자동차 보안에 주목해야 하는 이유
방혁준 쿤텍 대표 인터뷰
자동차는 더 이상 엔진과 바퀴 달린 기계가 아닙니다. 수만개의 부품이 연결된 전자 제품에 가깝습니다. 더 빠르고 더 뛰어난 성능의 자동차가 속속 등장하는 가운데, 덩달아 보안의 위험성도 커지고 있습니다. 자동차를 해킹한다? 쉽게 상상이 되지 않습니다. 지난 6월, 자동차 사이버 보안 위험 평가 솔루션 '사이벨리움'의 국내 공급을 시작한 보안 기업 쿤텍의 방혁준 대표를 만나 자동차 보안의 A-Z를 물었습니다.
일반 IT 보안과 자동차 보안의 특성과 차이점이 알고 싶은 이에게 권합니다.
자동차 보안의 중요성과 관련 규제 및 내용이 궁금한 이에게 권합니다.
자동차 보안의 개념을 쉽게 이해하고 싶은 이에게 권합니다.
Q. 일반적인 사이버 보안과 자동차 보안은 무엇이 다른지 궁금하다.
자동차는 기본적으로 임베디드(Embeded)라는 특성이 있다. 이는 표준화되어 있지 않은 시스템이라는 것이다. 일반적인 IT 시스템은 다 체크리스트 기반으로 이미 표준화됐다.
그런데 자동차는 개발할 때마다 이게 달라진다. 개발 서플라이 체인도 복잡하고 통신 네트워크 방식도 다르기 때문에 기존의 보안 프레임워크는 적용할 수 없다.
Q. 자동차는 무엇이 다른지 구체적으로 설명해달라.
자동차는 대표적인 규제 산업 중에 하나로, 시장마다 요구하는 규제가 다르다. 예를 들어, 원도우 OS는 제품 하나만 만들어도 언어만 바꾸면 전 세계에 똑같이 팔 수 있다. 그러나 자동차는 그렇지 않다. 미국, 유럽, 일본, 우리나라 등 각 나라의 기준이 다 다르다.
가장 쉬운 예로 영국은 운전석이 오른쪽에 있다. 규제가 다르니 그 규제에 맞게 자동차도 달라지고 시스템도 제각각이다. 에어백 시스템이 의무인 나라도 있고, 의무가 아닌 나라도 있다. TPMS(타이어 공기압 감지 시스템)가 의무인 나라도 있고, 아닌 나라도 있다. ADAS(첨단 운전자 보조 시스템)이 의무인 나라도 있고, 아닌 나라도 있다.
그러다 보니 자동차 내 소프트웨어 역시 개발할 때마다 각 자동차 모델에 맞춰 달라지게 된다. 이런 표준화되지 않는 복잡성이 결국 자동차 보안 특성으로 연결되는 셈이다. 여기에 통신 네트워크와 서플라이 체인까지 고려하면 그 복잡성을 더 커진다.
운전 중 사고 나기 직전인데 패스워드를 입력할 수 없다.
자동차 보안은 가용성 유지가 중요해
Q. 소프트웨어의 취약점을 막는다는 점에서 비슷하지 않나?
일반적인 IT도 1980년대로 거슬러 올라 가면 보안의 개념이 없었다. 그래서 쉽게 해킹도 가능했던 것이다. 이후에 보안 개념이 정착하고 제품에 보안이 적용되는 데만 20년 이상 걸렸다. 이제야 제품을 공격하기 어렵고 보안성이 좋아진 것이다. 지금의 자동차도 보안이 고려되지 않은 채 개발됐다. 보안 개념을 하려면 설계부터 해야 하는데, 지금까지의 보안과는 다른 차원인 것이다.
또 많은 자동차 제조사들이 보안을 신경 쓰려고 해도, 어떻게 하는지를 알지 못한다. 이런 측면에서 기존에 있던 보안 시장과는 굉장히 다르다. 게다가 자동차의 OS는 다 다르고, 소프트웨어도 다 다르다. 그대로 비교할 수 없다.
Q. 보안에 대한 접근 방식 자체도 다를 것 같다.
보안 최상위 레벨부터 달라진다. 쉽게 말하면 '정보 보호'를 위한 보안체계냐, '사이버 보안'에 대한 보안 체계냐로 나눌 수 있다. 일반적인 IT 보안은 정보보호 관리체계(ISMS)로 기밀성에 초점을 맞춘다.
