을 위한 견고한 자동차 보안 설계가 바로 그 차세대 제품을 가능하게 만드는 것이 될 것이다. 그러므로 강력한 암호화 보안이 미래 자동차 산업의 필수 조건이라는 말은 과장이 아니다.

ECU와 버스 연결의 보안이 유지되어야 하기 때문에 ECU는 자동차 보안 문제의 핵심이다. 전송된 신호나메시지가 인증된 발신자에게서 왔는지 혹은 손상된 것인지는 확인할 방법이 없다(예를 들면 데이터가 파괴된 경우). 그것은 빠르게 변화해야 하며, 모든 자동차 제조업체, ECU 생산 업체, 자동차 반도체 공급 업체들은 이 사실을 알고 이에 대해 해결 방안을 강구하고 있다. 그러나 정확한 기준이 없으며, 이러한 접근들은 종종 실패하는 경향이 있다.

ECU는 파워 트레인(차 안의 좌석, 거울 창문, 멀티미디어 시스템, 브레이크 시스템, 에어백과 같은 안전 시스템, 운전 보조 메커니즘, 감지기와 작동기 플랫폼 등)과 같은 광범위한 시스템을 운영하는 작은 컴퓨터다. ECU는 원격 시스템을 제어하기 때문에 그러한 제품들과 연결돼야 하고, 이러한 일들은 CAN(Control Area Network), LIN, Flex Ray, MOST 등과 같은 다양한 유형의 버스들을 통해 이뤄진다. 결국 자동차로 더 많은 정보들이 수집되고 가공됨에 따라, 이더넷과 같은 PC에서 사용되는 높은 대역폭의 네트워크들이 널리 채택될 것이다. 이러한 변화는 이미 시작됐다. 

보안과 관련해 자동차 네트워크의 계산 노드가 증가함에 따라, 이러한 노드가 공격 받을 수 있는 방법들은 기하급수적으로 증가하게 된다(일부 전문가들은 노드 수의 4제곱배 정도가 될 것이라고 말한다).

안전한 ECU와 다른 프로세서들을 위한 자동차 암호화 기준 및 설계는 아직 표준화되지 않았다. OEM, Tier 1, Tier 2 반도체 공급업체들은 자동차와 공장의 보안 및 업데이트에 대한 공통 기준에 동의하지는 않았지만, 현재 전체적인 새로운 해결 방안을 함께 강구하고 있다.

유럽연합(EU)의 EVITA, SHE(Secure Hardware Extension) 소프트웨어의 Hersteller Institute와 같은 과거의 표준화 활동들은 자동차 생태계에서 주요 당사자들의 거의 10년간의 노력에도 불구하고 여전히 초기 단계에 있다. 자동차 보안에 관한한 찰흙이 여전히 굳지 않고 젖어있다는 것을 의미한다. 그리고 신생기업, 운영 중인 컴퓨터 보안 회사, 네트워킹 회사, 경영 컨설턴트, IP 제공 업체, 이동통신 회사, OEM, Tier 1, Tier 2 등 많은 업체들이 제안을 하고 있다. 

디지털 보안의 쥐와 고양이 같은 특성과 커넥티드 자율주행 자동차 기술의 가속화를 감안할 때, 설계 문제의 표준화와 정의 작업을 어렵게 만드는 암호화 진화의 흐름은 꾸준히 진행될 것으로 예상된다. 알지 못하는 사람에게도 적용될 수 있도록 하는 능력은 모든 보안 솔루션에 내장되어 있어야 한다.

자동차 보안의 원리 

불확실성과 변화하는 시장의 움직임에도 불구하고, 일부 자동차 보안 원칙은 명확해지기 시작했다.

