자동차가 외부 세상과 갈수록 연결성이 높아짐으로써 엔진이나 브레이크 등에 관련된 전자제어 장치로 사이버 공격의 위험성 또한 높아지고 있다. 따라서 모든 안전성 관련 기능들에 대해서 데이터 무결성을 보호해야 한다. 이러한 용도로 사용하도록 고성능 마이크로컨트롤러와 안전성 관련 제품들이 다양하게 등장하고 있다.

자동차가 갈수록 주변 환경과 연결성이 높아짐으로써 운전자들을 위한 다양한 방식의 향상이 가능하게 됐다. 예를 들어서 반자동 또는 완전 자율주행이 가능하게 됐는데, 이에 따라 심각한 교통사고를 예방할 수 있게 됐다. 연결성은 환경에 대한 추가적인 정보를 차에 제공함으로써 운전 동작을 향상시킬 뿐만 아니라 연료 소모를 줄일 수도 있다. 또 자동차로 지속적인 무선접속이 가능해짐으로써 새로운 사업 모델들이 등장하고 있다.

이러한 것으로서 예를 들어 원격 소프트웨어 업데이트는 고비용이 들어가는 리콜을 시행하지 않아도 되고, 또 온라인서비스나 도로 통행료 징수 같은 것도 가능하게 만든다. 그런데 자동차에 대한 이같은 외부적 접근은 무단 조작이나 사이버 공격 같은 위험성 또한 높인다. 따라서 첨단 반도체 솔루션은 도로 상에서 인명과 재산을 보호할 뿐만 아니라 개인 정보를 보호하는 보안 시스템을 제공해야만 한다.

미래에는 C2C(car-to-car)와 C2I(car-to-infrastructure communication)가 도로 상에서 안전성과 효율을 향상시킬 것이다. 예를 들어 운전자에게 전방도로의 이상이나 사고에 대해 미리 알려줄 수 있다.

또 무선 주파수 인터페이스를 통해 원격 진단을 하도록 함으로써 사전적 조치가 필요한 부분에 대한 서비스가 가능하다. 이를 위해서는 이 과정에서 위치와 속도 등과 같은 민감한 데이터를 주고받아야 하고, 이러한 데이터들이 공격받지 않도록 보호해야 한다.
그런데 한 가지 문제는 이 데이터의 소유권자가 누구인가가 아직까지 결정되지 않았다.
이러한 데이터를 개인 정보라고 본다면 관련 데이터 보호 법규에 따라 훨씬 더 엄격한 제한을 받게 될 것이다.

전문적인 보안 요구

최근의 자동차는 컴퓨터 네트워크화 돼가고 있다. 커넥티드 카는 여러 차원에서 다양한 방향으로 통신이 가능하다. 온보드 통신은 자동차 내 계기반, 엔진 제어 유닛, 스티어링이나 제동에 관련된 장치들을 비롯해 다양한 제어장치 간의 정보교환을 가능하게 한다. 외부와의 통신을 사용해 운전자에게 교통체증에 관한 정보나 사고를 예방할 수 있는 정보를 알려줄 수 있다. 클라우드로 접속할 수 있음으로써 현장 소프트웨어 업데이트, 원격진단, 응급호출(eCall), 지불 시스템, 인터넷 서비스, 인포테인먼트, 교통정보, 앱 등과 같은 새로운 서비스들이 가능하다.

그러므로 미래의 커넥티드 카는 다양한 것들이 가능한 통신장치가 돼가는 한편, 조작이 일어날 수 있는 다수의 인터페이스와 게이트웨이를 포함하게 된다. 따라서 자동차내에서 외부 세상과 접촉하는 이들 지점에서 포괄적인 보안 아키텍처가 요구된다. 아직까지 자동차 업계에서는 기능안전성(functional safety)과 정보보안의 두 측면 모두를 고려한 전체론적인 접근법이 나오고 있지 않다. 이에 ISO 26262에 따라 요구되는 기능안전성을 충족할 수 있도록 나와 있는 솔루션들과 함께, 관련 데이터를 보호하기 위한 전문적인 하드웨어 및 소프트웨어가 요구되고 있다.

통신 보안

자동차의 연결성이 높아짐에 따라 자동차에 물리적으로 접촉하지 않고도 원격지에서 공격할 수 있는 가능성이 높아지고 있다. 이때 TPM(Trusted Platform Module)을 사용해 외부와의 통신에 대한 보안을 달성할 수 있다.

