커넥티드카 보안 위협 문제 ‘심각’…해킹 대응 보안책 ‘필요’

전세계적으로 커넥티드카에 대한 관심이 높아짐에 따라 안전성에 대한 문제가 크게 불거지고 있다. 특히 최근 커넥티드카의 보안 문제와 관련한 시험사례가 연이어 이어지며 쉽게 무선으로 해킹당할 수 있다는 사실이 드러나 안전성 문제는 더욱 크게 부각되는 중이다. 자동차제조업체, 보안서비스전문업체 등 여러 업체에서 보안 문제 해결을 위해 나선 가운데 커넥티드카 산업이 지지부진한 작금의 상황을 뚫고 나아갈 수 있을지 이목이 집중되고 있다.

최근 IT·통신 등 다양한 산업에서 IoT(Internet of Things)가 트렌드로 자리매김하며 빠른 성장을 이어가고 있다.

글로벌 시장조사기관인 IDC에 따르면 전세계 IoT 시장은 디지털 사이니지(digital sinage)를 앞세워 2015년 19% 성장할 전망이다. 특히 IoT 가운데 가장 뜨거운 인기를 받고 있는 커넥티드카 시장은 전년동기 대비 34.8% 성장할 것으로 예측되고 있다.

그러나 이러한 성장도 보안에 매우 취약하다는 사실이 밝혀지면서 가로막히기 시작했다.

IoT는 한 사람이 한 기기로만 사용하는 것이 아닌 수많은 사람들이 다양한 기기를 이용해 모든 것을 연결할 수 있도록 한다.

문제는 다발적으로 이뤄지는 연결인 만큼 누가 접속하고 접속한 사용자가 믿을 수 있는 사람인지 확인하기가 어려울 뿐 아니라, 이러한 서비스를 가능케 하는 기기나 센서들이 기존 펌웨어보다 가벼운 상태에서 구동되기 때문에 기존 소프트웨어적인 암호화 기술보다 하드웨어적인 암호화 기술을 요구하며 이를 따를 시 별도의 칩을 필요로 해 고비용이 발생한다는 것이다.

이는 커넥티드카와도 유관하다. 커넥티드카는 다양한 기기와 센서들을 연결함으로써 모바일 서비스, 실시간 내비게이션, 원격차량 제어·관리, 엔터테인먼트 서비스 등을 가능케 한다.

여기에는 인터넷을 필수로 하는 통신 구조를 갖고 있을 뿐 아니라 기존 보다 많은 기기·센서·서비스들이 연결되는 만큼 강력한 보안 기능을 필요로 하며 자동차의 운전이 생명과 직결돼 안전성 측면에서 더욱 보안성이 요구되고 있다.

커넥티드카 보안망 안전치 못해…새로운 위협 대비한 보안 체계 ‘필요’

지난 7월 미국의 한 보안 전문가는 커넥티드카인 크라이슬러 지프를 해킹해 원격으로 제어할 수 있음을 직접 시연해 널리 알렸다.

미국 중서부 세인트루이스 인근 고속도로를 시속 110㎞로 달리던 차량의 속도를 늦췄을 뿐 아니라 에어컨과 라디오, 와이퍼 등을 작동시켰다. 무선통신망을 이용해 쉽게 차량 내 기능을 조작할 수 있다는 것을 입증한 것이다.

이 실험에 사용된 지프 차량 내 인포테인먼트 시스템인 유커넥트(uConnect)는 TMS(Telematics Service)의 일종이다. TMS는 시동을 걸거나 잠금 장치를 원격으로 조정할 수 있는 기능을 제공한다. 현재 시중에 판매되는 커넥티드카 차량의 대부분이 이를 적용하고 있다.

작년 카스퍼스키랩은 스페인 마케팅·디지털 미디어 기업인 IBA와 함께 진행한 연례 커넥티드카 연구조사(Annual Connected Cars Study)에서 일부 커넥티드카의 기능은 문자메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심과 통신할 수 있다고 밝혔다.

이 통신 채널이 뚫릴시 운영자의 암호화 수준에 따라 가짜 명령이 전송될 수 있으며 사이버 범죄자들로부터 위협받을 수도 있는 것이다.

특히 커넥티드카의 위협은 프라이버시, 업데이트, 스마트폰 애플리케이션과 같은 3가지 요인을 통해 발생할 가능성이 높은 것으로 조사됐다.

