보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
세계가 주목하고 있는 자동차 보안
2016.11.02
23,290
1. 커넥티드 카(Connected Car)란?
커넥티드 카란 ‘연결된 자동차‘, 즉, 네트워크 접속이 가능하고 무선통신을 통해 차량 외∙내부 네트워크가 상호 연결되어 물리적인 시스템을 갖춘 자동차를 말하며 ‘스마트카’라고도 불린다. 자동차 외∙내부에서 받아들인 각종 정보들을 가지고 다른 차량과의 사고나 교통위반 경고, 실시간 내비게이션, 원격 차량 제어 및 관리 서비스 뿐만 아니라 자율주행이나 운전자의 건강 상태를 파악하여 운전 가능 여부를 확인하는 등의 각종 기능들을 제공한다. 과거에 만화 속에서만 그려졌던 미래형 자동차가 오늘날의 커넥티드 카로, 눈앞에 현실이 되어 나타나게 되었다.
[그림 1] 커넥티드 카 개념도
미래 자동차 시장을 선점하기 위한 커넥티드 카 개발은 국내는 물론 세계적으로 경쟁이 치열해지고 있다. 비즈니스 인텔리전스(Business Intelligence, BI)에서는 2016년 커넥티드 카 생산량이 전체 7800만대 중에 1500만대로 19.2%를 차지하고 2020년에 이르면 전체 9200만대 중에 6900만대로 전체의 75%를 차지할 것이라고 예측하고 있다. 커넥티드 카 생산량을 통해서 확인할 수 있듯이 머지 않은 미래에 무선이동통신과 연결된 커넥티드 카 사용이 보편화 되겠지만 이로 인해 악성 바이러스와 외부 해커에 의한 침입 우려가 높아지게 될 것이다.
2. 보안 문제
현재까지 공식적으로 확인되거나 보고된 자동차에 대한 해킹 침해 사고는 없지만, 이미 많은 연구원들에 의해 차량 내 컴퓨터 시스템이 충분히 해킹 가능하다는 사실이 여러 차례의 연구 및 실험에서 확인 되었다. 그러다 보니 자동차 업계는 차량 내 컴퓨터 보안과 관련된 문제를 상당히 심각하게 받아들이고 이를 방지하기 위해 많은 노력을 기울이고 있다.
1) 침입 경로
자동차 보안은 대체 어떠한 경로를 통해 위협에 처하게 되었을까? 자동차는 크게 자동차를 직접 움직이는 구동부, 이를 제어하는 전자제어장치(Electronic Control Unit, ECU), 외부와 연결할 수 있는 인포테인먼트 (Infotainment) 시스템으로 구분된다. 자동차에서 작은 컴퓨터라고 불리는 전자제어장치는 외부와 연결되지 않고 차량 내부 네트워크에서 운전자의 명령을 수행하는 전장 부품으로 운전자가 방향전환을 위해 핸들을 돌리면 해당 ECU 정보가 차체에 전달되고 바퀴에 명령을 내려 부드럽게 돌아가게끔 하는 운전자 명령을 수행한다.
[그림 2] 자동차 내부 네트워크
이와 같은 ECU간 정보의 전송 및 교환은 CAN(Controller Area Network) 컨트롤러를 통해 이루어지며 차량에서 전기적으로 제어되는 다양한 부품으로 컴퓨터의 고속도로 역할을 한다. 따라서 CAN에 진입할 수 있기만 한다면 각 시스템을 제어하는 전자 메시지를 찾아낸 뒤, 변조된 메시지를 전송해서 브레이크, 변속기 등 핵심 부품을 원격으로 제어하는 것이 가능해진다. 이로 인해, CAN에 진입해 ECU 영역을 장악한 공격자는 자동차를 급발진 시키거나 브레이크 페달을 무력화 시키는 조작을 할 수 있다.
그렇다면 차량 내부의 네트워크에는 어떻게 진입할 수 있을까?
커넥티드 카와 외부는 V2X(Vehicle to Everything) 네트워크로 구성되며, V2X 네트워크에는 V2V, V2I, V2N으로 나눠진다. 차량과 차량 사이를 연결하는 차량 간 무선통신 V2V(Vehicle to Vehicle) 기술은 자동차의 통신제어장치를 통해 근처 차량의 위치파악, 속도 정보 등을 공유한다.
이러한 자동차와 자동차 사이의 통신은 교통사고를 예방하고 안전한 주행을 할 수 있게 하는 시스템으로 각광받고 있다.
