자동차 인포테인먼트(Infotainment) 시스템이 등장함에 따라, 자동차는 이제 한 대의 거대한 PC라고 해도 과언이 아니다. 이에 따라 자동차의 데이터 처리 능력이 향상되고 네트워크 연결성이 높아져 자동차 기능 및 엔터테인먼트 측면에서 편의성이 훨씬 더 개선됐다.
하지만 정보보호 관점의 리스크에 대한 우려는 전보다 커진 상황이다. 따라서 기존에는 주로 스마트폰이나 PC에 적용하던 정보보호 개념을 자동차에도 한 단계 더 강화된 수준으로 도입해야 할 것이다. 국내에서 자동차 사이버보안을 위해 어떤 노력을 기울이고 있는지 간단히 살펴보자.
자동차 인포테인먼트
자동차 인포테인먼트는 자동차가 제공하는 IT 정보와 엔터테인먼트를 결합한 시스템으로, 운전자와 승객이 주행 또는 정차 중에 다양한 서비스를 이용할 수 있도록 하는 기술이다.
이 시스템은 GPS 기반 내비게이션부터 음악 및 라디오, 인터넷 스트리밍을 제공하는 멀티미디어, 핸즈프리 통화 또는 음성 제어, 자동차 상태와 센서 정보를 모니터링하고 표시하는 차량정보시스템, 스마트폰 연락처 및 메시지 연동 등을 포함한다. 인포테인먼트가 적용된 자동차는 도로 위의 ‘달리는 스마트폰’이나 다름없는 셈이다.
이처럼 자동차가 스마트폰과 유사한 기능을 제공하는 형태로 진화하면서, 자동차에 적용되는 인터넷 개념도 등장했다. 자동차 인포테인먼트도 이런 개념들 중 하나로, 탑승자에게 다양한 기능과 안전성을 지원한다. 하지만 다른 한편으로는, 자동차 인포테인먼트로 인해 자동차의 연결가능성(Connectivity)이 확장되면서 외부의 공격을 받을 위험도 높다.
전기자동차의 출현과 보안의 중요성
테슬라나 현대자동차 등 글로벌 완성차 업체가 커넥티드카, 자율주행차와 같은 ‘소프트웨어 중심의 자동차(Software Defined Vehicle, SDV)’로의 전환을 가속화하면서 사이버 공격자의 표적이 될 가능성도 있다. 이는 자동차의 전자제어장치가 증가하고, 외부 통신과 연결돼 무선 업데이트(Over-the-air programming, OTA)되면서 차량에 접근 가능한 방식이 늘어났기 때문이다.
특히 자율주행차가 수집하는 데이터의 상당 부분이 개인정보에 해당돼 그 중요성이 크다.
자동차 자율주행을 위해 인지, 판단, 제어에 사용될 각종 센서와 카메라의 성능이 고도화되면서 처리해야 할 데이터의 양이 급격하게 늘었고 이들 데이터를 빠르게 처리하기 위한 기존의 전자제어유닛(Electronic Control Unit, ECU)은 CPU와 GPU를 기반으로 업그레이드됐으며, CAN(Controller Area Network) 프로토콜은 이더넷 기반으로 변화하고 있다.
따라서 자동차에는 스마트폰 및 PC보다 더 강력한 보안이 적용돼야 한다.
유엔 유럽경제위원회(UNECE)가 제정한 사이버보안 관련 및 사이버 보안 관리 시스템에 대한 규제 제 155조(UN Regulation No.155: Cyber Security Management System)와 소프트웨어 업데이트 관리 시스템에 관한 규제 제 156조(UN Regulation No.156: Software Update Management System)를 비롯해 ISO/SAE 21434에서 만든 자동차 네트워크 연결과 개인정보가 처리되는 아이템 또는 컴포넌트에 대한 사이버보안 관리 체계(Cyber Security Management System, CSMS) 구축 등이 대표적인 사례다.
UNECE의 국제 자동차기준 회의체는 지난 2021년부터 사이버보안 국제기준을 채택하고 있다. 현재는 UNECE 협약국에서 신차를 판매하려면 CSMS 인증을 받아야 한다. 내년 7월부터는 인증 기준이 모든 차종에 적용된다.
