TMAP AUTO 안전하게 달리다
29편 - 티맵모빌리티의 사이버 보안 이야기
오늘은 TMAP AUTO의 사이버보안에 대해 설명드리려고 합니다. 최근 자동차는 움직이는 스마트폰이라고 생각이 드는데요. 시스템을 통해서 영화나 드라마, 뉴스를 시청하기도 하고 독서, 게임까지 가능한 걸 보면 그야말로 '움직이는 스마트 디바이스'라고 해도 과언이 아닙니다. 하지만 이렇게 똑똑해질수록 그만큼 보안도 더 중요하죠. 티맵모빌리티는 여러분이 안심하고 운전할 수 있도록 여러 보안 인증을 획득하고, 빈틈없는 시스템으로 꼼꼼하게 대비하고 있습니다.
이제 본격적으로 TMAP AUTO가 어떤 서비스인지, 그리고 왜 보안이 중요한지 알아볼까요?
왜 보안이 중요할까요?
TMAP AUTO는 모바일 기반 TMAP을 자동차에 최적화한 내비게이션 서비스입니다. 기존 스마트폰 내비게이션과 달리 차량과의 통합성이 강화되어 실시간 교통정보, 정밀한 경로 안내, 목적지 기반의 다양한 부가 서비스 등을 차량 자체 디스플레이를 통해 편리하게 이용할 수 있어요.
이미 BMW, Mercedes-Benz, 현대자동차, 기아, 볼보, 폴스타, 르노코리아 등 다양한 글로벌 브랜드 차량에 탑재되었다 사실! 이제는 차량 내 핵심 내비게이션 솔루션으로 자리 잡고 있답니다.
하지만 이렇게 연결된 시스템이 해킹이나 데이터 유출의 위협에 노출될 가능성이 있다면 어떨까요?
실제로 우리 주변에서 그런 일들이 일어나고 있습니다. 테슬라 해킹 사건을 살펴보면 2020년 Black Hat 컨퍼런스에서 한 보안 연구팀은 테슬라 모델 3의 인포테인먼트 시스템에 관한 취약점을 발표했는데요. 공격자는 아주 간단한 JavaScript 코드 몇 줄로 차량 디스플레이를 먹통으로 만들 수 있다는 사실을 보여줬습니다. 바로 이런 현실적인 위협들이 우리가 사이버보안에 더욱 집중해야 하는 이유라고 볼 수 있겠죠.
이런 공격이 어떻게 가능했을까요? 공격자는 차량 내 웹 브라우저의 동작 방식을 교묘하게 활용했습니다. JavaScript의 'history.pushState()' 함수를 반복 호출하는 코드 몇 줄로, 브라우저의 히스토리 스택을 무한히 쌓아가는 방식이었죠. 실제로 사용된 코드는 아래와 같습니다.
이 코드는 웹페이지를 로드하자마자 브라우저가 히스토리 스택을 과도하게 생성하게 만들고, 결국 메모리를 소모시켜 인포데인먼트 디스플레이가 멈추거나 재부팅되도록 만듭니다. 바로 이런 방식으로 서비스 거부(Denial-of-Service, DoS) 공격이 가능했던 것이죠.
이 취약점은 CVE-2020-10558로 등록되었으며, 2020.4.10 펌웨어 이전 버전의 테슬라 모델 3에서 확인되었습니다. 아래 영상은 이 취약점을 이용해 실제 차량에서 운전 중 공격시현을 하는 내용인데요. 공격자는 간단한 코드로 인포테인먼트 시스템을 멈추게 만들 수 있었고, 이로 인해 운전 중 내비게이션과 미디어 재생, 차량 설정 등 여러 기능이 동시에 마비될 위험이 있었습니다. 특히, 고속 주행 중 갑작스러운 화면 멈춤이나 재부팅이 발생하면 운전자의 혼란을 유발할 수 있어 자칫하면 안전사고로 이어질 가능성도 있습니다. 테슬라는 해당 문제를 빠르게 인지하고, 이후 소프트웨어 업데이트를 통해 보안을 강화했습니다.
이렇게 내가 타는 자동차가 작은 코드 한 줄로도 큰 영향을 받을 수 있다는 사실을 생각하면 놀랍지 않으신가요?
전 세계적으로 이슈였던 2015년 Jeep 해킹 사건을 계기로 차량 사이버보안의 중요성에 대하여 공감하는 분위기가 국제적으로 확산되었고, 2020년에는 차량 사이버보안 규정(UNR 155)과 다양한 보안 표준들이 제정되었습니다. 이러한 요구사항들을 충족하지 못할 경우 일부 국가에서는 차량 판매가 제한될 정도로 엄격한 기준이 적용되고 있어요. 많은 자동차 회사들과 협력사들은 표준에 따라 사이버보안을 적용하기 시작했고, 이제는 업계 전반의 대응 수준 역시 점점 더 정교하고 체계적으로 발전하고 있습니다.
