車 보안, 안전과 컴퓨팅 최적화의 문제
에스크립트, CAMP와 美 V2V 보안대책 수립
2013년 07월호 지면기사  /  글│윤 범 진 기자 <bjyun@autoelectronics.co.kr>

자동차는 사실상 바퀴 달린 컴퓨터가 됐다. 이에 따라 해킹이라는 위협이 자동차에서도 큰 이슈가 됐다. 전자화된 자동차는 이에 상응한 혜택을 제공하지만 3G, 4G, 블루투스, 와이파이, USB 등 외부와의 접촉은 자동차를 해킹해 악의를 갖고 조작할 수 있는 여지를 제공하기도 한다. 이같은 보안 문제는 심각하게는 운전자의 안전을 위협할 수도 있다. 세계 유일의 자동차 보안업체 에스크립트(ESCRYPT) 미국지사의 안드레 바이머스커치(Andre Weimerskirch) CEO와 자동차 보안에 대해 이야기를 나눴다. 

 
 
 
에스크립트 안드레 바이머스커치 CEO
Q에스크립트가 세계 유일의 자동차 보안업체인가.
A. 에스크립트는 임베디드 시스템, 예를 들어 자동차 등 이동수단, 컨슈머 디바이스, 반도체, 물류, 의료산업과 정부에 대한 보안 솔루션을 제공하는 회사입니다. 특히, 에스크립트는  자동차에 적용되는 보안 솔루션을 제공하는 세계 유일의 회사입니다. 에스크립트 엔지니어들은 모두 박사 출신입니다. 우리는 2004년 독일에서 운행기록계 조작이 이슈가 되며 자동차 보안 문제가 대두되었을 때 타코미터, 내비게이션 등의 다양한 산학협력 프로젝트를 수행하며 사업을 시작하게 됐습니다.
자동차 보안을 간단히 설명하면, USB를 통해서도 차에는 바이러스가 전파될 수 있는데, 낮은 컴퓨팅 성능의 자동차 ECU에서 최적화된 보안 대책을 수립하는 것입니다.  우리는 그동안 유럽의 카 메이커들과 많은 협업을 해왔고, 북미지역의 OEM과 작업하고 있으며, 이제 일본과 한국에서도 사업을 확장하고 있습니다.
에스크립트는 ETAS의 자회사입니다. 잘 아시겠지만 ETAS는 보쉬의 자회사로 자동차 소프트웨어 부문 세계 최고의 회사 중 하나입니다. ETAS는 소프트웨어와 시스템, 안전 관련 전문가이고, 에스크립트는 ‘보안 구현’에 있어 전문가입니다. 따라서 양사는 자동차 산업과 보안의 경험이란 측면에서 강한 시너지를 낼 수 있습니다. 우리는 ETAS의 소프트웨어와 패키지화해 세일즈 할 수 있게 됐고, ETAS는 종전처럼 소프트웨어만 파는 것이 아니라 보안이 강화된 소프트웨어를 팔 수 있게 됐습니다. 향후 자동차에는 최소한의 보안 수준을 제공할 표준이 요구될 것이고, 이때 ETAS와 에스크립트가 표준 시큐리티 솔루션을 제공하게 될 것이라 생각합니다.

Q. 자동차의 보안은 IT의 보안과 어떻게 다른가.  
A. 우선 IT와 자동차는 보안을 바라보는 관점이 다릅니다. IT는 데이터에 대한 보안이지만 자동차는 안전과 생명을 위한 보안입니다. 노트북이 해킹 당하면 심각하게는 막대한 금전적 손실이 있겠지만, 자동차의 제어 유닛이 해킹 당하면 사람의 목숨까지 위험에 빠뜨릴 수 있습니다.
외부와의 연결이 언제 얼마나 되는지, 또 말씀드렸던 것처럼 퍼포먼스 측면에서도 차이가 납니다. IT의 경우 바이러스가 출현하면 백신 프로그램이 나오고 수시로 업데이트 되지만, 자동차는 모든 차가 텔레매틱스 기능을 갖추고 있는 것은 아니기 때문에 업데이트를 보장할 수 없습니다. 따라서 미리 상황 발생을 예측해 이에 대한 조치를 마련해야 합니다.
PC는 현재 속도가 3 GHz, 듀얼코어를 쓰고 있지만 차는 몇 백 메가의 ECU로 모든 보안 기능을 수행해야 합니다. 따라서 최적화가 매우 중요한 과제입니다. 이런 성능에 보안 기능이 최적화 되지 않은 상태에서 작동된다면 ECU의 기본적인 다른 기능에 문제가 생길 수 있습니다.
 