우리나라의 경우
우리나라에서도 국토교통부(이하 국토부)가 한국교통안전공단과 함께 가이드라인을 제작해 발표했다.
이 가이드라인은 의무가 아닌 권고 수준에 불과하지만, 자동차 사이버보안의 유일한 기준이자 세계 기준인 ‘UN 규제 제155회’를 바탕으로 마련됐기 때문에 향후 제정될 국내 기준에 대비해 제조사들의 권고 사항과 승인ᆞ시험 기관 등의 역할을 제시하고 있다.
또한, 정부는 이 가이드라인을 기반으로 자동차 사이버보안센터 설립도 추진 중이다.
자동차 사이버보안 가이드라인은 자동차 제조업체와 자동차 보안전담기관 등에 건고되는 사항을 규정하고 있으며, 자동차 라이프사이클에 참여하는 자동차 부품업체, 서비스 제공업체, 협력업체 등도 참고할 만한 내용을 포함한다. 특히 전기ᆞ전자적 설계 요소가 존재하는 모든 자동차는 사이버 공격 대상이 될 수 있어 보안에 유의해야 한다. 이 외에, 자율주행차 및 통신 연결 기능을 탑재한 자동차도 보안이 필수이다.
작년 12월, 정동만 국민의힘 의원이 사이버보안 및 소프트웨어 업데이트 관리 체계 마련을 골자로 한 자동차관리법 일부개정법률안을 발의했지만, 여전히 국토교통위원회에서 계류 중에 있다.
국회에서는 연내 법안 개정을 목표로 추진하겠다는 입장이다. 아울러, 국토부는 법 개정에 발맞춰 내년 경기도 화성에 완공 예정인 사이버보안센터가 사이버보안과 소프트웨어 업데이트 관련 인증, 데이터 관리 업무를 담당할 것이라고 밝혔다.
자동차 보안 시장에 합류한 안랩
안랩은 작년 말부터 자동차 보안 시장에 적극적으로 참여하고 있다. 작년 12월, 자동차 보안 및 소프트웨어 전문기업 페스카로(FESCARO)와 ‘자동차 사이버보안 분야 협력을 위한 전략적 제휴 협약(MOU)’을 체결했다.
2016년 설립된 페스카로는 자동차 전자제어장치(Electronic Control Unit, ECU) 개발자와 화이트해커 출신의 보안 연구원들로 구성된 미래차 소프트웨어 전문기업이다. 페스카로는 ▲자동차 사이버보안 ▲보안 게이트웨이 제어기 ▲V2X(Vehicle to Everything) 보안 ▲SDV(Software Defined Vehicle) 솔루션 등 자동차 환경에 특화된 소프트웨어를 공급한다.
안랩은 페스카로와의 MOU를 통해 차량 내 소프트웨어 도입 증가 및 내외부 통신 확대 등에 따른 자동차 보안 위협 증가에 공동으로 대응한다는 방침이다. 안랩과 페스카로는 ▲자동차 내부 통신 및 전자제어장치 보안 사업 ▲자율주행/자율협력주행 분야 보안 사업 ▲자동차 분야 외 기타 IoT(Internet of Things, 사물인터넷) 및 IIoT(Industrial Internet of Things, 산업용 사물인터넷) 분야 보안 사업 등에서 협력한다.
양사는 안랩의 IT·OT 분야 통합 보안 전문성과 페스카로의 자동차 보안 및 소프트웨어 개발 역량 등 각 업체가 보유한 역량과 자원을 결합해 모빌리티 융합보안 분야 연구와 사업기회 발굴을 진행하고 있다.
이를 위해 안랩은 엔드포인트 및 네트워크 보안 위협 대응 기술, 보안 컨설팅 및 보안관제 서비스 등 보안 전문성과 위협 대응 노하우를 페스카로에 제공한다.
페스카로는 차량 내외부와 통신하는 각종 전자제어장치와 시스템 등을 보호하는 자동차 보안 및 소프트웨어 전문 기술을 안랩과 공유할 예정이다.
출처 : AhnLab