향후 커넥티드카를 이루는 시스템은 최소한의 네트워크 기반 서비스를 제공하는 지금의 TMS에서 보다 서비스 제공폭이 더욱 확대되는 방향으로 나아갈 것으로 예측되고 있다.

이에 업계전문가들은 이제껏 존재했던 자동차와는 다른 새로운 차원의 위협을 커넥티드카로부터 제공받을 것을 염두해 사이버 공격, 데이터 유출 등 커넥티드카의 여러 보안 위협 요인들에 대해 분석하고 이를 사전에 막을 수 있는 안전성 높은 보안 체계를 갖춰야 함을 강조했다.

자동차제조업체, 불안전한 보안 문제 ‘타격’…내부 네트워크 강화 방향 모색

여러 실험이 거듭되며 부각된 커넥티드카 보안 문제로 가장 큰 피해를 입은 것은 자동차제조업체다. BMW, 포드, 현대차 등 최근 자동차제조업체들이 전망성 높은 커넥티드카 시장 선점을 위해 차량용 인포테인먼트 시스템을 갖춘 자동차들을 발표, 경쟁에 열을 올리는 중이었기 때문이다.

이에 실험을 통해 보안 문제에 직접적으로 타격을 입은 자동차제조업체의 경우 대부분 사이버 보안의 문제로 해당 차량을 리콜, 보안 업데이트중이며 새로운 차량 공개를 앞둔 업체들도 이를 대비한 보안성 강화에 나섰다.

이들이 강화하고자 하는 부분은 자동차 내부 보안이다. 내부 보안 강화 시 인가받지 못한 장비·장치들이 자동차 내부 네트워크에 붙어 공격성 트래픽을 주입하거나 통신을 방해하는 것을 막을 수 있을 것으로 기대하고 있다.

이를 위해 현재 ECU(Electronic Control Unit) 사이의 통신, 탑재된 펌웨어나 소프트웨어를 안전하게 업데이트하는 기술을 연구, 개발하는 중이며 보안 전문가를 두루 갖춘 보안업체와 협력해가는 방향으로 나아가고 있다.

보안서비스업체, 커넥티드카 시장 적극 공략…높은 방화벽 기술 ‘필수불가결 요소’

커넥티드카는 자동차의 내부 보안뿐 아니라 이와 연결되는 다양한 서비스에 대한 보안도 필요로 한다. 이에 보안서비스업체에서는 하루 바삐 커넥티드카에 최적화된 보안서비스들을 적극 출시하고 있다.

보안서비스전문업체들은 커넥티드카의 보안에 있어 자동차 외부에서 내부로 유입되는 트래픽에 공격 트래픽이 포함돼 있음을 식별하고 탐지·방어하는 방화벽 기술과 자동차와 온라인 서버 간 안전한 보안통신을 가능케 하는 보안 기술을 가장 필요하다고 의견을 모은다.

특히 서비스 보안이 제대로 갖춰질 경우 커넥티드카와 외부 간 통신 사이에서 발생할 수 있는 보안 문제들을 모두 해결할 수 있을 것이라고 내다보고 있다.

이러한 서비스의 가장 대표적인 예가 펜타시큐리티의 아우토크립트(Auto Crypt)다. 이 서비스는 커넥티드카에서 필요로 하는 자동차 내부 보안, 서비스 보안, 보안 인프라에 해당하는 것들을 모두 포함해 제공한다. 특히 차량 외부에서 내부로 유입되는 공격 트래픽을 애플리케이션 계층인 L7에서 탐지하는 차량용 방화벽을 포함하고 있다. 조만간 상용화될 예정이다.

펜타시큐리티 측 관계자는 “커넥티드카의 보안 문제에 대한 우려는 오래전부터 가지고 온 것이며 기술 개발과 함께 이를 해결해줄 보안성에 대한 논의는 계속 함께 이뤄져왔다”며 “세상에 100% 완벽한 보안 기술은 실제 존재하지 않고 새로운 보안 기술이 등장한다고 하더라도 언젠가 새로운 취약점과 함께 해킹 기술은 나날이 발전하며 이러한 속도에 맞춰 또다시 보안 기술이 발전·진화하는 과정을 거듭할 것”이라고 전했다.

