오늘날 자동차의 많은 기능이 전기·전자적으로 제어됨에 따라 자동차를 대상으로 한 사이버 공격에 대한 위협이 증가하고 있습니다. 자동차는 사람의 생명과 직결되어 있기 때문에 이러한 사이버 공격을 차단하는 보안 시스템은 생명을 지키는 일이라고 할 수 있습니다. 오늘은 자동차 사이버보안이 무엇인지에 대해 알아봅니다.
자동차 사이버보안이란?
자동차 사이버보안(Cybersecurity)은 무엇일까요? 자동차 산업의 사이버보안을 다루는 국제 표준인 ‘ISO/SAE 21434’에서는 자동차 사이버보안에 대해 ‘도로 차량의 아이템, 기능, 전기·전자 컴포넌트에 대해 위협 시나리오로부터 자산(Asset)이 충분히 보호되어 있는 상태’로 정의하고 있습니다.
자동차 사이버 공격은 어디서 발생할까요? 차량의 보안 취약 지점은 크게 차량 내부의 네트워크(CAN 통신 등)와 OTA(Over-The-Air), 블루투스 같은 차량 외부 무선 네트워크 인터페이스, USB포트나 정비 장비를 통한 차량 내부 네트워크 접근 등이 있는데요. 최근에는 클라우드 서비스나 앱 해킹 위험도 증가하고 있죠. 추후 V2X(차량-사물 통신) 기술이 본격화되면 새로운 위협의 장이 열릴 가능성도 있습니다.
ISO/SAE 21434와 UNECE WP.29
이러한 사이버 공격 위험으로부터 차량과 탑승자를 보호하기 위해서 나온 것이 바로 ISO/SAE 21434 표준과 UNECE WP.29 Regulation No.155 (이하 UN R155) 법규인데요. ISO/SAE 21434는 2021년 8월 제정된 표준으로, 차량의 기획부터 폐기에 이르는 전체 생명주기(Lifecycle) 동안 사이버보안 리스크를 체계적으로 관리하기 위한 요구사항을 규정하고 있습니다. 유엔유럽경제연합회(UNECE) WP.29에서 제정한 UN R155는 자동차 사이버보안에 대한 요구사항을 법규로 지정한 것입니다. 법규는 2021년 1월에 발효되었으며, 2022년 7월부터 UN R155를 채택한 국가에서 형식승인을 받는 신규 차종(new vehicle type)에는 사이버보안 기술적 조치가 의무 적용되며, 2024년 7월부터는 해당 국가에서 판매되는 모든 신규 등록 차량에 적용됩니다. 만약 해당 기간에 인증을 받지 못한 차량은 UNECE 회원국에서 판매가 불가능하게 되었죠. UNECE WP.29에서도 직접적으로 ISO/SAE 21434 표준에 따라 CSMS 구축을 권고하고 있기 때문에 사실상 상호보완적 관계라고 볼 수 있습니다.
그렇다면 자동차 사이버보안은 어떤 위협으로부터 우리를 보호할까요? 흔히들 생각하는 ‘해킹 피해’, ‘사이버 범죄’라고 하면 개인정보 유출, 랜섬웨어 등이 있는데요. 자동차 사이버 범죄 역시 차량 기능 조작, 오작동 유발, 랜섬웨어를 사용한 데이터/SW조작 등이 있습니다. 앞서 언급했듯 자동차의 오작동 등은 안전사고를 유발하고, 이는 사람의 생명에도 영향을 끼치기 때문에 이러한 사이버 범죄를 예방하는 것이 더욱 중요합니다.
내 차는 멀쩡히 잘 굴러가고 있는데, 자동차 사이버 공격은 정말 발생하고 있는 걸까요? 실제 자동차 사이버 공격 사례는 2015년 미국의 IT 전문지 ‘와이어드(WIRED)’가 실험한 지프 체로키 원격 해킹이 대표적인데요. 자동차 보안 전문가들이 인포테인먼트 시스템의 보안 취약점을 노려 지프 체로키를 원격으로 해킹, 고속도로를 주행하는 차량의 와이퍼를 조종하고 속력을 늦추는 등 차량을 원격으로 제어하는 데 성공한 것이죠. 이 사건으로 인해 피아트 크라이슬러는 미국 내 유통된 차량 140만대를 리콜해야 했습니다.
이 밖에도 테슬라 모델S의 해킹이나 스마트키 무선 신호 중계 공격을 통한 차량 탈취 등 다양한 자동차 해킹 사례가 발생하고 있는데요. 해킹 컨퍼런스 등에서 차량 해킹을 시연하는 해커들의 영상도 쉽게 찾아볼 수 있습니다. 테슬라의 경우 해당 해킹 시연 이후 OTA 패치를 통해 보안 대응에 나섰죠.
자동차 해킹 위협, 어떻게 대응해야 할까?
우리는 이러한 사이버 공격 위험을 어떻게 대응해야 할까요? 자동차 사이버보안은 차량의 전 라이프사이클에 걸쳐 구축되어야 하며, 구체화된 프로세스를 활용해야 합니다. 국토교통부는 자동차 제조사들이 자동차 사이버보안 시스템을 구축에 참고할 수 있도록 국제 기준을 기반으로 한 자동차 사이버보안 가이드라인을 배포하기도 했습니다.
자동차 제조사는 이러한 프로세스 내에서 보안 기술을 검증하고 신기술을 도입하는 기술적 노력과 OEM부터 부품사에 이르는 공급망 보안 관리, 실시간 위협 탐지와 해킹 발생 시 신속하게 대처할 수 있는 운영 체계를 갖추어야 하는데요. HL만도에서는 ‘사이버보안 관리 체계(CSMS) 협의체’ 운영을 통해 주요 사이버보안 이슈에 대해 논의하고 있으며, 세계적인 시장 흐름에 발을 맞추고 있습니다.
HL만도 Cybersecurity팀 인터뷰 바로가기
[직무위키] 자동차도 철통보안! HL만도의 차량용 사이버 보안 엔지니어링
7월은 정보보호의 달입니다. 하루가 멀다 하고 쏟아지는 개인정보 유출의 위협에서 여러분은 얼마나 안전한가요? 계정별로 다른 비밀번호를 사용하고, 주기적으로 비밀번호를 변경하는 등 정보
www.hlworld.com
앞으로 자동차는 더 많은 통신 환경을 필요로 할 것이고, 사이버보안의 중요성도 비례하여 커질 것입니다. 자동차 제조사들은 보안 인력을 확대하고, AI기반의 보안 위협 탐지 등 관련 기술을 발전시켜야 하죠. 더 편리하고 안전한 미래를 만들어 나갈 수 있도록 많은 관심과 응원 부탁 드려요!
자문 및 감수
HL만도 Cybersecurity팀