하지만 자동차는 사이버 보안 관리시스템 (CSMS)에 따라 어떤 상황에서도 차량의 가용성을 안전하게 유지하는 게 중요하다. 운전하다가 해킹 때문에 사고 나기 직전이라 멈춰야 하는데 패스워드를 입력해야 한다면 안되지 않나? 이런 부분이 다르다.
자동차 사이버보안 시장에 대한 기능 분석-2017~2025년(출처: 프로스트앤설리번)Q. 일반적인 해킹 공격은 랜섬웨어를 심어 인질로 삼아 돈을 요구한다. 자동차 해커의 공격 양상은 어떤가?
랜섬웨어를 이용한 OT(Operational Technology) 공격을 받으면, 해당 시설은 바로 불능 상태가 되기 때문에 문제가 된다. 그래서 해커가 인질로 삼아 협박할 수 있다.
그러나 자동차는 또 다르다. 자동차 하루 못 탄다고 해서 큰 일은 아니지 않나? 라디오가 안 나온다고 해서, 또 차량 디스플레이에 이상한 사진만 나와도 큰 문제는 아니다. 운행을 잠깐 멈추거나 업데이트를 하면 된다.
자동차 보안에서의 큰 문제는 운전자로부터 차량의 제어권을 탈취해, 외부에서 차량을 임의 조작하는 것이다. 차량 제어권을 빼앗기면 인명 피해가 날 수 있고, 그 사람뿐만 아니라 그 주변에 많은 걸 파괴할 수 있다. 그게 가장 큰 리스크다. 자동차 개발할 때도 제어권 탈취 이슈는 가장 우선순위가 되어야 한다.
Q. 그렇다면 자동차 제어권이 탈취된 사례가 있었나?
우리가 운전하는 차들이 실질적으로는 기계로 움직이지 않고, 통신으로 움직이고 있다. 이를 이용해 보안 취약성이 드러난 사건이 지프 체로키 리콜 사태다.
당시 지프 체로키는 외부에서 원격으로 침투한 이들에 의해 제어권을 탈취당할 수 있다는 게 드러났다. 단순히 디스플레이와 같은 전자 장치만 조작하는 게 아닌, 변속기와 엔진 조작은 물론 도로 임의 이탈, 주행 중 정지까지 해킹으로 가능했다. 운전자는 당연히 손을 쓸 수 없었다. 결국 해킹 가능한 시스템이 설치된 지프 체로키는 전량 리콜됐다.
와이어드의 지프 체로키 해킹 실험(출처: 와이어드)Q. 어떻게 침투할 수 있나?
엔트리 포인트(entry point)로 분류할 수 있을 것 같다. 자동차에는 인포테인먼트부터 블루투스 와이파이, 차량 하이패스, 내부 TPMS, 리모컨키까지 공격자가 침입해 들어올 수 있는 엔트리 포인트는 많다.
통신 엔트리 포인트로 침입하면 내부 통신 네트워크를 들어간 후, ECU(전자제어장치, Electronic Control Unit)를 장악한다. 해커는 ECU를 컨트롤할 수 있거나, 내부 네트워크를 접속할 수 있어야 공격이 극대화할 수 있다. 하지만 목적은 다 비슷하다. 최종 목적은 차량의 가용성을 파괴해 제어권을 탈취해서 해커 마음대로 운전할 수 있게 하는 것이다.
Q. 이제 침투를 막을 수 있는 방법이 궁금하다. 자동차 보안 방어를 위해 어떤 노력을 하고 있나?
SAE(미국 자동차 공학회)는 자동차 보안 가이드라인인 J3061을 발표했다. 이걸 유럽에서 UNECE(유럽 UN 경제 위원회)가 자동차 보안 관련 규제를 WP29라는 법 수준의 규제로 제정했다.
유럽 경제공동체에 속한 국가는 WP29를 반드시 지켜야 하고, 우리나라와 같이 유럽에 차량을 수출하는 국가 역시 이 규제를 준수해야 한다. 그 후 국제 표준화 작업을 거쳐 'ISO/SAE 21434'로 만들어졌고 미국 역시 동참하고 있다.
환경 규제와 비슷한 구조다. 우리나라에 자동차를 판매하려면 우리나라 도로안전공단의 환경평가 테스트를 통과해 승인을 받아야만 한다.
사이버 보안 역시 이런 테스트를 거쳐야 하고, 이 테스트에 대한 근거 자료를 제출해야 하는데, 어떤 테스트가 이뤄져야 하며 승인에 필요한 데이터는 무엇인지 등이 서술되어 있다. 우리나라의 경우 WP29에 따라 2022년 7월부터 개발 · 생산된 신차는 인증을 받아야만 한다.
