사이버 공격에 노출된 자동차의 보안 대책 방법
자율주행 로봇이 점점 증가하고 있는 현 상황에서 과연 우리는 자동차를 믿을 수 있을까? 대답은 “그렇다”이다. 단, 보안을 전반적 자동차 설계의 핵심으로 고러하고 업데이트와 업그레이드를 통해 미래에 대비한 보안을 구현해야 한다.
자동차 보안이라고 하면 대개 자동차 도난 방지를 먼저 떠올리게 된다. 그러나 자율주행이 등장하면서 빠르게 늘어나는 연결 옵션들과 갈수록 복잡해지는 구조적 특성으로 인해 자동차는 신종 사이버 공격에 취약성을 고스란히 드러내고 있다. 이렇게 하루가 다르게 변화하는 환경에 노출된 자동차는 그 어느 때보다도 보호의 필요성이 절실해지고 있다.
자동차의 취약성은 어디서 기인하는가?
우리는 항상 클라우드를 통해 제공받는 서비스와 데이터를 통해 연결 상태를 유지한다. 이러한 편리성을 도로 주행 중에도 똑같이 누리기 위해서는 자동차에 더 많은 연결이 필요하게 되는데, 이로 인해 공격 표면(attack surface: 취약성을 악용한 해킹 및 공격이 가능한 잠재적 경로를 나타내는 공격 백터의 총합)도 함께 증가하게 된다. 모든 연결성 옵션들이 공격의 잠재적 통로 역할을 하게 되는 것이다.
또한, 우리가 안전, 쾌적성, 편의성을 원하면 원할수록 자동차 솔루션은 더욱 복잡해지기 마련이다. 최신 차량의 기능들은 대부분 전자 시스템으로 제어가 된다. 최신 고성능 차량일수록 200가지 이상의 ECU(전자제어장치)와 200M 이상의 코드 라인들로 구성되는 만큼, 일상 생활에서 사용되는 가장 복잡한 시스템들 중 하나라고 할 수 있다.
완전 자동화된 차량의 상용화는 아직 먼 미래의 일처럼 보이지만, 자동차 해킹 위협은 생각보다 더 가까이 다가와 있다. 유명한 체로키 지프 해킹 사건(연구원들이 지하실에서 차량을 원격으로 조종한 사건)만 해도 불과 3년 전인 2015년에 일어났었고 그 후에도 여러 건의 해킹 사건들이 보도되었다.
개인 안전 이상으로 중요한 보안
보안 문제는 유독 자율주행차에서 문제시되는 경향이 있지만, 실질적으로는 어떤 차량이든 피할 수 없는 중요한 문제다. 누구나 자신의 차량을 해킹으로부터 보호하기를 원할 뿐만 아니라(특히 주행 중일 때), 랜섬웨어 설치 등을 통해 돈을 갈취하려는 범죄자들로부터 차량을 안전하게 지키기를 원한다.
점점 더 민감한 정보들이 차량 자체나 차량이 연결된 클라우드에 저장되면서 프라이버시가 한층 중요해지고 있다. 온라인 서비스, 상호간 통신, 신용카드의 사용이 늘어나고, 개인의 위치정보, 운전 습관, 기타 보호가 필요한 민감한 정보들이 차량을 통해 접근 가능해지고 있다. EU의 GDPR(개인정보 보호법), 캘리포니아의 CCPA (캘리포니아 소비자 프라이버시 보호법) 또는 SPY Car Act (자동차 보안 및 프라이버시 법안) 등 프라이버시 보호를 위한 정부 차원의 조치들도 이미 진행 중이지만, 무엇보다도 차량 자체의 스마트한 보안 조치가 우선되어야 할 것이다.
자동차는 단순히 네바퀴 달린 스마트폰이 아니다. 잘못 테러리스트의 손아귀에 들어가 악용된다면 위험한 무기로 돌변할 수도 있기 때문이다. 교통은 중요한 핵심 인프라를 구성하는 요소인 만큼, 국가적 보안 전략을 동원하여 반드시 보호해야 할 중요 자산이다.
보안은 공격자와 방어자 간의 경쟁이다!
어떤 식의 보안이든 충분한 시간과 돈, 장비만 갖추어진다면 공격이 가능하기 때문에 완벽한 보안이란 있을 수 없다. 실제로, 접근이 불가능하다고 공격자가 판단할 정도로 강력한 보호 조치가 필요하다.
해커들은 비용(소용 비용과 시간, 필수 노하우 및 장비, 발각될 위험 등) 대비 수익성(탈취 물품이나 데이터 등)을 판단하여 유리할 때만 공격을 감행한다. 원격으로 해킹을 한다거나 동시에 여러 대의 차량을 손쉽게 해킹이 가능하다면 구미가 더 당길 수밖에 없을 것이다.
