요즘 자동차에서 큰잇슈 중 하나는 안전이라고 생각합니다. 자동차 분야에 사물인터넷 과 빅테이터, 인공지능 등 4차 산업혁멍 기술이 적극적으로 도입되는 가운데, 자동차 기술은 정보통신기술에 대한 보안 취약점이 식별되고 있으며, 보안 취약점은 곧 보안의 위협으로 연결될 수 있습니다. 자동차의 정보통신 시스템을 통해 안전과 보안을 위해 찾아보았습니다.
서론
자동차 산업은 사물인터넷(IoT), 인공지능(AI), 빅데이터 등의 4차 산업혁명 기술이 적극적으로 도입되면서 빠르게 변화하고 있습니다. 특히 자율주행 기술이 발전하고 자동차가 네트워크에 연결됨에 따라 보안 취약점이 새롭게 부각되고 있는데요. 과거에는 차량의 안전이 기계적 결함이나 운전자의 실수에 집중되었지만, 이제는 사이버보안 위협이 중요한 요소로 떠오르고 있는 중입니다.
본 글에서는 자동차 사이버보안의 중요성을 분석하고, 관련 법규 및 표준, 그리고 주요 보안 기술 적용 사례를 살펴봄으로써 자동차 보안의 방향성을 알아볼까 합니다.
자동차 사이버보안의 중요성
1. 자동차 해킹 사례
자동차가 네트워크와 연결되면서 해커들의 공격 대상이 되고 있는데요. 대표적인 사례로 2015년 "지프 체로키 해킹 사건"이 있습니다. 보안 연구원 찰리 밀러와 크리스 발라섹은 원격으로 지프 체로키 차량의 브레이크, 가속, 스티어링을 조작하는 데 성공하였으며, 이 사건은 자동차 제조업체에 큰 충격을 받았습니다. 이후, 완성차 업체들은 보안 취약점을 개선하고 대규모 리콜을 진행하였습니다.
2. 사이버보안 위협 요소
자동차 사이버보안 위협은 다음과 같이 여러 형태로 나타날 수 있습니다.
- 원격 해킹 공격: 자동차가 무선 네트워크(Wi-Fi, 블루투스, 4G/5G 등)에 연결됨에 따라 원격으로 차량 시스템을 조작하는 공격 가능성이 높아졌다.
- 데이터 탈취 및 개인정보 유출: 차량 내 인포테인먼트 시스템과 스마트폰 연동 기능이 많아지면서 사용자 데이터 유출 위험이 증가하고 있다.
- 랜섬웨어 공격: 해커들이 자동차의 핵심 시스템을 장악한 후 이를 복구하는 대가로 금전을 요구할 수 있다고합니다.
- 서드파티 애플리케이션 취약점: 자동차에 설치되는 다양한 서드파티 소프트웨어가 보안에 취약할 경우, 이를 악용한 공격이 발생할 수 있습니다.
자동차 사이버보안 관련 법규 및 표준
1. UNECE WP.29 규정 (Regulation No. 155)
유럽 경제위원회(UNECE)는 자동차 사이버보안 강화를 위해 2020년 Regulation No. 155를 제정하였습니다. 2021년부터 유럽연합(EU)과 일본에서는 이 규정을 시행하고 있으며, 해당 규정을 준수하지 않으면 차량 판매가 불가능합니다. Regulation No. 155는 다음을 요구합니다.
- 사이버보안 관리 시스템(CSMS) 구축: 자동차 제조사는 체계적인 사이버보안 대응 전략을 수립해야 할것입니다.
- 차량 형식 승인: 모든 신차는 사이버보안 평가를 통과해야만 출시될 수 있습니다.
- 위협 및 취약점 분석: 차량 개발 단계에서 발생할 수 있는 보안 위협을 분석하고 대비해야 할것입니다.
2. ISO/SAE 21434
ISO/SAE 21434는 자동차 사이버보안 관련 국제 표준으로, 차량의 전체 수명 주기 동안 보안을 유지하는 방법을 다루고 있습니다. 주요 내용은 다음과 같습니다.
- 위협 분석 및 위험 평가(TARA, Threat Analysis and Risk Assessment)
- 보안 설계 및 개발 프로세스 강화
- 취약점 관리 및 지속적인 보안 모니터링
3. ISO/IEC 27001
ISO/IEC 27001은 정보보호 관리 시스템(ISMS)을 위한 국제 표준으로, 자동차 부품 공급망에서 보안을 강화하는 데 활용됩니다. 자동차 제조업체는 암호키 관리, 데이터 보호, 인증 및 접근 제어 등 다양한 보안 요소를 준수해야 할거 같습니다.
자동차 보안 기술 적용 사례
1. 내부 보안 기술 적용
(1) Secure Debug
자동차 부품 내부에 있는 디버깅 포트를 해커가 악용할 수 있기 때문에, 특정 인증된 장비만 접근할 수 있도록 보안 조치를 취하는데요. 보통 암호키 또는 비밀번호 기반 인증 방식을 사용합니다.
(2) Secure Flash
자동차 소프트웨어가 업데이트될 때 악성 코드가 포함되지 않았는지 확인하는 보안 기법인데요. 전자서명 및 해시함수를 이용하여 소프트웨어의 무결성을 확인해 줍니다.
(3) Secure Boot
자동차가 부팅될 때, 악성 소프트웨어가 실행되지 않도록 보안 부팅 절차를 적용하는 편입니다. 이 과정에서 공인된 소프트웨어만 실행되도록 전자서명을 검증하는 역활을 합니다.
2. 공급망 보안 기술 적용
(1) 암호키 관리 시스템(KMS)
자동차 부품 제어기에 적용되는 암호키를 안전하게 관리하고 전송하는 시스템입니다. 암호키가 유출될 경우 해킹 위험이 커지므로, 안전한 저장 및 전송이 필수적입니다.
(2) 사설 인증 시스템(PKI)
자동차 제조업체와 부품 공급업체 간의 보안 인증을 제공하는 시스템입니다. PKI를 통해 암호키 및 인증서를 교환하여 공급망 보안을 강화합니다.
(3) 망 분리 기법
개발 환경과 운영 환경을 분리하여 보안을 강화하는 기법인데요. 개발용 암호키와 양산용 암호키를 분리하여 관리하는 방식이 적용합니다.
결론 및 전망
자동차 사이버보안은 자동차 기술 발전과 함께 필수적인 요소로 자리 잡고 있는데요. UNECE WP.29 규정과 ISO/SAE 21434 표준을 준수하는 것이 자동차 제조업체들에게 필수 요건이 되었으며, 이를 위한 보안 기술 도입이 더욱 활발해질 것으로 보입니다.
향후 자동차 보안 산업은 다음과 같은 방향으로 발전할 것으로 예상됩니다.
- AI 기반 보안 시스템 도입: 머신러닝을 활용한 보안 위협 탐지 및 대응 시스템 개발
- 블록체인 기반 인증 시스템 확대: 차량과 네트워크 간 보안 강화를 위한 블록체인 기술 적용
- 자동차 보안 전문 인력 확대: 보안 전문가 양성을 통한 자동차 산업 내 보안 역량 강화
이러한 보안 강화 노력이 지속적으로 이루어진다면, 미래의 자동차는 보다 안전한 환경에서 운행될 수 있을 것이라 예상합니다.