국내에선 2011년 5월 전자통신연구원(ETRI)이 선보인 ‘멀티홉’ 방식의 차량 간 통신기술(VMC)가 시초이며, 지능형 교통 시스템(ITS)의 발달과 함께 영역을 넓히고 있다. 차량과 도로 인프라 간 통신 V2I(Vehicle to Infrastructure) 기술은 도로 곳곳에 차량 내에 설치된 통신 단말기와 상호 정보를 교환할 수 있는 노변 장치와 일종의 기지국을 설치하여 차량으로부터 주행 정보들을 수집하고, 이를 중앙 서버에서 분석하여 교통상황 및 대처 방법, 빠른 길 안내 등 각종 서비스를 제공받는 기술이다.
뿐만 아니라, 운전자에게 멀티미디어 콘텐츠 등 부가가치 서비스 또한 제공한다. 차량과 모바일 기기 간 통신 기술 V2N(Vehicle to Nomadic device)은 차량 내의 네비게이션 시스템 같은 기기들과 스마트폰, 스마트패드 등 모바일 기기를 연결한 기술이다. 차량의 상태 파악이나 원거리 차량 관리의 기능을 제공하고 있으며 향후 모바일 OS를 통해서 더욱 편리한 서비스 발전이 예상된다.
이와 같은 차량과 모바일기기를 연결하는 인포테인먼트 시스템을 통해서 공격자는 차량의 내부 시스템에 접근할 수 있다. 블루투스를 통해 다운 받은 파일들이 충분히 검증되지 않았을 경우 자동차 내부 시스템에 영향을 줄 수 있는 악성코드가 설치 될 수 있으며, 차량 내 AVN(Audio, Video, Navigation) 시스템도 공격의 예외는 아니다. CD 등을 통한 펌웨어 취약점 공격과 GPS나 위성 라디오 채널을 통한 해킹에도 쉽게 노출 될 수 있다.
[그림 3] V2X 기술 개념 (출처 : 국토해양부)
2) 취약점 사례
매년 8월 초에는 세계 양대 정보보안 컨퍼런스인 ‘블랙햇(BlackHat)’과 ‘데프콘(DEF CON)’이 개최되어 업계 관계자들이 모여 해킹의 최신 트렌드와 이에 대안 대응 방안을 논의하는데, 매년 커넥티드 카에 대한 취약점이 보고 되고 있다.
2013년 데프콘 컨퍼런스에서 트워터 보안 엔지니어인 찰리 밀러(Charlie Miller)와 보안 서비스 IO액티브 이사 크리스 발라섹(Chris Valasek)이 미국 내에 가장 인기있는 차종인 도요타 프리우스와 포드 이스케이프 자동차를 해킹해 노트북으로 마음대로 조작할 수 있는 방법을 공개하였다. 10개월 동안 자동운전기능을 가진 두 종의 자동차에 대한 해킹 방법을 연구한 결과로, 자동차에 사용되는 각종 센서들을 직간접적으로 조작하는 것이다. 자동주행자동차는 GPS, 라이다(LIDAR), 카메라, 밀리미터 파 레이더(millimeter wave radar), 디지털 콤파스, 휠 인코더, 관성 측정 유닛 등 수많은 센서에 의지해 주행하는데 정상 신호를 노트북으로 가로채어 데이터를 변조하여 전달하는 방식을 사용했다.
또한, 2015년 블랙햇 컨퍼런스에서 자동차 보안 연구 선구자로 알려진 찰리 밀러와 크리스 발라섹이 지프 체로키(Jeep Cherokee) 차량을 원격에서 해킹하였다. 이들은 1년이라는 긴 시간 동안 자동차 펌웨어와 커뮤니케이션 프로토콜을 리버스 엔지니어링 하였고, 모바일 데이터 연결을 통해 차량 인포테인먼트 시스템(UConnect)을 해킹하여 브레이크와 운전대, 기타 중요한 시스템을 마음대로 조작하는데 성공했다. 결국 피아트 크라이슬러 오토모빌스(FCA)는 문제점을 수정하기 위하여 지프 체로키 차량 140만대를 리콜해야 했으며, 미국 의회는 자동차 내부의 사이버 보안에 관한 연방 기준을 추진하자는 내용의 법안을 발의하게 되었다.
[그림 4] 지프 체로키 구조 다이어그램 (출처 : Remote Exploitation of an Unaltered Passenger Vehicle white paper)
3. 취약점 대응 방안
최근 다양한 자동화 기능을 장착한 자동차들이 대거 출시되는 동시에 다양한 보안 취약점들도 보고되고 있다. 커넥티드 카는 기존 차량에 비해 더 많은 전자 및 통신 기능이 내장됨에 따라 해킹이나 오작동의 위험이 훨씬 커졌기 때문에 미국이나 유럽, 일본 등 주요 선진국에서는 커넥티드 카 보안위협에 대응하기 위한 보안 요구사항 도출과 함께 관련 연구 개발을 활발하게 수행하고 있다.