공격 방법도 갈수록 진화하고 비용도 줄어들면서 범죄자들이나 테러리스트들에게는 해킹이 비용 면이나 잠재적 수익성 측면에서도 유리한 수단으로 주목을 끌고 있다. 자동차 보안도 마찬가지로 지속적인 개선이 필요하다. 다시 말해, 자동차 제조업체들이 부품 공급업체들과 협력하여 단순히 자동차 차원을 초월하여 업데이트와 업그레이드를 통해 미래에 대비할 수 있는 보안(펌웨어/소프트웨어 무선 업데이트(FOTA/SOTA) 등)을 지원해야 한다는 것이다. 자동차는 생산라인을 떠난 이후 장기간 동안 도로를 주행하게 되면서 새로운 취약성이 발견될 수도 있다. 따라서, 다른 일반 소비재들에 비해 수명 기간이 훨씬 긴 자동차는 보안 수리까지도 가능해야 한다.
보안은 연구원들의 몫이라는 편견으로 인해 개선이 더뎌지는 현실
앞서 언급한 체로키 지프 해킹 사건은 단시간 내에 잊혀졌다. (조사에 따르면, 사건 발생 1년 후에 사건을 기억하는 사람들은 50%에 불과했었다고 한다.)
기술 포럼에서는 하루가 멀다 하고 새로운 해킹 사건들이 보고되고 있지만, 소비자들이 자동차 대리점에 차량 보안 정보를 요구하는 일은 아직도 흔한 일은 아니라고 한다. 안전기준처럼 독자적이면서 객관적으로 보안 등급을 분류하는 일반적 기준을 마련하는 일은 아직까지도 요원한 실정이다.
자동차 해킹에 관한 FBI의 대민 경고와 같이, 정부 차원에서 일반의 인식을 제고시키기 위한 활동이 진행되고 있지만, 기존에 존재하는 협박이나 이에 대한 해결책에 대한 일반 소비자의 인식을 일정 수준까지 제고시키는 데에는 아직 시간이 더 필요한 듯하다.
지금까지 성공했던 해킹 사례들은 대부분 범죄자나 테러리스트들 보다는 연구원들이나 업계 종사자들에 의한 경우가 많았다. 그러나 이제는 소비자와 업계, 사회 전체가 나서야 할 때다. 미래의 자동차는 편의성을 목적으로 더 많은 기능들과 연결성 옵션들이 추가되는 만큼, 더 복잡하고 위험해지는 환경에 대응하여 보안과 안전을 더욱 강화할 수 있도록 그에 상응하는 조치들이 뒤따라야 할 것이다.
정부와 업계에서는 이미 솔루션을 개발 중이다
자동차 OEM 업체들과 부품 공급업체들은 미래 자동차 시스템의 보안 아키텍처와 V2X(차량-사물 통신), 클라우드 서비스, 무선 업데이트 등의 부가기능에 필요한 인프라를 규정하고 있다. 보안은 신개념 설계의 핵심이기 때문이다.
정부 정책들은 SAE 저동화 레벨 1(운전자 보조)에서 레벨 5(완전 자동화) 단계까지 자율주행차의 광범위한 단계에 중점을 둔 미국 교통부의 정책서(Automated Vehicles 3.0)처럼 자율주행차의 안전 보장을 위해 중요한 역할을 하고 있다.
현재 여러 표준들이 개발 중이다. 2016년에 발표된 SAE J3061 (사이버물리 차량 시스템을 위한 사이버보안 가이드북)은 차량 시스템에 사이버보안을 구축하는데 적용 가능한 프로세스 프레임워크에 대해 기술하고 있다. SAE의 차량 전기시스템 보안 위원회는 일반적 의무조건들을 정의하기 위해 SAE J3101 (지상 차량용 하드웨어 기반 보안을 위한 의무조건)을 제정 중이다. 신규 표준인 ISO/SAE 21434 (도로 차량-사이버보안 엔지니어링)는 사이버보안 문화를 조성하고 차량 라이프사이클 전반에 걸친 사이버보안 위험을 관리하며 변화무쌍한 위험 환경에 적절히 대응하고 사이버보안 관리 시스템을 정착시킬 수 있도록 관련 기틀을 마련하고 있다. 따라서, 이 표준은 제품 엔지니어링 보안에 적용될 것이며, 마찬가지로 ISO 26262의 기능 안전에도 적용될 것이다. ISO/SAE 21434는 2020년 발표 예정이며, SAE J3061을 대체할 것으로 예상된다.