Q. 보안 제품이란 어떤 것인가. 
A. 제품에는 하드웨어 및 소프트웨어 형태가  있습니다. 우리의 보안 대책은 임베디드 애플리케이션뿐만 아니라, 관련 인프라나 보안 체계와 관련된 산업에 특화된 보안 제품들입니다. 또 컨설팅 서비스도 제공하고 있습니다. 서비스는 보안 평가, 보안 전략과 아키텍처, 소프트웨어 및 하드웨어 커스터마이즈, 인증 지원, PKI와 키 매니지먼트, 애플리케이션과 코드 테스팅 등입니다.
보안 솔루션에서 가장 중요한 것은 어떻게 보안 대책을 수립할 것인지에 대한 디자인 문제입니다. 자동차에 따라 하드웨어나 ECU의 구현에는 각각의 차이점이 있고, 때문에 제품이 고정화될 수 없습니다. 이런 다양성을 고려해 에스크립트의 보안 애플리케이션을 차에 어떻게 적용할 것인지를 고민해야합니다. 기본적으로 자동차의 전자 시스템은 임베디드 시스템이기 때문에 소프트웨어 형태로 들어갑니다만, 이 때에도 BUS에서 컨트롤할 것인가, 각각에 대해 할 것인가, BUS의 중앙 게이트로 컨트롤 할 것인가 등을 OEM의 구현 방식에 따라 달리해야합니다.
보안 기능은 마이크로컨트롤러 자체에도 적용되지만 이것만으로는 안심할 수 없습니다. 마이크로컨트롤러 이외의 부분, 시스템 차원의 보안뿐만 아니라 전체적인 보안 프로세스에 대한 대책이 중요합니다. 컨트롤러나 코드 이상의 향상된 보안이 필요합니다. 제품을 판매하기 전 어떤 모델에 어떤 솔루션을 어떻게 적용할 것인지, 조직이나 보안 프로세스를 어떻게 가져갈 것인지를 고려해야합니다. 예를 들어 인포테인먼트 시스템으로 공격이 들어오면 미들웨어, 마이크로컨트롤러에 바로 영향이 미칠 수 있습니다. 이를 통제하기 위해 미들웨어 형태의 솔루션이 존재하기도 하지만 이것만으로 모든 것을 통제할 수 없기 때문에 개발자나 유저 레벨 등에서 한 번 더 걸러줄 필요가 있습니다.  

 
Q. 인포테인먼트가 최대 취약 도메인인가.
A. 라디오, 점화장치 등 차량 내부에 있는 전자 시스템은 언제나 해커들의 표적이 될 수 있습니다. 그러나 아무래도 외부와 통신하는 거의 유일한 채널이기 때문에 인포테인먼트 부분이 가장 보안에 취약하다고 할 수 있습니다. 차량용 애플리케이션, 인터넷 접속, 원격 조종 서비스 등을 통해 인포테인먼트 시스템에 침입하는 악성 코드가 있을 수 있습니다. 우리의 솔루션은 이처럼 외부와의 통신에 포커스하고 있으며 허가되지 않은 통신을 받아들이지 않도록 하고 있습니다.
워싱턴 대학교와 캘리포니아 대학교 연구팀은 단순히 감염된 CD를 자동차 CD 플레이어에 삽입하는 것만으로도 자동차의 안전 시스템에 문제가 생길 수 있다고 경고합니다. 그러나, 예를 들어 블루링크와 같은 시스템은 USB로 소프트웨어 하나만 인스톨하면 어느 정도의 보안문제가 해결될 수 있습니다.    
사실, 해킹 테스트로 이것이 당장 자동차에 심각한 위협이 되는지는 정확히 판단하기는 힘듭니다. 왜냐하면 해킹을 한 대학생들이 해킹에 대한 지식은 많을지라도 자동차 관련 분야는 잘 모르기 때문입니다. 그러나 차량 해킹이 10~20년 후에는 인터넷에서 무엇을 사서 어떻게 하면 될 수 있다고 퍼질 수도 있습니다. 스마트폰이 1년을 개발해 출시되지만, 차는 5년의 개발 기간과 출시 이후 10년 이상 운행됩니다. 이런 점을 감안할 때 자동차 보안은 지금부터 수립해야 할 것입니다. 