· 자동차 보안은 반도체 프로세서로부터 시작한다. 이러한 프로세서는 보안 장비와 프로세서로 주입되는 각각의 키를 이용해 개인화해야 한다. 미국의 보안회사인 써티콤(Certicom)의 자산 관리 시스템은 이 작업을 수행하는데 사용된 장비의 예다.
· 다음 단계는 OS가 안전한지 확인하는 것이다. 한 예로, 블랙베리 QNX SDP 7.0 OS의 마이크로커널 기반 아키텍처는 중요한 OS 구성 요소를 자체 보호 메모리 파티션으로 분리하고, 스레드를 일시적으로 분리해 제공하고 암호화된 파일 시스템을 사용하고 다중 정책 기반의 보안 기능을 제공하며, 공격 대상을 줄이기 위해 네트워크 보안을 제공한다.
· 다양한 단계의 안전성을 관리해야 한다. 한 예로, 가상화 기능 모듈들과는 독립된 BlackBerry QNX true Type 1 하이퍼바이저는 비필수안전(Non-Saftey-Critical) 기능으로부터 필수 안전 기능(Safety-Critical)을 분리할 수 있는 보안과 안전을 다루는 별도의 레이어를 제공한다.
· ECU와 모듈에는 인증서가 설치될 것이다. 이 인증서는 다른 모듈이나 자동차 및 인프라(V2X와 같은)를 인증하는데 사용할 수 있다. 이러한 인증서는 써티콤에서 제공하는 것과 같은 보안 관리 PKI 시스템을 사용해 발급하고 관리해야 한다.
· 소프트웨어는 블랙베리(BlackBerry) IoT와 같은 에어 소프트웨어 업데이트 시스템(Air Software Update system) 보안을 통해 딜러 및 수리점에서 쉽게 업데이트할 수 있어야 한다.
· 애프터마켓 공급 업체는 보안 장치에서 소프트웨어를 판매하고 업데이트할 수 있어야 한다.
· ECU와의 통신은 인증되어야 하며 혼란을 야기할 수 있는 불량메시지를 피하기 위해 메시지에 서명을 해야 한다.
· 다른 접근 경로를 통해 자동차의 민감한 전자 장치에 접근하려면 인증되지 않은 접근으로부터 보호해야 한다.
· OEM은 특정 전자 장치를 제조 시간과 자동차를 사용한 이후의 시간에 인증하거나 인증하지 않도록 해야 한다(예: 보증 기간 정책 시행 시).
· 보안을 위해 소프트웨어를 스캔하고 유효성을 확인해야 한다. 이를 위해서는 블랙베리에서 제공하는 특별한 도구가 필요하다.

보안은 다각적이고 다양한 층으로 구성됐기 때문에 잘 짜여야 하는 많은 예방 조치와 기술들이 있다.



보안은 공급망에서 시작

앞서 언급했던 것과 같이 키와 인증서 같은 보안 메커니즘은 공장과 현장의 ECU에 투입되어야 한다. 이를 위해 안전 제조 시스템은 전 세계적으로 확장되어야 하고 분산적으로 관리할 수 있어야 하며, 여러 기관에서 업데이트 할 수 있어야 하고 수년간 보안을 유지해야 한다. 최대한의 유연성을 유지하기 위해서는 개인화와 업데이트를 생산점에 가장 가깝도록 만들어야 한다. 그리고 이는 세계 제조산업 청사진의 중요한 목표다.



다양한 수준의 보안 

자동차의 경우 다양한 수준에서 보안이 이뤄져야 한다. 여러 단계의 사이버 보안은 선택 사항이 아닌 정부에 의해 상업적으로 필수적인 사항이 될 것이다.


 〈출처: NXP 반도체〉

다양한 수준의 자동차 보안은 다음과 같은 사항들의 조합이 될 것이다(NXP, 아르고스(Argus), 롤랑 베르제(Roland Berger), IHS, 스트래티지 애널리틱스(Strategy Analytics), ST마이크로일렉트로닉스(ST Microelectronics), 인피니언(Infineon), 보쉬(Bosch), 일렉트로비트(Electrobit), 마이크로칩(Microchip), 르네사스(Renesas), 하만(Harman), 딜로이트(Deloitte), PwC, 맥킨지(McKinsey & Co), 인텔(Intel), 아이오액티브(IO Active), 자동차 OEM, BlackBerry QNX, 써티콤(Certicom) 등). 