예를 들어 인포테인먼트 시스템으로 연결된 통신제어 유닛으로 TPM을 사용할 수 있다. TPM이 제조업체 서버로 보안적으로 접속하고 시스템 무결성을 검사함으로써 이 통신 유닛에 대한 신뢰도를 높일 수 있다. 또, 마찬가지로 TPM을 사용해 소프트웨어 업데이트가 안전하게 이뤄지도록 할 수 있다. 이 작업을 할 때는 키를 노출되지 않도록 보호하는 것이 중요해 TPM이 보안 인증 키 저장을 사용해 키를 보호한다. 뿐만 아니라 TPM은 직불카드 지불 분야에서 다년간 사용되면서 축적한 경험을 바탕으로 보안 표준을 도입할 수 있다는 점에서 유리하다.

온보드 통신 보안

온보드 통신에 관한 보안 솔루션은 다양한 측면에서의 요구를 충족해야 한다. 신뢰성이 뛰어나야 하고, 실시간 성능에 대한 높은 요구를 충족해야 하며, 비용적으로 경제성이 있어야 한다. 또 기존 버스 표준과 호환 가능해야 한다.
온보드 통신 보안을 위해서는 통상적으로 다음과 같은 두 가지 유형의 위협을 막아내야 한다.

- 허가되지 않은 하드웨어가 네트워크내로 유입되지 않도록 해야 한다(무단으로 개조하고자 하는 등의 의도에서).
- 제어 유닛을 무단으로 조작하는 것을 막아야 한다. 이렇게 할 수 있게 되면 공격자가 전자제어 유닛(ECU)에 성공적으로 접근함으로써, 예를 들어 버스를 통해 잘못된 메시지를 보내거나 메시지를 조작할 수 있다. 이러한 공격의 의도는 단순 절도(이모빌라이저 공격)에서부터 탑승자의 인명에 관한 공격에 이르기까지 다양한 형태가 될 수 있다.

인피니언 테크놀로지스의 AURIX™ 제품군 같은 첨단 마이크로컨트롤러는 하드웨어 보안 모듈을 포함함으로써 하드웨어로 고성능 난수 생성기를 사용해 인증 코드를 생성할 수 있다.

모바일 접속을 활용한 eCall 기능

사고가 일어나면 eCall(응급 호출)기능이 구조 서비스로 위치와 여타 중요한 데이터들을 자동으로 전송한다. 유럽연합(EU)에서는 2018년부터 eCall 기능을 의무화할 예정이다. eCall 기능을 도입하기 위해서는 자동차와 외부 세상을 연결하기 위한 인터커넥트 소자로서 SIM(subscriber identification module)을 필요로 한다. 그러므로 SIM은 자동차 산업의 높은 품질 기준을 충족해야 할 뿐만 아니라 모바일 네트워크 사업자의 높은 보안요구를 충족해야 한다.

유연성을 높이고, 예를 들어 해외여행 때 고객 서비스를 향상시키기 위해 자동차 업체가 모바일 통신 사업자를 변경해야할 수 있다. 이렇게 하려면 SIM에 대해 보안 요구가 더더욱 높아지게 된다. 모바일 통신 사업자가 자신들이 구매하지 않아, 이에 따라 곧바로 제어할 수 없는 SIM으로 비밀 액세스 데이터를 전송해야 하기 때문이다. 또 자동차 업체가 채택한 SIM에 대해서 모바일 통신 사업자들이 그 보안성을 신뢰할 수 있게 해야 한다. 바로 이러한 이유에서 국제상호인정(Common Criteria) 규격 등과 같은 독립적 써드파티의 보안 인증을 필요로 한다. 따라서 SIM을 위해서는 GSMA(GSM Association, www.gsma.com)와 ETSI(European Telecommunications Standards Institute, www.etsi.org)의 규격을 충족하는 보안 컨트롤러가 필요하다.

eCall 기능은 사고가 발생했을 때 재빨리 구조가 가능하게 하는 한편, C2C 통신은 안전하고 효율적인 도로교통을 가능하게 한다. 이때는 운전자의 프라이버시 보호와 네트워크 무결성 보호가 중요한 보안상 요구다. 인피니언 테크놀로지스의 SLI 97 제품군과 같은 보안 인증 보안 컨트롤러는 암호화를 통해 효과적인 보호를 달성한다.