 
Q. 자동차 보안 시장은 어떤 단계에 있나. 
A. 독일의 몇몇 회사들을 예외로 하면 사실상 자동차 보안은 이제 시작입니다. 물론, 시장에는 보안 대책을 강제하는 규제도 없습니다.
ISO 26262 기능안전성 표준에서 리스크나 임팩트의 정량화가 어렵다는 문제로 보안이 배제돼 있기는 하지만, 기능안전성은 물론 V2V 등과 같은 다양한 분야에서 보안은 언제나 중요 논의 대상이 되고 있고 실제 몇몇 모델이 모니터링 되고 있기도 합니다. 그러나 유럽의 트럭 타코미터와 같은 극히 일부분을 제외하면 관련 규제는 없습니다.
자동차 보안시장은 운행기록계의 조작 문제가 시작이라 할 수 있습니다. 2004년 독일의 중고차 시장에서 문제가 됐고, 2007년에는 미국에서도 같은 이슈가 터져 나와 이에 대한 대책이 적용되기 시작했습니다. 한국과 일본도 2011년경부터 같은 이유에서 보안이 이슈가 된 적 있습니다. 이 때 에스크립트도 한국시장에 노크를 했습니다.
유럽에서는 엔진 성능을 올리려고, OEM이 최적화해 세팅한 ECU 값을 조작해 공기 흡입량, 연료 분사량 등을 조정하는 경우가 많습니다. 이럴 때 시큐어 플래시와 같은 솔루션이 있다면 특정 키 값이 없을 경우 ECU 튜닝이 불가능해집니다. 이에 따라 OEM은 튜닝으로 인한 리콜을 걱정할 필요가 없어집니다. 토요타의 급발진 사고가 해킹에 의한 것은 아니지만 리콜은 브랜드의 신뢰도나 이미지에 막대한 타격을 줍니다.
비슷하게 순정품에 대한 대체품, 모조품에 대한 수요가 꽤 있고, 이것이 브레이크 패널 등 크리티컬한 부분일 때 큰 문제가 되기도 합니다. 때문에 다양한 부품에 대한 컴포넌트 아이덴티피케이션 솔루션이 나와 있습니다. 부품이 장착됐을 때 그 부품이 해당 모델에 맞는지, 차에서 쓸 수 있는 것인지에 대한 인증 절차가 마련됩니다. 예를 들어 오디오, 내비게이션 등에 대한 도난사고가 빈번한데, 특정 넘버가 있어 이것이 맞지 않으면 재사용할 수 없게 됩니다. 중요한 ECU에 대해서도 현재 일부에서 컴포넌트 아이덴티피케이션이 적용돼 있습니다. 그러나 OEM이 생산 비용을 고려할 때 이런 기술의 적용은 쉬운 일이 아닙니다.
 