티맵모빌리티도 예외는 아니었죠. 글로벌 완성차 브랜드에 탑재되는 TMAP AUTO는 운전자와 가장 가까이 맞닿아 있는 서비스이자, 어쩌면 사이버 공격에 가장 먼저 노출될 수 있는 대상이기 때문에 이런 보안 표준의 적용 대상에서 벗어날 수 없습니다. 때문에 티맵모빌리티 역시 글로벌 보안 요건을 준수해 단단하고 체계적인 보안 시스템을 구축하고 지속적으로 관리해 나가고 있어요. 실제 위협을 고려한 실전형 보안 체계를 운영하면서, 고객이 안심하고 사용할 수 있는 모빌리티 환경과 서비스를 만들어가고 있습니다.
그렇다면 티맵모빌리티는 어떤 방식으로 사이버보안을 지키고 있을까요?
티맵모빌리티의 사이버보안 활동을 소개합니다.
1. 사이버보안관리체계(CSMS) 인증 획득
티맵모빌리티는 국내 모빌리티 업계 최초로 자동차 사이버보안 국제 표준인 ISO/SAE 21434을 기반으로 하는
CSMS 인증을 획득했어요. 이 표준은 사이버보안관리체계를 구현하는 기준을 제공하는데, 자동차 소프트웨어를 개발할 때 보안 리스크를 어떻게 줄이고 어떤 기준으로 안전성을 확보할 수 있는지를 상세하게 안내해 주는 글로벌 기준이에요. 다시 말해, 해커의 침입이나 예상치 못한 사이버 공격에 대비할 수 있도록 설계 초기 단계부터 체계적인 보안 대책을 마련해야 한다는 거죠. 티맵모빌리티는 CSMS 인증 획득으로 이러한 국제 기준을 충실히 따르고 있다는 점을 인정받았다고 볼 수 있습니다.
2. TISAX 인증으로 글로벌 수준의 정보 보안 구축
티맵모빌리티는 SMS-P 인증뿐 아니라, 독일 자동차 산업 협회(VDA)가 주관하는 TISAX(Trusted Information Security Assessment Exchange) 인증도 획득했어요. TISAX는 자동차 제조사와 부품 공급업체 간에 안전하게 정보를 주고받기 위해 만들어진 글로벌 정보보안 표준입니다. 특히 고객 정보나 개발 관련 데이터처럼 민감한 정보가 오가는 자동차 산업 특성상 이 기준을 만족한다는 건 티맵모빌리티가 국제적인 보안 기준을 충족하고 있단 뜻입니다.
3. Security Test로 실전 검증
아무리 강력한 보안 체계를 갖추고 있어도 지속적으로 검증하지 않으면 보안을 유지하기 어렵겠죠? 티맵모빌리티는 자체적인 사이버보안 검증 기준을 수립하고, 개발라이프사이클에 따라서 다양한 검증 기법을 활용하고 있습니다. 이를 기반으로 글로벌 자동차 보안 전문기업들과 협력해서 Security Test를 정기적으로 수행하고 있어요. 개발부터 운영까지 지속적인 보안 점검을 통해 TMAP AUTO는 개인정보 보호, 주행, 결제 시스템의 안전성을 유지하고, 최신 사이버 위협에 대응할 수 있도록 철저하게 대비하고 있답니다.
티맵모빌리티는 사이버보안을 단순히 '해야 하는 절차'로 여기지 않습니다. 보안은 한 번으로 끝나는 게 아니라 꾸준히 관리하고 개선해 나가야 하는 '지속적인 과정'이기 때문이죠. 그래서 단순한 대응을 넘어 실제 공격 상황까지 고려한 철저한 프로세스를 운영하고 있습니다. 국제 보안 표준을 준수하는 것에서 그치지 않고 주기적인 품질 검증, 실전 모의해킹 테스트 그리고 협력사를 포함한 정보 보안 관리까지 꼼꼼하게 챙기고 있습니다.
TMAP AUTO 더 스마트하고 안전한 모빌리티의 핵심
모빌리티 서비스에서 보안은 단순한 기술적 요소가 아닌 고객의 안전과 직결된 중요한 요소라고 생각합니다. 티맵모빌리티는 앞으로도 사이버보안 강화를 위해 지속적으로 노력할 것이며, 더 안전하고 신뢰할 수 있는 서비스를 제공할 것을 약속드릴게요.
TMAP AUTO와 함께 안전하고 편리한 드라이빙을 즐겨보세요! 감사합니다.
