[모빌리티 인사이트] 당신의 차는 안전한가요? 자동차용 사이버 보안

모빌리티(mobility). 최근 몇 년간 많이 들려오는 단어입니다. 한국어로 해석해보자면, ‘이동성’ 정도가 적당하겠네요. 그런데 말입니다. 어느 순간부터 자동차도 모빌리티, 킥보드도 모빌리티, 심지어 드론도 모빌리티라고 말합니다. 대체 기준이 뭘까요? 무슨 뜻인지조차 헷갈리는데, 아이러니하게도 지난 몇 년간 세계적으로 큰 성공을 거둔 스타 벤처 중 상당수는 모빌리티 기업이었습니다.

‘마치 유행어처럼 여기저기에서 쓰이고 있지만 도대체 무슨 뜻인지, 어디부터 어디까지 모빌리티라고 부르는지 도무지 모르겠다!’라는 분들을 위해 준비했습니다. [모빌리티 인사이트]를 통해 국내외에서 주목받는 다양한 모빌리티 기업과 서비스를 소개합니다. 우리에게 익숙한 차량호출 서비스부터 아직은 낯선 ‘마이크로 모빌리티’, ‘MaaS’, 모빌리티 산업의 꽃이라는 ‘자율 주행’ 등 모빌리티 인사이트가 국내외 사례 취합 분석해 어떤 의미를 담고 있는지 하나씩 알려 드립니다.

총 칼 없는 미래 전쟁, 사이버 전쟁 시대의 군인 ‘해커’

지난해 북한이 우리나라 주요 기관을 해킹한 시도 정황을 포착했다고 합니다. 한국원자력연구원과 항공우주산업(KAI)의 기술 데이터를 훔치려고 했던 것이죠. 북한은 핵무기 개발 자금 확보를 위해 암호화폐, 블록체인 등 금융플랫폼 활용 해킹 기술을 고도화하고 있는 것으로 파악하고 있는데요. 또한, 글로벌 해커 집단 ‘어나니머스(Anonymous)’가 최근 러시아의 우크라이나 침공을 비판하고, 러시아에 사이버 전쟁을 공식 선언하기도 했죠. 어나니머스는 러시아 국방부의 웹사이트를 해킹해 데이터베이스를 유출하고, 크렘린궁 등 정부 주요기관 웹사이트를 공격하기도 했습니다.

IT기술 발전에 따라 모든 사물을 인터넷과 연결시키면서 해킹으로 발생할 수 있는 피해 규모도 지속적으로 증가하고 있습니다. 데이터베이스에 보관하는 정보의 민감도 역시 점차 높아지고 있는 상황이죠. 때문에 중요한 기밀 정보 유출로 발생할 수 있는 피해를 예방하기 위해 많은 국가가 해킹 취약점을 보완하고 있습니다. 막대한 금액을 투자해 보안 기술을 더욱 공고히 다지고 있는거죠.

출처: 필자 제공
출처: 필자 제공

그렇네요. 이제는 핸드폰으로 사물을 컨트롤하고, 다양한 기기를 통해 정보에 접근할 수 있잖아요. 그만큼 보안도 중요해 보입니다.

맞습니다. 이제는 일상에서 IT기술을 담지 않은 물건을 찾기 어려울 정도인데요. 우리는 매일 사용하는 IT기기에 굉장히 민감하고 중요한 개인정보들을 담아두고 있지만, 대부분의 사람이 사이버 보안을 가볍게 생각하는 듯합니다.

그런데 말이죠. 이제는 자동차를 탈 때에도 개인정보 보호를 위해 노력해야 합니다. 자동차에 들어가는 전자부품 수는 계속해서 늘어났고, 인터넷과 연결되는 자동차를 뜻하는 ‘커넥티드카’ 역시 전세계적으로 증가하고 있는데요. 인터넷과 자동차의 연결이 가속화하는 만큼 사이버 공격에 대해 취약해졌습니다. 실제로 자동차를 대상으로 한 해킹 범죄도 급격하게 증가하고 있어요.

