최근 국내에서 해킹과 전산장애가 잇달아 발생하는 가운데 해외에서 작은 장치 하나로 차량을 해킹하고, 차량 해킹이 10대들의 놀이로 유행하는 사례가 발생해 차량 네트워크 보안 및 해킹 방지에 대한 기술 개발이 시급한 것으로 판단된다.
외부 네트워크 연결성 확대, 내외부 보안 취약점 ↑
네트워크 데이터 무결성·실시간 V2X 연동 보안 중요
최근 국내에서 해킹과 전산장애가 잇달아 발생하는 가운데 해외에서 작은 장치 하나로 차량을 해킹하고, 차량 해킹이 10대들의 놀이로 유행하는 사례가 발생해 차량 네트워크 보안 및 해킹 방지에 대한 기술 개발이 시급한 것으로 판단된다.
최근 로이터 통신이 공개한 영상에 따르면 2021년식 테슬라 모델Y 차량이 노트북에 부착된 작은 장치로 BLE 잠금이 해제되고 운전도 가능한 것으로 밝혀졌다.
사이버 보안 관련 회사인 NCC 그룹 연구원이 등장한 영상에서는 차량을 해킹하기 위한 특별한 기술 없이 차량의 네트워크 침입이 가능한 것을 보여주었다.
위 영상에서는 테슬라 차량 외에도 BLE를 사용하는 많은 잠금장치가 해킹 취약점을 가지고 있다는 사실을 증명했다.
또한 지난해 유럽에서는 자동차 진단 솔루션 툴을 통해 프랑스 자동차 제조사의 소프트웨어를 해킹하는 방법을 사용해 열쇠를 이용하지 않고 문을 열어 금품을 절도하는 사건이 일어나기도 했다.
이 사례 이외에도 차량 보안과 관련해 미국 ‘기아 보이즈’가 악명을 떨쳤다.
기아 보이즈는 틱톡 범죄놀이로 현대차와 기아차를 노리는 절도 범죄다.
일부 연식 모델에 자동차 도난 방지를 위한 이모빌라이저가 탑재되지 않아 보안에 취약했기 때문에 현대기아차가 절도의 표적이 됐다.
이와 같이 원격접근, 소프트웨어, 물리적 방법을 사용한 다양한 해킹 사건들이 줄줄이 발생하며 모빌리티 분야에서 취약한 보안을 강화해야 한다는 목소리가 높아지고 있다.
■ 車 보안, 생명·재산과 직결
자율주행, V2X 기술은 외부 네트워크와의 연결성 확대로 인해 차량 내외부의 보안 취약점이 노출될 수 있고 이는 개인정보 유출뿐만 아니라 생명과도 직결될 수 있는 문제로 이어진다.
또한 자동차에는 운전자의 개인 정보, 결제 정보 및 자동차 제조사의 소프트웨어 관련 지적 재산권 등이 모두 포함되어 있어 해커들의 주요 공격 대상이 될 수 있다.
발생할 수 있는 공격으로는 △조작에 의한 차량 급정거 △도어락 강제 해제 △센서 교란 등이 있으며 △악성 소프트웨어 △데이터 조작 △하드웨어 수준의 물리적 공격과 같은 위협에 노출될 수 있으며, △차량 운전자의 안전을 위협하고 △개인적인 데이터 손실이 일어날 수 있으며 △제조사 비즈니스에도 영향을 미칠 수 있다.
Active attack은 불법적인 접근을 넘어 통신상에서 가로챈 데이터를 변경하고 위조하여 재전송함으로써 시스템에 오동작을 일으키고 성능을 저하시키기도 한다.
즉 해커가 원하는 형태로 시스템을 파괴시킬 수 있는 공격 방법이다.
이와 같은 공격이 브레이크와 엑셀레이터 데이터에 침투할 경우 주행 중 급정거, 급가속 등으로 운전자는 물론 제3자의 생명을 앗아갈 수 있는 치명적인 사고로 이어질 수 있다.
또한 2021년에 일어난 사이버 보안 공격 현상 중 차량 도난과 내부 제어 시스템을 탈취하는 공격이 28.4%로 데이터 유출(30%) 다음으로 많이 발생해 보안에 대한 중요성을 다시 한번 일깨웠다.
■ 車 보안 표준 연구 본격화
UNECE(유럽경제위원회)는 2020년 6월 차량 사이버보안 관련 법규인 ‘UNECE R-155(UNECE Regulation No.155: Cybersecurity Regulation)’를 채택하고 2021년 1월 공식 발효했다.
