안녕하세요, HL만도 SW Beacon Lab에서 차량 사이버보안을 연구하고 있는 조현재 연구원입니다.
최근 차량 산업은 단순한 기계적 운송 수단을 넘어 첨단 전자 시스템과 소프트웨어가 통합된 복합 네트워크 시스템으로 진화하고 있습니다. 무선통신과 인터넷 등 외부 네트워크 결합이 가속화되고 자율주행, 텔레매틱스 등의 혁신 기능이 도입됨에 따라 사용자 편의성은 크게 향상되었습니다.
특히 서비스 센터를 직접 방문하지 않고도 차량의 성능 개선과 오류 수정을 실시간으로 수행하는 OTA(Over-The-Air) 기술의 보편화는 모빌리티 라이프의 일대 혁신을 가져왔습니다. 하지만 무선으로 차량의 제어 장치(ECU)에 직접 접근하여 펌웨어를 수정할 수 있는 커넥티비티 채널이 상시 열려있다는 점은, 역설적이게도 해커가 원격으로 침투할 수 있는 가장 치명적인 무선 공격 경로(Attack Vector)이자 공격 표면(Attack Surface)의 확대를 불러왔습니다. 이처럼 편리함 뒤에 숨은 새로운 보안 위협에 대응하기 위해, 이번 엔지니어 노트에서는 기하급수적으로 늘어나는 사이버보안 위협 속에서 AI와 키워드 연관성 분석을 통해 취약점 모니터링을 자동화하고 막대한 리소스를 절감한 시스템 설계 과정을 공유하고자 합니다.
쏟아지는 취약점, 수동 모니터링의 한계
전 세계적으로 소프트웨어 취약점(CVE, Common Vulnerabilities and Exposures)은 폭발적으로 증가하고 있습니다. 2023년 약 2.9만 건이었던 등록 건수는 2024년 3.7만 건을 넘어서며 매년 기록을 경신 중입니다. 글로벌 자동차 산업은 이를 관리하기 위해 UN R155 규제*와 ISO/SAE 21434 표준*을 제정하여, 차량의 전 생명주기에 걸친 ‘지속적인 보안 활동’을 의무화하고 있습니다.
* UN R155 규제 : 자동차 제조사가 사이버보안 관리체계(CSMS)를 갖추어야만 차량 판매 허가를 받을 수 있도록 규정한 국제 법규
* ISO/SAE 21434 표준 : 차량의 설계부터 폐기까지 전 과정에서 사이버보안을 확보하기 위한 국제 표준 가이드라인
매년 쏟아지는 방대한 CVE 데이터 속에서 특정 차량 아키텍처에 유효한 취약점만을 선별해내는 것은 매우 정교한 작업입니다. 특히 외부 메타데이터가 풍부한 오픈소스와 달리, 사내 전용 코드베이스는 참조할 수 있는 레퍼런스가 극히 제한적입니다. 결국 숙련된 전문가가 수작업으로 연관성을 검토하고 보안 이벤트로 ‘승격(Triage)’시키는 방식에 의존할 수밖에 없었으며, 이는 인적∙물적 자원의 효율성을 저해하는 주요 원인이 되었습니다.
3계층 아키텍처 기반의 모니터링 자동화 설계
이에 기존 수동 분석의 한계를 극복하기 위해 데이터 수집층(Data Acquisition Layer), 처리층(Processing Layer), 출력층(Presentation Layer)으로 구성된 3계층 구조의 취약점 모니터링 자동화 시스템을 설계했습니다.
- 데이터 수집층 (Data Acquisition Layer): CVE 공식 GitHub 리포지토리(CVElistV5)로부터 실시간 취약점 데이터를 확보합니다. 도메인 전문가의 자문을 바탕으로 차량 전장 분야와 밀접한 173개의 트리거 키워드를 정의하고, 이를 Vehicle Level, SW/HW Product Level, MCU Level, Protocol, Cryptography 등 5개 카테고리로 분류했습니다. 각 키워드는 자사 시스템과의 연관성 여부를 ‘O/X’ 형태로 사전 라벨링하여 자동 판정을 위한 지시 함수(Indicator Function)로 활용합니다.
- 데이터 처리층 (Processing Layer): 라벨링된 지시 함수의 논리곱(AND) 또는 논리합(OR) 연산을 통해 해당 취약점과 자사 환경 간의 연관성을 자동 판정합니다. 연관성이 확인될 경우, Google Gemini 기반의 대규모 언어 모델(LLM) API를 호출하여 해당 취약점에 대한 약점 식별 및 위협-완화(Threat-Mitigation) 매핑 정보를 실시간으로 생성합니다.
- 데이터 출력층 (Presentation Layer): Windows 기반 대시보드인 'M-CIS'를 통해 실시간 수집 목록, 연관성 판정 결과, 자동 생성된 매핑 정보를 직관적으로 시각화합니다. 이를 통해 보안 담당자는 방대한 데이터 속에서 핵심 정보를 즉각적으로 파악하고 신속한 대응 의사결정을 내릴 수 있습니다.
LLM 도입을 통한 약점 식별의 일관성 확보
ISO/SAE 21434 표준은 식별된 사이버보안 이벤트에 대해 약점(Weakness) 식별 절차를 거쳐 그 근본 원인을 규명하도록 규정하고 있습니다. 하지만 표준(제3.1.40조)에서 정의하는 약점의 개념이 상당히 포괄적이라는 점이 늘 걸림돌이었습니다. 분석자의 주관에 따라 해석의 차이가 발생하고, 이는 곧 평가의 객관성과 일관성을 저해하는 치명적인 문제로 이어지기 때문입니다.
저희가 설계한 LLM API 기반의 자동 매핑 프레임워크는 이러한 난제를 획기적으로 해결했습니다. LLM 프롬프트에 구체적인 출력 형식과 가이드라인을 명시함으로써, 난해하고 복잡한 취약점 설명문으로부터 일관성 있는 약점 식별 및 ‘위협-완화(Treat-Mitigation)’ 매핑을 자동 수행할 수 있는 체계를 구축했습니다. 이는 분석자 개인의 편차를 지우고, 높은 정확도의 보안 진단 결과를 실시간으로 확보하는 기반이 되었습니다.
98.5%의 리소스 절감 성과와 향후 과제
자동화 시스템 도입의 성과는 기대 이상으로 압도적이었습니다. 기존 수작업 방식에서는 숙련된 전문가 한 명이 연간 약 800시간이라는 막대한 시간을 취약점 분석에만 쏟아야 했습니다. 반면, 이번 자동화 시스템은 키워드 연관성 판정에서 93%, LLM 기반 매핑에서 89%라는 고무적인 정확도를 기록했습니다.
그 결과, 최종 검토 및 예외 처리에 투입되는 시간은 연간 단 12시간으로 줄어들었습니다. 기존 대비 무려 98.5%에 달하는 인력 리소스 절감 효과를 입증한 것입니다. 이러한 혁신은 사이버보안 담당자를 소모적인 반복 업무에서 해방시켜, 보다 전략적이고 심층적인 보안 사고 대응에 집중할 수 있는 환경을 선사합니다. HL만도는 앞으로도 취약점 스캐닝 상용 도구와의 연동, 라벨링 체계의 정교화, 그리고 LLM 앙상블(Ensemble) 적용 등을 통해 시스템의 신뢰성과 커버리지를 지속적으로 고도화해 나갈 것입니다.