· 방화벽을 통해 외부 인터페이스에서 자동차용 전자장치 분리
· 엄격한 접근 통제를 적용해 이미 알고 있거나 신뢰할 수 있는 부분만 자동차 내 시스템에 접근하도록 허용
· 안전성이 중요한 시스템을 다른 시스템들과 보다 잘 분리할 수 있도록 도메인에 비슷한 중요성을 가진 자동차 내 네트워크를 클러스터링함
· 암호화 인증, 데이터 무결성, 최신 암호화 적용을 통해 자동차 내 네트워크 보호
· 침임 탐지/방지 시스템(IPS/IDS)를 사용해 공격 탐지 및 대응
· 보안 부팅, 보안 업데이트 등을 통해 ECU 작동 보호
· 보안 프로세서를 포함하도록 ECU를 업그레이드
· 네트워크 보호를 위한 게이트웨이, 송수신기 및 스위치
· 하드웨어 기반 키 저장소를 사용해 암호화 키 보호(예: 보안 암호화 요소 및 하드웨어 보안 모듈 HSM)
· 고속 보안 암호화 요소를 사용해 V2X 신호 인증
· 신뢰 기반 하드웨어와 활성 인증서 관리를 사용해 PKI 기반 보안으로 이동

따라 잡기 놀이 

유명했던 해킹과 결합된 CAN 버스의 불안전성 때문에 자동차 제조업체들은 따라 잡기 놀이를 하는 위치에 놓이게 됐다. 자동차가 연결되고 코드 기반이 커짐에 따라 취약성도 커지고 있다. 이로 인해 소위 확장된 공격 영역이 만들어졌다. 간단히 말해서 자동차가 점점 다양한 방식으로 해킹될 수 있다는 것을 의미한다.

 

공격에 대한 노출은 현재 잘 알려져 있으므로 업계는 버스를 통해 CAN과 ECU를 연결하는 기존의 낮은 대역폭 버스를 보호하기 위해 암호적으로 보호할 수 있는 방법을 신속히 찾아야 한다. 이더넷과 같은 높은 대역폭의 버스는 더 빠르고 많은 양의 정보에 대한 필요성을 해결할 수 있는 새로운 자동차 플랫폼이 된다. 

이러한 시스템은 보다 강력한 보안 메커니즘을 갖지만, 강력한 보안을 위해 기존 CAN 버스를 개량하지 않아도 될 만큼 적절한 시간 내에 만들어지지는 않을 것이다. 이것이 핵심 쟁점이며 리소스, 비용, 구현, 관리 (특히 보안 키)와 관련해 거의 압도적인 문제를 제시한다.

현재 우리는 어디 있을까? 

앞서 언급했듯이 자동차 보안 산업은 초기 단계에 있다. 자동차와 스마트 인프라에 적용될 보안 유형과 관련해 아직 확실한 기술적 승자는 없다. 공유 RSA 키, RSA 기반 PKI, ECC 기반 PKI와 혼합 시스템들은 모두 OEM, Tier 1, Tier 2와 함께 다양한 탐색 및 구현의 상태에 있다. 자동차 신뢰 플랫폼 모듈(TPMs), HSMs과 다른 방법들을 포함해 다양한 종류의 키 저장 및 업데이트가 사용되고 고려되고 있다.

보안 기술의 진화는 기준이 존재하지 않거나 잠시 동안 이뤄지지 않을 수도 있기 때문에 순수하게 실용적인 기반에서 진행되고 있다. 업계는 기어가기, 걷기, 뛰기의 방법을 취하고 있다. 아마도 공유된 대칭 키를 사용함으로써 신속하게 구현 가능한 보안 솔루션의 일부 유형이 떠오르는 첫 번째 단계일 것이다(기어가기).

공식 키 인프라를 사용하는 접근 방식이 그 뒤를 따를 것이다(걷기). 그 다음에는 이더넷과 보다 정교한 도메인/영역 제어기와 PKI 기반 솔루션이 장착된 게이트웨이와 같은 높은 대역폭의 버스를 사용하는 보안 접근이 실행될 수 있다(달리기). PKI는 장기적인 솔루션의 일부가 될 가능성이 높다. PKI는 정밀한 해상도에서 (각각의 ECU의 키) 더욱 안전하고 관리하기 쉽기 때문이다.