이에 미래창조과학부는 지난 2015년 6월 안전한 정보통신기술(ICT) 융합 서비스에 필요한 보안기술을 개발하고, 시범 적용하는 ‘융합보안 시범사업’을 과제로 교통, 금융 등에 관련된 5개 과제를 선정하였다. 이 중 커넥티드 카 보안과 관련된 교통 분야는 펜타시큐리티시스템이, ‘차세대 지능형 교통시스템(C-ITS)’과 커넥티드 카 보안 부문에서는 시피에스가 ‘교통신호제어기 관련 보안기술’ 개발을 진행하고 있다.
특히, 펜타시큐리티는 커넥티드 카 인증과 보안통신 및 L7 방화벽 기술 시제품 개발을 과제로 커넥티드 카 및 차세대 ITS 서비스에서 발생 가능한 통신 도청, 원격 해킹 등의 IT 보안 위협 방지를 위해 차량과 차량, 차량과 도로 인프라 간 보안 통신 소프트웨어와 커넥티드 카 전용 방화벽 개발을 진행 중이다. 이를 통해 차량 보안 통신, 커넥티드 카 원격 해킹 방지를 통한 안전한 차세대 ITS 이용 환경 조성을 위해 노력하고 있다.
얼마 전 지난 20년 동안 만든 차량들의 잠금장치를 쉽게 해제하는 방법이 공개된 폭스바겐에서는 이스라엘의 보안전문가들과 함께 ‘CYMOTIVE Technologies’이라는 보안 회사를 설립하였다. 이 회사는 이스라엘 헤르츨리야 지역과 독일의 볼프스부르크에 사무실을 두어 의장은 이스라엘의 보안 에이전시인 쉿 벤(Shin Bet)의 회장이었던 유발 디스킨(Tuval Diskin)이 맡고 차프리르 캣츠(Tsafrir Kats)와 타미르 베코(Tamir Bechor) 박사가 힘을 보탠다고 한다.
현대∙기아 자동차는 미래 커넥티드 카 기반의 핵심 중심 분야를 실현하기 위해 4가지 핵심 기술을 선정하여 연구개발 역량을 집중하기로 발표했는데, 4가지 핵심 기술 안에 통합적 보안 시스템을 구축하는 ‘커넥티드 카 보안’ 기술이 포함된다. 아울러 현대자동차는 세계 최대 네트워크 장비와 솔루션 기업인 시스코와 협업을 통해 차량 내부 데이터를 제어하기 위한 차량 내 초고속 통신 네트워크를 구축하여 품질∙안전∙보안 측면에서 완벽한 혁신을 기대하고 있다.
커넥티드 카의 최종 목표인 똑똑한 자동차, 일명 스마트카라고 불리는 자율주행차가 상용화되기까지는 불과 10여년 밖에 남지 않았다. 현재 커넥티드 카 보안이 자동차업체에게 중요한 도전으로 떠오르고 있으며 해킹으로 인한 사고가 발생하기 전 얼마나 빨리 대응책을 마련할 수 있을지가 커넥티드 카 시장 성장의 관건이 될 것이다. 현재 단계에서는 커넥티드 카를 안심하고 탑승할 수 없다는 의견이 전반적이다. 실시간 정보교환, 운전 보조 등 많은 부분에서 유용하게 사용될 것은 분명하지만 안전성 미확보로 생명 위협에 대한 가능성이 높다는 것이다. 그럼에도 커넥티드 카가 갖는 장점이 크기에 자동차제조업체, 보안서비스업체, IT업체 등 여러 업체에서 보안 문제 해결을 위한 노력이 계속되고 있다.
4. 참고 자료
[1] 네이버 IT용어사전
[2] 커넥티드 카 관련 네이버 블로그 / 커넥티드 카 전성시대
[3] 펜타 인사이트 / 생성 보안 정보
[4] 보안뉴스 / 국내 자동차업계, 스마트카 해킹에 대비하고 있나
[5] 전자신문 etnews / 자동차 해킹한 찰리 밀러 “위험성 인지하고 대처해야“
[6] ZDNet Korea / 현대차에 탑재될 시스코 핵심기술은 뭘까
[7] EP&C News / 커넥티드카 보안 위협 문제 ‘심각’...해킹 대응 보안책 ‘필요’