자동차 제조업체들과 부품 공급업체들 간에 연합 관계가 형성되어 산업 전반에 걸친 협력이 필요한 프로젝트 개발을 위한 플랫폼을 제공하고 있다. 많은 중요한 포럼들 중에서 주목할만한 것은 중요한 글로벌 사이버보안 중심 커뮤니티(정보 공유 및 우수사례 가이드 제공) 중 하나인 Auto-ISAC와 협력지능형 교통시스템 및 서비스(C-ITS)의 배치에 중점을 둔 C2C-CC (차량간 통신 컨소시엄)이 있다.
미래에 대비한 신뢰성 있는 자동차 보안 솔루션을 구현하기 위한 주요 원칙
업계에서는 자동차 설계에 최고의 보안 원칙을 적용하여 이러한 보안 문제에 대응하고 있다.
자동차 제조업체는 차량이 외부 환경이나 다른 차량과 상호작용하는 방법 등 완전체 시스템을 중심으로 통합 솔루션을 설계하고 개발해야 한다. 적절한 보안 내재화 방법을 적용하여 보안을 최종 단계에서 고려하기 보다는 설계 단계에서부터 구현하도록 해야 한다. OEM 설계 시스템 보안 개념에서는 다수의 부품 공급업체들이 공급하는 요소들을 통합시키기 때문에, 복잡한 공급망을 통해 이러한 시스템 보안 개념을 효율적으로 구현하는 것이 중요한 성공 요인이다.
모든 시스템에 적용할 또 하나의 원칙은 바로 심층방어 또는 다단계 방어이다. 일반적인 보안 개념으로는 가장 취약한 링크를 보호할 정도밖에 안되기 때문이다. 즉, 1단계 보안이 깨지면 2단계 보안이 적용되는 방식이다. 예를 들어, 인포테인먼트 장치가 해킹되면, 내부 방화벽에 의해 운전장치나 브레이크와 같은 안전 관련 시스템에 대한 무단 접근이 차단된다.
앞서 언급한 바와 같이, 자동차의 보안 솔루션은 차량의 전체 수명 기간에 걸쳐 적용되도록 하는 것이 중요하다. 보안 솔루션을 항상 최신 상태로 유지하고 미래에 발견될 수도 있는 잠재적 취약성에 적절히 대응하기 위해서는 컴포넌트 별로 각각 내부적인 업그레이드 경로를 확보해야 한다. 이러한 업그레이드는 보통 인근 대리점이나 무선 업데이트를 통해 해결할 수 있다.
보호 수준이나 특성은 차량의 다양한 기능 영역, 애플리케이션, 구성 컴포넌트에 따라 다르게 설정해야 한다. ECU의 보호 수준은 공격 표면, 구현된 기능의 중요도, 보호 대상 자산 등 다양한 조건에 따라 달라진다. 인포테인먼트 시스템이나 게이트웨이 등 외부 연결 기능이 있는 컴포넌트는 대개 차체 제어 모듈에 비해 더 높은 수준의 보호가 필요하다.
잠재적으로 취약한 컴포넌트는 안전상 민감한 기능들로부터 격리시켜 공격으로 인한 피해를 제한하거나 억제시켜야 한다. 일단 공격으로 인한 피해가 발생되면, 핵심 기능만을 우선 유지하고 보호함으로써 차량의 기능과 안전은 정상 가동되도록 하고 부가적 기능(라이브 동영상 스트리밍 등)은 비활성화하여 잠재적 피해를 최소화해야 한다.
안전한 보안 이동성을 위한 글로벌 솔루션
자동차 공급망을 구성하는 모든 업체들은 갈수록 진화하는 위협에 맞서기 위해 사이버보안 솔루션 투자를 중단 없이 지속할 준비를 갖춰야 한다. 이를 위해서는 제품에 보안 기능이 내장되고 보안 제품 엔지니어링 프로세스가 개발 공정에 통합되어야 하며, 내외부 보안 평가 및 인증, 제품 보안 사건 대응팀, 체계적인 위협정보 공유 방식 등이 갖춰진 포괄적이고 총체적인 자동차 사이버보안 프로그램을 유지해야 한다. 보안이 제품 설계의 핵심 부분으로 자리잡으면서 조직내 보안 인식 구축과 인식률 제고가 조직의 기본 요소로 손꼽히고 있다.
NXP의 S32 프로세싱 플랫폼은 4+1 자동차 보안 프레임워크를 기반으로 한 가장 강력한 보안 솔루션이다. 이 4단계 사이버보안 솔루션은 외부와의 M2M(기계 상호간의) 통신을 위해 보안 인터페이스를 제공하고, 영역간 격리를 위해 보안 게이트웨이를, 내외부 메시지 전달을 위해 보안 네트워크를, ECU 상에는 보안 프로세싱을 제공한다. 이 플랫폼은 보안 카액세스 시스템과 더불어 차량 전반의 심층 방어 보안을 담당하게 된다.