Q. 미국은 어떤가.
A. 에스크립트가 주력하는 시장은 독일과 미국입니다. 보안 솔루션을 제공하기 전 OEM의 상황을 파악하기 위해 컨설팅하고 디자인을 어떻게 할 것인가를 논의합니다. 또 OEM의 요구사항을 반영할 티어1의 보안대책도 진행합니다. 독일 업체들이 자동차 보안에서 가장 앞서 나가고 있지만, 인포테인먼트 시스템 시장이 커지고, 커넥티드 카 프로그램이 적극 추진되고 있는 미국의 보안 노력이 매우 커졌습니다.
예를 들어 우리는 GM과 많은 이야기를 나누고 있고, 미정부의 V2V 커넥티드 카 프로그램의 보안 문제에 있어서도 CAMP의 보안 솔루션 개발 대부분을 담당했습니다. 

 
에스크립트 자동차 사이버 보안 접근법
 
자동차 전자장치는 보안에 있어 포괄적인 접근법을 필요로 한다. 자동차의 사이버 보안은 개발 프로세스를 수반하는 포괄적인 보안 설계를 통해서만 확실히 할 수 있다. 제대로 된 포괄적 접근법에는 개발 및 생산 프로세스에 맞춘 개조뿐 아니라 온보드 차량 네트워크에 대한 보안 콘셉트도 포함된다. 따라서 보안 엔지니어링의 첫 단계에서는 모든 보안 관련 데이터, 적용 가능한 기능적 역할, 인터페이스 등을 고려해 전체 시스템의 모델링 작업이 이뤄진다. 
 
글│에스크립트 (ESCRYPT)
 
최근의 자동차는 다양한 전자 혁신 기술로 구성돼 있다. 복잡한 디지털 네트워크로 이뤄진 자동차는 잠재적으로 상당한 위험요소를 내포하고 있다. 현재 통용되고 있는 최첨단 자동차의 전자장치들은 기술적 결함이나 고장에 충분히 대비할 수 있도록 만들어졌지만, 고의적 조작을 의도해 자동차를 공격하는 사람 또는 악성 소프트웨어의 위협에는 중점을 두고 있지 않다. 이러한 악의적 개입의 범위는(중고 차량의 판매가를 높이기 위한) 단순한 주행기록계 조작에서부터 운행 제어 시스템의 조작, 차량 안전에 관계된 응용 프로그램에 대한 실제 공격에까지 이른다.
2011년, 워싱턴 대학교와 UC 샌디에고 대학교의 합작 연구팀은 양산 차량의 취약성을 입증했다. 연구팀은 원격으로 차량의 안전 기능, 예를 들어 브레이크를 작동시키기 위해, 무선 커뮤니케이션 인터페이스, 진단 포트, 심지어 CD ROM이나 USB와 같은 인터페이스를 이용해 차량 전자장치를 조작하는데 성공했다. 자동차의 컴퓨터 시스템을 해커나 컴퓨터 파괴 소프트웨어로부터 확실히 보호하는 것은 승객의 안전을 위한 것만이 아니다. 이는 운행 제어에 따른 요구사항, 정부 당국 및 비즈니스 사용자 모두의 니즈에 맞춰 제작될 수많은 새로운 자동차 응용 프로그램에 있어서도 새로운 기회이자 필수 전제 조건이 될 것이다. 


 
기존 IT 보안 왜 자동차에 적용할 수 없나 
자동차 환경은 사이버 보안에 특정 요구사항을 부과한다. 이용 가능한 플랫폼은 오로지 낮은 전산 능력, 제한된 메모리, 낮은 통신 대역폭, 낮거나 거의 없는 연결성을 제공할 뿐이다. 하지만 보안 알고리즘은 많은 자원을 요구하며, 전통적인 보안 메커니즘은 서버로의 빈번한 연결을 필요로 한다. 게다가 PC 환경에서의 공격은 거의 대부분 원격으로 이뤄지는 반면, 자동차 환경에서의 공격은 잠재적으로 해당 차량에 대한 물리적 액세스를 가지고 있다(예컨대, 차량의 소유주가 주행기록계를 조작할 경우). 마지막으로, 일반 IT 환경에서의 공격은 최악의 경우 데이터의 손실이라는 결과를 낳지만, 자동차를 목표로 하는 공격은 성공할 경우 차량 탑승자에게 해를 끼치게 된다.
 