자동차 해킹 문제는 단순하게 정보 유출 수준에서 멈추지 않습니다. 단순한 정보탈취를 넘어 자동차를 고의로 조작해 운전조차 할 수 없도록 조작하기 때문이죠. 충돌이나 사고를 유발하고, 잠금장치 기능을 해제하는 등 운전자 및 탑승자의 생명에 직접적으로 위협할 수 있는 심각한 범죄로 인식해야 합니다.

자동차까지 보안을 걱정해야 하네요.

자동차를 대상으로 한 사이버범죄는 나날이 증가해 사회적 문제로 확대하고 있습니다. 2010년부터 2021년까지 발생한 자동차 관련 사이버 보안 범죄를 분석한 결과, 자동차 해킹으로 인한 주요 피해는 데이터 범죄 및 사생활 침해(39.9%), 자동차 절도 및 탈취(27.9%), 자동차 조종 시스템 해킹(24.2%), 서비스/비즈니스 방해(19.2%), 사기(4.2%), 자동차 시스템 조작(4%), 위치 추적(2%), 정책 위반(1.5%) 순으로 나타났습니다. 특히, 대부분의 범죄는 지난 2년간 발생했어요. 기술이 발전할수록 더 많은 범죄가 발생할 것으로 예측됩니다.

지난 10년 간 자동차 해킹으로 인한 주요 피해, 출처: AltasVPN
지난 10년 간 자동차 해킹으로 인한 주요 피해, 출처: AltasVPN

자동차 사이버 보안 손상과 해킹에 이용한 주요 공격 채널은 서버(40.1%)였습니다. 특히, 3번째로 높은 공격벡터를 기록한 전자제어장치/텔레매틱스제어장치(ECU/TCU)는 2020년과 비교해 약 3배가 증가했는데요. 이에 대응할 수 있는 보안 솔루션을 준비할 필요가 있습니다.

커넥티드카 주요 공격 채널, 출처: AltasVPN
커넥티드카 주요 공격 채널, 출처: AltasVPN

앞으로 커넥티드카는 점점 많아질 텐데 그럴수록 범죄도 빠르게 늘어나겠네요. 실제로 발생한 범죄는 어떤 것인가요?

2022년 1월, 19세의 독일 출신 사업가 데이비드 콜롬보(David Colombo)가 커넥티드카의 선도 기업이라 할 수 있는 테슬라의 자동차 25대를 원격으로 해킹해 업계의 주목을 받았습니다. 콜롬보의 인터뷰에 따르면, 테슬라 자동차를 해킹해 문이나 창문을 강제로 열고 닫을 수 있었으며, 키 없이 시동을 걸 수 있었고, 음악을 플레이하거나, 보안 기능 비활성화, 운전자 탑승여부 확인까지 가능했다고 하는데요. 그나마 브레이크와 핸들 조작 등 직접적인 운전 관련 장치는 해킹할 수 없었다지만, 아무래도 불안한 일이죠.

2015년 8월, 자동차 보안 전문가 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)은 오랜 시간 준비해 미국 라스베이거스에서 열린 ‘블랙햇컨퍼런스’에서 지프 체로키 자동차 해킹을 시연했습니다. 시연회에서 시속 130km로 주행 중인 자동차의 에어컨과 라디오를 원격으로 작동시켰고, 와이퍼를 움직이기도 했는데요. 만약 실제로 일반도로에서 운전 중에 이런 일이 운전자가 겪었다면, 굉장히 무섭고 당황스러울 것입니다.

출처: 필자 제공
출처: 필자 제공

자동차 사이버 보안에 대한 고민이 절실해 보이네요. 주행 중 자동차가 마음대로 움직인다니… 아찔합니다. 자동차용 사이버 보안 솔루션을 개발하는 기업이 있을까요?