보안은 제어 버스와 ECU에서 뿐만 아니라 자동차 대 자동차, 자동차 대 인프라, 제조와 업데이트 시스템에서도 필요하다. 다양한 필요성으로 인해 V2X와 내부 자동차 보안을 위해 다양한 계획이 구상되고 있는데, V2X의 경우 이미 PKI를 채택하고 있다.

최종 의견 

오늘날 자동차 산업에서 주목할 만한 가치가 있는 중요한 움직임은 보안을 포함한 소프트웨어 개발을 누가 통제할 것인가에 대한 변화다. OEM은 보안과 안전이 서로 연결되어 있고 모든 레이어들이 디자인 기반으로 구축되어야 하므로 자동차 소프트웨어 개발을 제어해야 한다고 인식하고 있다.

많은 사람들은 연결되고 자율적이며 소프트웨어를 기반으로한 자동차의 움직임을 실리콘밸리의 디트로이트 침투라고 말한다(미국적인 표현). ‘디트로이트’는 OS에서 인공 지능, 암호화, 항공 소프트웨어 업데이트에 이르기까지 소프트웨어의 고용, 인수, 파트너 관계에 능숙하게 대응하고 있다.

자동차 제조업체가 소프트웨어 개발에 더 많은 책임을 지고 있는 것과 같이, 반도체 제조업체는 시스템 정의에 대한 책임을 지고 있다. 그들은 시대를 앞서가기 위해 더 많은 위험을 감수하고 있다. 그리고 그들은 반도체와 반도체에서 작동하는 소프트웨어를 제공한다. 이 모든 것을 독자적으로 해결할 수 없으므로 그들은 자동차 보안 및 안전 분야에서 숙련된 소프트웨어 회사와 파트너십을 맺고 있다.

긴 반도체 설계 주기(특히 멀티코어 프로세스 기반의 제품)와 긴 자동차 디자인 주기로 인해 반도체 회사들은 그 어느 때보다도 표준화 및 필요조건들이 규정되기 이전에 시장의 수요를 예견해야 한다. 복잡한 GPU가 있는 멀티코어 프로세서는 설계비용이 비싸다. 위험 수위의 증가에도 불구하고, 반도체회사들의 공략이 이루어지고 있으며 그에 따른 수입은 가장 혁신적이고 대담한 회사가 가져갈 것으로 예상된다.

책임과 규제의 위협에 의한 시간적 압박 아래에서 보안을 제공해야하기 때문에, 자동차 프로세서를 제조하는 반도체 회사는 채택되지 않거나 표준화되지 않을 수 있다는 부담과 함께 개선된 보안 솔루션을 제안할 수밖에 없다.

반도체 회사의 기술과 시장 리더십에 대한 증거로는 HSMs, 보안 프로세스, 자동차 TPM(Trusted Platform Module)과 같은 다양한 자동차 하드웨어 보안장치가 있다. 이 장치들의 공통점은 실리콘 제조회사들이 암호화 보안의 핵심이 비밀 키를 비밀로 유지하는 것이라는 사실을 알아냈다는 점이다. 따라서 이러한 제품들이 보안 하드웨어에 비밀 키를 저장하는 경우가 증가하고 있다. 보안 키 보관소라고 생각하면 이해하기 쉽다.

물론 반도체 방정식의 또 다른 면은 소프트웨어다. 자동차가 안전해지기 위해서는 반도체와 소프트웨어가 긴밀하고 안전하게 조화를 이뤄야 한다. 소프트웨어는 보안 하드웨어를 필요로 한다. 이 하드웨어는 보안 장비에서 만들어지고 업데이트되어야 한다. 이러한 사실을 알 때, 소프트웨어가 정의된 자동차의 미래를 해독하는 것은 이미 가능하다. 실리콘, 소프트웨어, 안전, 보안은 계속 이뤄져야 한다.  

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)
 PDF 원문보기

  • 100자평 쓰기
  • 로그인

태그 검색
본문 검색
TOP