[테크월드뉴스=이혜진 기자] 자율주행차 시대가 곧 개막된다. 자동차는 오랫동안 단순히 운송 수단의 역할만 수행했기 때문에 관련 제도와 법규는 일반적인 교통사고로 인한 피해를 줄이는 것에 집중돼 있었다. 그러나 4차 산업혁명으로 전통적인 산업 분야에도 정보 통신 기술이 융합되기 시작하면서 커넥티드 카(Connected Car) 또는 스마트카(Smart Car)와 관련된 신기술이 급속도로 발달하게 됐다. 그러면서 자동차는 하나의 플랫폼과 같은 역할을 수행하게 됐다. 이에 따라 자연스럽게 자동차를 구성하는 소프트웨어(SW)가 고도화되고 있으며 SW에 내재된 취약점도 증가하고 있어 이를 악용하려는 사이버보안의 위협이 급증하는 추세다.
대표적인 자동차 사이버보안 위협 사례는 '지프 체로키 해킹 사건'을 들 수 있다. 미국의 화이트해커인 찰리 밀러와 크리스 볼로섹이 피아트 크라이슬러사의 자동차 모델인 지프 체로키에 탑재된 디지털 시스템을 해킹해 차량의 제어권을 탈취하면서 원격 제어에 성공한 사례다. 이 사건으로 인해 크라이슬러는 해당 모델 140만 대를 리콜해야 했다. 이 밖에도 일본 히로시마대학교에서는 자동차를 해킹한 후 자체 개발한 애플리케이션으로 차량을 무선 조작하는 실험에 성공했다. 이와 같은 직접적인 해킹 공격 외에도 자기진단장치(OBD) 해킹을 통한 캔(CAN∙Controller Area Network) 명령 공격, 네트워크 패킷을 탈취하는 '스니핑(Sniffing)'을 활용한 스마트카 정보 탈취 공격 등 신종 사이버 공격으로 인한 피해 사례도 언제든 발생할 수 있는 상황이다.
자율주행차의 등장으로 더욱 부각되는 사이버보안 강화의 중요성
자율주행차의 생산이 본격적으로 확대될 경우 자동차를 대상으로 하는 사이버 위협은 더욱 늘어날 것으로 전망된다. 자동차에 대한 사이버보안 위협은 단순히 금전 피해를 넘어 개인정보 유출과 같은 기밀 정보의 유출은 물론 생명과 직결되는 대규모 인명 피해로도 이어질 수 있다. 그 만큼 보안을 철저히 강화해 사고를 방지하는 것이 중요하다.
이와 관련해 이미 세계 각국에서는 자동차 사이버보안 강화를 위한 다양한 국제 표준∙법규를 제정하고 있다. 우리나라의 국토교통부도 지난해 12월 15일 '자동차 사이버보안 가이드라인'과 '자율주행차 윤리 가이드라인'과 '레벨4 제작·안전가이드라인'을 발표했다. 이 중 '자동차 사이버보안 가이드라인'은 같은 해 6월 유럽경제위원회(UNECE) 산하의 자동차 국제기준 회의체(WP.29)에서 채택한 자동차 사이버보안 관련 국제표준 'UNR No.155(UN Regulation No.155: Cybersecurity Regulation)'을 기반으로 ‘자동차에 대한 사이버보안 위협∙보안 조치 목록’에 대한 세부 내용을 규정하고 있다. 가이드라인은 자동차 제작∙공급 업체가 사이버보안 관리 체계를 갖추고, 그 체계에 따라 자동차 사이버보안을 관리해야 한다는 내용을 기반으로 작성됐다. 해당 가이드라인은 부록에서 ▲백엔드 서버에 대한 위협 ▲자동차 데이터∙코드에 대한 위협 ▲잠재적인 취약점 등 약 30개의 보안 위협에 대한 상세 내용과 사례를 설명하고 있다. 이는 결국 자동차를 위협하는 각 사이버보안 위협에 대한 대응 방안을 마련해야 완전한 자동차 사이버 보안 강화를 이룰 수 있다는 것을 의미한다.
자동차 사이버보안, 어떻게 강화해야 할까
그렇다면 자동차와 관련된 사이버보안은 어떻게 강화할 수 있을까. 자동차 분야의 사이버보안은 단기간에 완벽한 제도와 규정을 마련하고 이를 통해 강화된 보안 프로세스를 구축하는 것이 어렵기 때문에 실질적으로 발생할 수 있는 보안 위협을 세분화하고 각 위협에 대한 적절한 대응 방안을 마련하는 것이 중요하다.