2024년까지 자동차용 사이버 보안 해킹 사고로 인한 손실 피해 금액은 5,050억 달러(한화 약 608조 4,240억 원)로 예상됩니다. 2021년 발생한 범죄 가운데 84.5%는 원격 해킹 범죄로 해커의 공격 방식은 계속해서 고도화하고 있어요. 글로벌 시장조사업체 ‘MarketsAndMarkets’에 따르면, 글로벌 자동차 사이버 보안 시장 규모는 2021년 20억 달러(한화 약 2조 4,096억 원)에서 2026년 53억 달러(한화 약 6조 3,854억 원)로 연평균 21.3%로 성장할 것으로 전망됩니다. 이렇듯 자동차 사이버 보안 이슈는 산업 내 새로운 화두로 등장했으며, 이미 여러 기업이 자동차 사이버 보안 산업에 관심을 보이고 있습니다.

지난 2016년 설립해 이스라엘에 본사를 두고 있는 자동차 사이버 보안 솔루션 전문 기업 ‘Guard Knox’의 보안 솔루션을 소개하고자 합니다. Guard Knox는 OEM, Tier 1 공급업체이자 애프터마켓에서 차세대 소프트웨어 정의 자동차(SDV, Software Defined Vehicle) 및 서비스 지향 아키텍쳐(SOA, Service Oriented Architecture)를 지원하는 자동차용 사이버 보안 전문 업체입니다. 자동차와 세상을 효율적이고 안전하게 연결한다는 목표를 세우고 자동차에 특화한 소프트웨어 개발 및 유지보수 과정을 단순화하고 간소화하기 위해 노력 중인데요. 자동차의 스마트화 가속화로 Guard Knox는 자동차용 하드웨어 및 소프트웨어 요구에 적합한 솔루션을 제공하고 있습니다.

Guard Knox의 주력 제품군은 서비스 지향 아키텍처(SOA)입니다. SOA는 운전자가 서비스 제공업체와 통신하는 과정에서 미들웨어 솔루션 역할을 하고, 동시에 세부 정보 및 위치 등 개인정보를 보호하죠.

출처: Guard Knox
출처: Guard Knox

전체 SOA 프레임워크를 관리하는 중앙관리파티션(The Central Management Partition)은 소프트웨어 배포, 서비스 관리, 통신 통합, 상태 모니터링 및 관리 등 4가지로 구분할 수 있습니다. 첫 번째, ‘소프트웨어 배포’는 새로운 SW 구성 요소를 서로 다른 ECU(전자제어유닛, Electronic Control Unit)로 가져오는 역할입니다. ECU는 사람으로 치면 ‘머리’에 해당하는 부품으로, 컴퓨터의 중앙처리장치와 비슷한 부품입니다.

두 번째, ‘서비스 관리’는 ECU 내부의 소프트웨어 라이프사이클을 관리합니다. 소프트웨어 컴포넌트(SWC)의 소프트웨어 저장공간 내 배포 위치를 결정하고, 배포와 초기화를 진행하는 오른쪽 파티션으로 전송하죠. 세 번째, ‘통신 통합’은 서로 다른 모든 ECU에 대한 경로를 관리하면서 네트워크 연결을 모니터링해 통신 인프라를 담당하며, SWC 간 통신을 제어합니다. 마지막으로 네 번째, ‘상태 모니터링 및 관리’는 전체 시스템의 정상 작동을 유지하기 위해 시스템에서 발생하는 작업을 모니터링합니다. 장애가 발생하면 복구 작업을 시작하고, 이벤트를 기록하죠.

출처: Guard Knox
출처: Guard Knox

소프트웨어 정의 자동차는 핸들링, 파워트레인 성능, 자율주행 기능 등을 제어하는 기능을 갖춰야 합니다. 새롭고 다양한 애플리케이션의 개발로 최신 E/E 아키텍처는 더 높은 수준의 기능을 제공하기 위해 지속적으로 개발해야 하는데요. 특히, 온라인으로 자동차 소프트웨어를 업데이트하는 OTA 기능 활용 확대에 따라 이로 인한 잠재적 해킹 취약점도 드러나고 있습니다. 자동차 사이버 보안을 확보하고 보다 안전한 네트워크 내부 연결을 구축해야 하는거죠. 완전하게 검증된 업데이트만 통과할 수 있도록 하는 통신 보안 메커니즘의 중요성도 부각하고 있습니다.

우리나라는 자동차 사이버 보안 산업 발전을 위해 어떤 노력을 하고 있나요?