내재적 보안이 매우 중요한 만큼, S32 플랫폼용으로 개발된 제품들이 HSE(하드웨어 보안 엔진)라는 전용 보안 서브시스템으로 구현되어 완벽한 포괄적 보안 기능을 제공할 수 있는 것이다. HSE는 보안 부팅, 대칭/비대칭 암호화 서비스(암호화, 복호화, 서명, 검증), 해싱, 고품질 무작위 번호 생성, 키관리 서비스, 사이드 채널 보호, 장애 저항 등의 보안 기능을 제공하는 서브시스템이다. 하드웨어 가속화는 안전상 민감한 자동차 시스템의 실시간 조건들을 수행하기 위해 필요하다.
광범위한 애플리케이션(차체, 쾌적성, 파워트레인, 차량동역학, 안전, 운전자보조 및 자율주행, 게이트웨이, 도메인 컨트롤러 등) 외에 사용 편리성, 간편한 재사용, 용이한 통합에도 유리하도록, 완벽한 S32 포트폴리오에 걸쳐 제공되는 보안 서비스는 호환성 있는 보안 API를 통해 접근 가능하다. 모든 제품들은 AUTOSAR과 호환되며, ‘SHE’ 규격과 ‘EVITA FULL’ 규격의 기능적 목적과 목표에 충분히 부합한다.
현재 시장에 출시된 어떤 솔루션이건, 자동차의 긴 수명기간 동안 보안 솔루션을 최신 상태로 유지할 방법을 필수적으로 제공해야 하기 때문에, 오프라인이건 온라인이건 보안(암호화되고 인증된) 채널을 통해 펌웨어와 소프트웨어의 업데이트를 지원하는 것은 중요한 부분이다. 처음 설계 단계부터 폐차될 때까지 지속적으로 지원하기 위해서는 자동차의 모든 영역에 걸쳐 업데이트와 업그레이드를 통해 미래에 대비할 수 있는 보안이 필수적이다.
해킹 방지를 위해 차량 소유주는 어떻게 대응해야 할까?
업계에서는 차량 소유주가 강력한 패스워드를 사용한다든가 의심스러운 기능 오류를 보고하는 등 보안 지침을 따르는 수준 이상의 조치를 할 필요가 없도록 한다는 의도로 자동차 보안 시스템을 설계 및 관리하고 있다
자동차와 보안 시스템은 복잡한 구조로 인해 침입 가능성이 많은 편이다. 때문에, 민감한 데이터를 보호하고 차량을 안전하게 운행하기 위한 최적의 방법을 결정하기 위해서는 전문 보안 기술을 요한다.
자동차업계는 현재는 물론 미래의 자동차 소유주들을 위해서도 충분한 보안 솔루션을 제공해야 한다. 정부 차원에서도 차량의 보안 성능을 독자적으로 평가하기 위한 법적 기틀을 마련하는 등 나름대로의 역할을 할 수 있다.
자동차 소유주들은 쾌적성과 안전 외에도 검증된 고급 보안 솔루션을 요구할 수 있고 또 요구해야만 한다. 소비자의 인식을 제고시키고 고객으로서 필요한 것들을 당당하게 요구할 수 있어야 비로소 잘못된 관행들의 개선에 탄력을 받을 수 있을 것이다. 그래야만 첨단화된 커넥티드카의 운전자 보조 기능이나 자율주행 기능에 맞춰 점점 강화되는 보안 조건들을 수행 가능하도록 보안 기능들을 구현할 수 있을 것이다.
자동차 보안의 미래
모든 측면들을 고려: 자율주행 로봇이 점점 증가하고 있는 현 상황에서 과연 우리는 자동차를 믿을 수 있을까? 대답은 “그렇다”이다. 단, 보안을 전반적 자동차 설계의 핵심으로 고러하고 업데이트와 업그레이드를 통해 미래에 대비한 보안을 구현함으로써 진화하는 공격 기술들보다 앞설 준비가 되어 있다는 것을 전제로 한다.
정부, 업계, 자동차 소유주 나름대로 각자의 역할을 충분히 하는 것이 중요하다. 우리가 안전, 주행 조건, 편의 기능들에 대해 알고 있는 것만큼, 자동차의 보안 성능에 대한 정보를 요구하는 것도 일반적인 관행으로 정착되어야 한다. 공급자 측면에서도 가장 선진화된 기술을 동원해서 이러한 안전과 보안에 대한 기대에 부응해야 한다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>