신뢰할 수 있는 인증

신뢰할 수 있는 인증은 자동차 보안시스템의 중요한 요소이다. 이런 가장 대표적인 애플리케이션으로는 자동차 도난방지를 위한 핵심 장치로 전자식 이모빌라이저를 들 수 있다. 이 작업을 위해서는 시동 키와 자동차 내의 하나 이상의 전자제어 유닛사이에 인증이 이뤄진다. 또 자동차 내부적으로도 인증을 사용할 수 있다. 예를 들어서 ECU 부품 보호에 인증을 사용함으로써 제조업체가 허용하지 않은 ECU로 교체하려는 것을 알아낼 수 있다.

독일에서 1990년대 후반부터 전자식 이모빌라이저가 널리 보급되면서 자동차 도난 통계 수치가 크게 감소하는 것으로 나타났다. 최근 들어서는 이 추세가 주춤하거나 역전되고 있다. 이것의 원인은 인증 기법이 부분적으로는 고유기술 지향적이고 시대에 뒤떨어짐으로써 적합하지 않게 됐기 때문일 뿐만 아니라 키 저장이 안전하지 않기 때문이다. 따라서 보안 시스템을 자동차 내부적으로 더 심도 있게 통합하는 것이 한 가지 해결책이 될 수 있을 것이다.

HSM(Hardware Security Module)을 통합한 32비트 마이크로컨트롤러 제품들로서 인피니언 테크놀로지스의 AURIX™ 제품군은 바로 이와 같은 요구를 충족하는 제품이다. 고성능 CPU에 암호화 키와 고유 가입자 ID를 저장하기 위한 액세스 보호 메모리를 통합했을 뿐만 아니라 AES-128 같은 효과적인 암호화 기법과 난수 생성을 위한 전용적인 하드웨어를 포함함으로써 그러한 요구들을 충족한다.

안전성을 높이기 위해서는 전자장치가 중요한 역할을 한다. 자동차가 손상되거나 승객이 상해를 입는 것을 막으려면 브레이크나 스티어링 같은 중요한 안전성 장치에 문제가 발생한 것을 재빨리 알아차리고 자율적으로 해결할 수 있어야 한다. 또한 마찬가지로 갈수록 더 중요해지는 것이 정보보안의 문제이다. 자동차가 외부 세상과 갈수록 연결성이 높아짐으로써 엔진이나 브레이크 등에 관련된 전자제어 장치로 사이버공격의 위험성 또한 높아지고 있다. 따라서 모든 안전성 관련 기능들에 대해서 데이터 무결성을 보호해야 한다. 이러한 용도로 사용하도록 고성능 마이크로컨트롤러와 안전성 관련 제품들이 다양하게 등장하고 있다(박스 참조).

커넥티드 카 보안성을 높이기 위한 반도체 제품들

커넥티드 카로 필요한 안전성 기능들을 구현할 때 사용하도록 다양한 첨단 반도체 제품들이 등장하고 있다. 이런 제품들로는 특수한 보안 모듈을 통합한 고성능 마이크로컨트롤러, 전용 보안 컨트롤러, TPM 보안 소자 등이 있다. 이러한 제품으로서 AURIX™ 32비트 마이크로컨트롤러 제품군은 SHE(Security Hardware Extension) 및 HSM(Hardware Security Module) 등의 기능 블록들을 통합하고 있다. HSM은 메시지나 전체적 암호화에 대한 전자서명을 사용해 다른 마이크로컨트롤러들과 안전하게 통신이 이뤄지도록 한다.
또한 HSM을 사용해 마이크로컨트롤러로 보안 부팅을 할 수 있다.

보안 컨트롤러나 TPM 기능을 통합한 컨트롤러 같은 디스크리트 하드웨어 솔루션은 칩 카드 분야에서 검증된 전문성을 자동차 분야로 활용할 수 있게 한다. 그럼으로써 민감한 데이터, 부품, IP를 보호할 수 있다. 또 다양한 유형의 제품들을 제공함으로써 필요한 보안 수준과 비용을 적절히 절충할 수 있도록 한다. 특정기술 솔루션이 아니라 표준화된 기능 블록과 소자 부품들을 사용함으로써 위험성을 최소화할 수 있다.

www.infineon.com/car-security
www.infineon.com/aurix
www.infineon.com/automotive

---------------

AEM_Automotive Electronics Magazine