자동차기준조화포럼(WP29 World Forum for Harmonization of Vehicle Regulation)에서 자동차 사이버 보안을 담당하는 ‘사이버 보안전문가기술그룹(CS/OTA Informal Working Group on Cyber Security&OTA)’을 운영하고 있습니다. 2020년 6월, 사이버 보안 관련해 최초의 국제기준인 UN Regulation No.155 사이버 보안 관리 시스템을 채택하고, 2021년 1월 발효했죠. 글로벌 기준에 부응하기 위해 국토교통부도 2020년 12월에 자동차 사이버 보안 가이드라인을 공개하고, 자동차관리법 개정 및 하위 법령 재정을 통해 안전기준을 시행한다는 방침을 발표했습니다.

유럽을 시작으로 글로벌 자동차 산업은 부품 공급사를 선정할 때 엄격한 보안 기준을 요구하기 시작했습니다. 이에 부응하기 위해 국내 기업도 노력하고 있죠. LG전자는 지난 2021년 9월 이스라엘에 위치한 자동차 사이버 보안 전문 기업 ‘사이벨럼(Cybellum)’을 인수하며 사업을 확장하는 등 관련 전장사업의 규모를 확대하고 있습니다. 또한 얼마 전인 2022년 2월 15일, LG전자 VS사업본부와 LG마그나 이파워트레인 사업장이 글로벌 정보보안 인증(TISAX, Trusted Information Security Assessment eXchange)을 획득습니다. TISAX는 독일자동차산업협회가 만든 글로벌 보안 인증 기준으로 정보보안체계, 협력업체 보안체계, 데이터 보호 체계, 시제품 보호 체계 등 4가지 분야에서 보안성을 평가하는데요. 이번 보안 인증을 바탕으로 주행 시 시스템 의존도가 높은 시장을 겨냥해 글로벌 시장 확대 목표를 제시했습니다.

출처: LG전자
출처: LG전자

커넥티드카 확대에 따라 발생할 수 있는 사고를 어떻게 예방해야 하는지, 또 어떤 변화가 있을지 궁금합니다.

컴퓨터, 핸드폰, 태블릿PC 등 전자기기는 언제나 보안이 중요합니다. 그런데, 기술이 발전할수록 자동차에 전자기기가 증가하고 있죠. 운전 중 사고로 이어질 수 있는 만큼 자동차용 사이버 보안 기술 역시 중요합니다. 모든 사물과 인터넷을 연결하는 IoT 기술은 단순하게 데이터 처리에 그치지 않고, 실제로 사물을 조종하고 설정할 수 있잖아요. 때문에 보안에 대해 더욱 신경 쓰고 민감하게 대응해야 합니다.

향후 차세대 지능형 교통시스템(C-ITS) 등 자동차 인프라 기술은 발전하고 확대할 겁니다. 자동차 보안의 역할과 중요성도 더욱 높아질 것이죠. 특히, 주행 중인 자동차를 직접 조종하고, 시스템마저 해킹할 수 있다면 나의 생명 뿐만 아니라 도로 위 보행자, 운전자 등 수많은 사람의 생명도 위험합니다. 우리 모두 경각심을 지니고 자동차용 사이버 보안에 관심을 기울일 필요가 있어 보입니다.

글 / 한국인사이트연구소 김아람 책임연구원

한국인사이트연구소는 시장 환경과 기술, 정책, 소비자 측면에서 체계적인 방법론과 경험을 통해 다양한 민간기업과 공공에 필요한 인사이트를 제공하는 컨설팅 전문 기업이다. 모빌리티 사업의 가능성을 파악하고, 모빌리티 DB 구축 및 고도화, 자동차 서비스 신사업 발굴, 자율주행 자동차 동향 연구 등 모빌리티 산업을 다각도로 연구하고 있다. 지난 2020년 ‘모빌리티 인사이트 데이’라는 전문 컨퍼런스를 개최한 것을 시작으로 모빌리티 전문 리서치를 강화하고 있으며, 모빌리티 분야의 정보를 제공하는 웹사이트 ‘모빌리티 인사이트’를 운영하고 있다.

정리 / IT동아 권명관(tornadosn@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.