방혁준 쿤텍 대표Q. 해당 규제 내용은 무엇이고, 또 무엇을 테스트하나?
이전까지 기업은 보안 개념 없이 자동차를 만들었다. 그래서 보안의 관점에서 제품을 개발할 수 있는 프로세스를 구축해야 한다.
그리고 자사 자동차 제품의 보안 위험 지점을 파악하고, 그걸 위협 분석 및 리스크 평가(TARA) 해야 한다. 클락션이 갑자기 울린다고 해서 위험한 건 아니지만, 자동차를 외부에서 임의 조작할 수 있다면 위험한 것이라는 평가다. 이런 위협 가능 정도에 따라 보안 적용의 차이가 다르고, 각각 위협을 완화하거나 제거할 수 있는 보안 장치들도 달라진다.
그다음 자동차에 대한 테스트는 취약점 점검, 퍼징, 펜 테스트 등 이런 것들을 하도록 되어 있다. 그리고 차량을 출시한 이후에도 새로운 취약점이 계속 나올 수 있다. 이걸 지속적으로 모니터링하도록 정해졌다.
Q. 쿤텍이 공급하는 사이벨리움이 여기에 활용된다고 들었다.
사이벨리움은 멀티 플랫폼 바이너리 분석 도구로, 바이너리를 디지털 자산처럼 복사해서 가지고 있다가, 새로운 취약점이 나오면 바이너리 연관 점검을 통해 자동차 보안 소프트웨어를 빠르게 업데이트할 수 있도록 지원한다.
현재 자동차 기업에게 가장 어려운 점은 보안 모니터링 체계 구축이다. 예를 들어, 같은 '소나타' 차량이라고 해도 미국이냐, 유럽이냐, 한국이냐에 따라, 또 출시 시점에 따라 다르다. 게다가 소나타 한 대에 6~70개의 소프트웨어가 돌아가는 CPU가 있다. 기업은 시중에 나온 차량의 모든 걸 모니터링해야 한다.
사이벨리움 컨포넌트 분석
사이벨리움 컨포넌트 내 위협 분석이를 위해 '사이벨리움'은 해당 소프트웨어를 서버 안에 디지털 트윈으로 만들어 두고, 새로운 보안 취약점이 등장하면 이를 분석해 어떤 차종에 어느 컴포넌트(Component, 독립적 소프트웨어 모듈)가 보안 위협이 있는지 알아낸다.
해당 취약점이 차량 소프트웨어의 바이너리에 위협을 줄지 모르니 머신러닝으로 미리 알아낼 수 있다. 만약 기업의 차종에 보안 위협이 될 경우, 차량 제조사는 그 사이벨리움 분석 결과를 보고 바로 소프트웨어 업데이트하면 되는 것이다.
Q. 바이너리 분석 원리를 설명해달라.
차량에 들어가는 칩의 경우, PC와는 달리 ARM, 르네사스, 인피니언 등 굉장히 다양하다. 그래서 일괄적으로 분석하기가 어렵다. 그래서 사이벨리움은 바이너리를 역분석하는 엔진을 통해 알려진 취약점과 알려지지 않은 취약점을 매칭 할 수 있다. 바이너리 역분석을 통해 동적·정적 분석 모두 가능하다.
Q. 아직 자동차 보안 시장은 크게 주목받지 못하고 있다. 쿤텍이 사이벨리움을 사업화한 특별한 이유가 있나?
미래 가능성을 봤다. UNECE WP29 등 강제 규정은 보안 시장에서 굉장히 중요한 이슈다. 일반적으로 자동차 개발에 18개월 이상 걸린다는 것을 감안하면, 2022년에는 굉장히 이슈가 될 것이다. 참고로, 지금도 상당히 많은 자동차 관련 업체와 기관에서 연락이 오고 있다.
Q. 마지막 질문으로, 향후 자동차 보안 시장에서의 쿤텍의 전략이 궁금하다.
펜테스트(Pentest, 침투 테스트)는 제조사가 아닌, 제3자가 해야 하는데 자동차와 같은 임베디드 시스템을 테스트할 수 있는 곳은 많지 않다. 저희는 펜테스트와 함께, 소프트웨어의 취약점을 점검하는 퍼즈 데스트(Fuzz testing), 그리고 사이벨리움을 묶어 고객사에게 CSMS, WP29에 필요한 인증 서비스를 제공하는 게 전략이다.