소프트웨어 아닌 하드웨어에서부터의 보안 ‘필요’

커넥티드카 보안은 자동차 내부 보안과 서비스 보안 기술외에도 이를 보다 매끄럽게 적용시키기 위해 인증 체계, 보안 정책의 관리, 보안 키의 관리, 보안 감사 등으로 구성된 보안 인프라를 가장 우선적으로 요구한다.

미국, 유럽 등 커넥티드카 시장의 선진국이라 불리는 나라에선 인증체계를 중심으로 한 인프라 구성에 나서고 있으며 국내도 C-ITS 사업을 통한 인프라 구성에 매진하고 있다.

C-ITS는 차량과 차량, 차량과 노변장치, 차량과 보행자 간 무선 통신체계를 완성해 그 체계에서 구현되는 다양한 기능과 서비스를 제공하는 기술이다.

기본적으로 차량에 설치되는 OBE(On Board Equipment)와 도로에 설치되는 RSE(Road Side Equipment), 이를 이어줄 무선통신 WAVE(Wireless Access Vehicular Environments)의 구성과 함께 통신 메시지에 대한 표준을 필요로 한다. 현재 메시지 표준화는 안전정보, 차량 이벤트 정보, 인프라 제공 정보로 구분돼 진행중이며 선진국 위주의 연구로 마무리 단계에 있다.

업계에선 자동차 내부 보안 기술과 서비스 보안, 그리고 보안 인프라를 커넥티드카의 가장 큰 보안 기술로 분류하고 있다. 모두 갖춰지고 나면 커넥티드카의 보안 문제를 조금이나마 잠재울 수 있을 것이라는 입장이다.

그러나 최근 보다 먼 미래를 내다보는 일부 업계관계자들, 특히 반도체제조업체들이 보안인프라 위에서 여러 소프트웨어적인 기술들이 갖춰진다고 해도 보안 위협으로부터 온전히 벗어날 수는 없을 것이라고 주장하고 나섰다.

커넥티드카는 IoT와 마찬가지로 일반적인 소프트웨어 수준에서의 보안을 넘어 하드웨어 수준에서의 보안이 필요하며 이에 차량 설계단계에서부터 보안이 핵심적으로 이뤄져야 한다는 설명이다. 실제 인텔 등 몇몇 글로벌 반도체업체들이 하드웨어에서의 보안을 필요로 할 것을 대비해 이를 연구중에 있다.

2020년 전세계 커넥티드카 1억5200만대 전망…해킹 대응책 마련 ‘관건’

시장조사기관인 IHS에 따르면 커넥티드카 시장은 2014년 2300만대에서 오는 2020년 1억5200만대로 성장할 전망이다. 자율주행차는 2025년에 본격적으로 출시돼 23만대에서 2035년 1180만대로 연간 48.3%의 성장세를 보일 것으로 예측되고 있다.

커넥티드카의 최종 목표인 똑똑한 자동차, 일명 스마트카라고 불리는 자율주행차가 상용화되기까지 불과 10여년밖에 남지 않았다는 것이다.

자율주행차는 운전자의 조작없이 스스로 목적지까지 찾아갈 수 있는 자동차다. 이미 구글, 애플 등 글로벌 IT업체의 주도하에 전세계의 주목을 받으며 공개됐으며 현재 일부 지역에서 허가를 받고 성능과 안전성이 연달아 시범되고 있다.

문제는 빠르게 발전하는 기술과 달리 목숨을 위협하는 안전성에 대한 문제는 여전히 별다른 차이를 보이지 못하고 있다는 것이다.

IHS는 현재 커넥티드카 보안이 자동차 업체에게 중요한 도전으로 떠오르고 있으며 해킹으로 인한 사고가 발생하기 전 얼마나 빨리 대응책을 마련할 수 있을지가 커넥티드카 시장 성장의 관건이 될 것이라고 밝혔다.

현재 단계에서는 커넥티드카에 안심하고 탑승할 수 없다는 의견이 전반적이다. 실시간 정보교환, 운전 보조 등 많은 부분에서 유용하게 사용될 것은 분명하지만 안전성 미확보로 생명 위협에 대한 가능성이 높다는 것. 그럼에도 자동차제조업체, 보안서비스업체, IT업체 등 여러 업체에서 보안 문제 해결을 위한 노력이 계속되고 있다.

IT기술의 발달로 빠르게 다가온 커넥티드카 시대에 따라 일찍이 요구됐던 보안에 대한 안전성이 얼마나 빨리 마련되고 상용화를 앞당길 수 있을지 귀추가 주목된다.