포괄적 접근 
자동차 전자장치는 보안에 있어 포괄적인 접근법을 필요로 한다. 자동차의 사이버 보안은 개발 프로세스를 수반하는 포괄적인 보안 설계를 통해서만 확실히 할 수 있다. 제대로 된 포괄적 접근법에는 개발 및 생산 프로세스에 맞춘 개조뿐 아니라 온보드 차량 네트워크에 대한 보안 콘셉트도 포함된다. 따라서 보안 엔지니어링의 첫 단계에서는 모든 보안 관련 데이터, 적용 가능한 기능적 역할, 인터페이스 등을 고려해 전체 시스템의 모델링 작업이 이뤄진다. 포괄적 접근법의 실행 단계는 다음과 같다.
 
· 시스템 모델 창출
· 보안상 목표 규명
· 잠재 위험요소 파악
· 리스크 분석 작성
· 기능상 보안 요구사항 결정
· 보안 아키텍쳐 설계
· 소프트웨어는 물론 가능한 한 하드웨어상의 구체적 보안 요구사항 명시
· 보안 메커니즘 실행
 
자동차 보안의 이용사례는 일반적으로 시큐어 소프트웨어 플래싱(Secure Software Flashing)과 시큐어 진단(Secure Diagnosis)의 두 가지로 나눌 수 있다. 시큐어 소프트웨어 플래싱 기법은 오직 원본 소프트웨어만이 ECU로 플래싱 될 수 있게 하며 소프트웨어 자체에 대한 조작을 불가능하게 한다. 시큐어 진단은 권한을 부여 받은 당사자만이 ECU 구성의 잠금을 풀고 수정을 가할 수 있게 한다. 

 
시큐어 소프트웨어 플래싱
우선, 소프트웨어가 개발된다. 그 과정이 끝나면(1), 프로그램 오브젝트 코드가 보안 센터로 넘어가게 되고(2), 보안 센터는 비밀 키를 이용해 그 오브젝트 코드에 서명을 한다. 그런 다음 그 서명은 다시 백 패스돼 프로그램 오브젝트 코드에 부착된다. 이제 이 코드와 서명 패키지는 데이터베이스에 저장되는데(4), 이 때 데이터베이스는 제어장치의 종류에 따라 다양한 버전을 가질 수 있다. 마지막으로, 이 적절한 프로그램 코드는 제어장치로 다운로드 돼(5) ECU에 저장된 공개 키에 의해 확인된다(6).
에스크립트는 보안센터 CycurKEYS 및 ECU 소프트웨어 CycurLIB를 위한 시스템 솔루션을 제공한다. 에스크립트는 유럽과 미국의 여러 자동차 제조사 및 Tier 1에 시큐어 소프트웨어 플래싱 솔루션을 제공한 바 있다.
 
시큐어 진단 및 액세스
먼저, 보안센터에서 여러 개의 대칭 키를 생성한다. 이 키들은 데이터베이스 서버에 저장된 후(1), 조립라인에서 ECU로 주입된다(2). 일단 자동차가 주행을 시작하고 진단 목적으로 ECU의 잠금이 해제되어야 할 때가 되면, 해당 차량의 ECU와 데이터베이스 서버는 공통의 대칭 키를 활용해 시도-응답(challenge -response) 프로토콜을 실행한다(3). 이 인증 프로토콜이 성공적으로 실행될 경우, 해당 ECU의 잠금이 해제된다.
에스크립트는 독일의 많은 자동차 제조사 및 공급업체를 대상으로 이 두 가지 솔루션 실행에 필요한 지원을 제공한 바 있으며, 최근의 수백만 대 차량이 이 솔루션을 이용하고 있다. 두 가지 솔루션 모두 Seed & Key 메커니즘을 기반으로 기존의 진단 메커니즘을 활용할 수 있도록 맞춤형 설계가 가능하다.  또 두 솔루션 모두 대리점 액세스, OEM 액세스, 디버깅 액세스를 식별하기 위해 공통적으로 아주 세분화된 액세스 레벨을 사용한다.
 
 

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>


  • 100자평 쓰기
  • 로그인



TOP