요소와 통합되고 하나의 바이너리로 만들어지는 과정에서 문제가 발생할 수 있다. 이런 상황에서 자동차의 SW를 철저하게 점검하기 위해서는 소스코드에 접근하지 않아도 SW를 분석할 수 있는 바이너리 점검을 수행해 각 구성 요소에 대한 가시성을 확보하고 보안의 사각지대를 없애야 한다.
1) 철저한 자동차 SW 점검
자동차의 사이버보안을 체계화하기 위해서는 우선 자동차의 구성 요소가 되는 SW의 가시성을 확보해야 한다. 그러나 자동차는 다양한 업체가 개발한 SW가 복잡하게 연결돼 있고, 다른 업체가 개발한 SW의 소스코드에 접근할 수 없는 경우가 대부분이기 때문에 모든 SW를 점검하는 것은 불가능하다. 또 각 업체에서 개발한 후 기본적인 테스트를 거친 SW의 경우에도 다른 구성 요소와 통합되고 하나의 바이너리로 만들어지는 과정에서 문제가 발생할 수 있다. 이런 상황에서 자동차의 SW를 철저하게 점검하기 위해서는 소스코드에 접근하지 않아도 SW를 분석할 수 있는 바이너리 점검을 수행해 각 구성 요소에 대한 가시성을 확보하고 보안의 사각지대를 없애야 한다.
2) 각종 보안 취약점 관리
자동차 자체의 기능이 복잡해지고 자동차와 연계되는 디바이스의 종류가 다양해지면서 자동차를 구성하는 SW도 복잡해지고 있다. 일반적으로 SW의 소스코드가 증가할수록 코드 작성 오류로 인한 취약점도 증가하기 때문에 SW가 복잡해진다는 것은 보안의 취약점도 증가한다는 것을 의미한다. SW에 내재된 취약점들은 궁극적으로 공격자에게 공격의 시작점을 제공할 수 있다. 또 다양한 업체에서 개발된 SW가 여러 프로그램에 걸쳐 구현되는 자동차의 특성상 하나의 SW에 내재된 취약점은 다른 구성 요소에 예기치 못한 영향을 미칠 가능성이 높기 때문에 전체 SW에 대한 취약점을 지속적으로 추적하고 관리하는 것이 중요하다. 또 최근 사용이 증가하고 있는 오픈소스 SW에 대한 점검도 수행해 외부에 노출될 수 있는 보안 취약점을 최소화하고 내재된 취약점을 완화해야 한다.
3) 체계적인 국제 표준 준수
사이버보안을 확보하는 것이 자동차 안전의 중요한 기준이 되면서 자동차 분야의 사이버 보안 강화를 확립하기 위한 국제 표준∙규제 제정이 활발하게 진행되고 있다. 실제로 커넥티드 카와 자율주행차에 대한 사이버보안을 규정한 최초의 국제 표준 'ISO/SAE 21434'은 본격적인 시행을 앞두고 있다. 또 UNECE 산하의 자동차 국제기준 회의체 WP.29는 UNR No.155와 사이버보안, 커넥티드 카의 SW 업데이트에 대한 규정 중 하나인 '사이버보안 관리 시스템(CSMS∙Cybersecurity Management System)'을 채택한다고 밝혔다. 따라서 내년 7월 이후 해당 규정을 준수해야 하는 지역 내에서 생산되는 모든 자동차 모델은 국제 표준의 인증을 받아야만 제품을 출시할 수 있다.
이처럼 점차 강제성이 강화되고 있는 각 국제 표준의 요구사항에 대해 철저하게 분석∙준수함으로써 자동차의 전체 라이프사이클과 관련된 사이버보안 프로세스를 확보할 수 있다. 하지만 국제표준의 다양하고 까다로운 요구사항을 수동으로 점검하고 관리하는 데는 한계가 있을 수밖에 없다. 이에 따라 자동차 분야의 사이버보안에 대한 전문적인 이해를 바탕으로 다양한 표준과 법규의 준수를 지원할 수 있는 검증된 자동화 도구를 통해 국제표준의 요구사항을 준수해야 한다.
4) 제도적 장치 마련
점차 다양화되는 사이버보안의 위협에 효과적으로 대응하기 위해서는 국가 차원의 제도적인 장치 도 뒷받침돼야 한다. 또 각종 보안 위협으로부터 안전한 자동차를 제작할 수 있는 환경을 구축하기 위해 국내 상황에 맞는 적절한 표준을 마련하고 자동차 해킹에 대한 정보를 공유∙분석할 수 있는 자동차 보안 센터와 자율주행차 시험을 위한 환경을 조성해야 한다. 나아가 자동차 사이버보안에 특화된 전문 기구를 구성∙운영해 자동차 사이버보안 강화를 지원할 수 있는 환경을 마련해야 할 것이다.
그래도 삭제하시겠습니까?