이는 2022년 7월 이후 개발에 들어가는 모든 자동차는 해당 법규에 따른 사이버보안 관리체계 인증을 받아야 유럽경제위원회 협약국에 출시할 수 있다는 내용으로 보안에 대한 엄격한 기준을 제시한 것이다.
국가기술표준원, 자율주행기술개발혁신사업단과 한국정보통신기술협회가 출판한 ‘자율주행 표준화 메가트렌드 ICT융합신기술분야’에서 신뢰성과 안전성 확보를 위해 차량 내부 네트워크 침입 공격에 대응하고, 내부 네트워크 데이터 무결성 및 실시간 V2X 연동을 위한 보안 통신 핵심기술을 개발할 필요성이 있다는 내용이 담겼다.
IEEE 1609.2, AUTOSAR v4.0 등 표준들이 고려되고 있으나 SW상의 상위계층 보안 문제해결 방식에 치중되어 무선 전자파 기반의 물리 계층 공격에 대한 대응책 개발은 미흡하다는 평가도 있다.
고성능 보안기술이 차량에 최적화되어 자율주행을 지원하기 위해서는 보안 플랫폼이 필수적이며 데이터를 실시간으로 처리하기 위한 차량용 내부 네트워크 기술과 V2X 통신 네트워크 보안표준이 동시에 요구된다.
2020년 6월 UNECE WP 29에서 자동차보안체계에 대한 법제화 이후 ISO 21434를 중심으로 자동차 보안 체계 및 평가를 위한 표준화가 진행 중이다.
또한 차량 내부 네트워크 보안 및 통신을 위한 규격 표준화도 ITU-T, IEEE, ETSI 등을 중심으로 추진 중이다.
위와 관련된 표준화 항목으로는 △사이버보안 엔지니어링과 관리시스템을 중점 기술로 하는 차량 전주기 사이버보안 △V2X, 자율주행 이상징후 감지 및 침입 탐지 등을 중점으로 하는 V2X 통신 네트워크 보안 △사용자 원격 인증, 프라이버시 침해 대응 등을 중점으로 하는 안전한 공유차량 이용을 위한 사용자 인증이 있다.
‘자율주행 표준화 메가트렌드 ICT융합신기술분야’를 출간한 세 기관은 Matrix 기반 표준화 중요도 및 가능성 평가를 통해 커넥티드카 보안 위협과 V2X 통신 보안 가이드라인을 AS-IS 핵심표준으로 선정했다.
AS-IS 핵심표준과 관련해 ITU-T SG17을 중심으로 V2X 통신 네트워크 보안 표준화가 개발되고 있으며, UNECE, ISO, SAE 등이 자동차 수명주기에 따른 사이버보안을 위해 고려해야 할 사항을 정의했다.
커넥티드카 보안 위협에 대한 표준 방안은 커넥티드카를 정의하고 생태계에서 가해질 수 있는 보안 위협 및 해당 위협을 통해 위기가 가해질 수 있는 정보에 대한 내용의 정의다.
대표적인 관련 표준으로는 사이버보안 엔지니어링과 관련된 ISO 21434와 사이버보안 관리시스템과 관련된 UNECE UNR 155가 있다.
V2X 통신 보안 가이드라인에 대한 표준 방안은 V2X 상황에서 가해질 수 있는 위협을 비밀성, 진실성, 진실성, 접근성 등 7가지 분류로 정의했다.
이는 각 위협 분류별로 필요한 보안 요구사항을 정의했으며 보안 사항이 적용된 V2X을 적용하기 위한 예시를 제안한다.
TO-BE 전략 표준으로는 도로 차량 사이버보안 엔지니어링이 선정됐다.
ISO 21434에 따라 차량 수명주기에서 커넥티드카의 모든 전자 시스템에 대한 보안을 고려해야 하며 시스템은 진화하는 위협으로부터 보호 기능을 제공하는 방식으로 설계될 것을 요구한다.
차량 설계부터 생산, 단종까지 생명 주기 전반에 걸쳐 사이버보안 요건을 정의해야 한다는 내용이 담긴 UN Regulation No. 155에 따른 것이다.
이경수 인피니언 과장은 “보안 관련 인력의 양성 및 확보, 프로세스 확립, 보안 기능의 적용, 보안 기능의 취약점 관리 및 취약점 발견 시 후속 대책 방법 수립 등이 자동차의 설계, 개발, 양산 및 양산 후의 과정 전반에 걸쳐 전체적인 관점에서 고려돼야 한다”며 기업의 보안 인식 중요성을 강조하기도 했다.
