불붙은 자동차 사이버 보안
티어1, 전문기업 인수 및 협력 등 투자 확대
2016년 07월호 지면기사  / 글│한 상 민 기자 _ han@autoelectronics.co.kr

커넥티드 카 트렌드의 가속화와 화이트 해커들의 해킹 덕분에 자동차 사이버 보안시장이 급속히 열리고 있다. 업계의 보안정책, 기술 수립에 열쇠를 쥐고 있는 사이버 시큐리티 스타트업이 주목받고 있다.

 

자동차 보안이 이슈화된 것은 지난 4~5년 전이다. 그러나 이에 대한 업계의 적극성은 올해와 지난해를 전후로 극명히 대비된다. 업계는 융합이란 산업의 메가트렌드에 따라 자동차 사이버 보안에 대한 통합과 융합, 경험을 크게 기대했지만, 실제 2014년까지 카 메이커와 티어1 서플라이어들의 보안 필요성, 보안 자산에 대한 인식은 부족했고, 이에 따라 시장은 활성화되지 못했다.

그러나 해가 바뀌면서 크게 달라지고 있다. 사이버 보안 관련 FCA의 리콜과 법제도화의 추진뿐만 아니라 올 CES가 보여준 가까운 미래인 V2X, 텔레매틱스 서비스 등 커넥티드 카, 인터넷 카 트렌드가 급진전되고 있기 때문이다. 이와 관련 프로스트앤설리번(Frost & Sullivan)은 오는 2020년까지 고객이 차를 구입하려 할 때 70% 이상이 보안을 중요 고려사항으로 추가할 것이라고 내다보기도 했다.

자동차 산업의 주변에서는 지난 1~2년 간 인텔의 자동차 보안 검토 위원회(ASRB) 설립, 하만의 타워섹, 레드벤드 소프트웨어, 심포니텔레카 인수 등 굵직한 움직임이 있었다. 이스라엘의 스타트업 어거스 사이버 시큐리티는 글로벌 톱2 서플라이어인 마그나는 물론 세계 최대 보안 IT 기업 체크포인트 등과 자동차 보안에 대한 파트너십을 체결했다.

자동차 선진시장의 당국들도 V2X의 추진, 커넥티드 카 트렌드와 함께 자동차의 사이버 보안 대응을 서두르고 있다. 지난해 미국에서는 OEM을 통한 자동차 사이버 보안과 프라이버시 기준 생성을 목표로 하는 ‘자동차 보안 및 프라이버시(Security and Privacy in Your Car Act of 2015)’ 법안이 제출됐고, 최근 유럽의 유럽정보보호기구(ENISA)는 카 메이커를 위한 보안 권고사항 초안 마련과 커넥티드 카 관련 보안 이니셔티브의 전개, 평가를 위해 카 메이커들, 기타 관계사들과 전문 팀을 꾸려 협력하기 시작했다.

한편 사이버 보안사고, 새로운 공격 유형의 증가, 정부 및 업계 관계자들의 보안 우려가 갈수록 심화되면서 OEM과 티어1들도 사이버 보안에 대한 투자와 주변 협력 강도를 높이고 있다. 투자규모는 이미 많게는 조 단위를 넘어섰고, 적게는 10억 원 규모의 단발 프로젝트들을 진행하고 있다.

 

 

 

카 메이커들을 보면 기업별 투자 규모의 차이는 있지만, V2X의 상용화 임박과 함께 여러 지역에서 델파이, 하만, 콘티넨탈, 보쉬, 마그나 등 티어1들, NXP, 인텔 등 반도체 회사들, 에스크립트(ESCRYPT)와 같은 보안 스페셜리스트와 긴밀히 협력하고 있다. 또 독일등 선진국 글로벌 OEM, 우리나라의 현대·기아자동차 등은 보안 스페셜리스트, 그들의 티어와 함께 보안정책, 기술사양을 마련하고 관련 솔루션을 양산 차량에 적용하고 있다.

이외에도, 예를들어 화이트 해커를 고용한 테슬라나 정부, 학계, 기술 기업과 폭넓은 협력에 나선 볼보, 델파이와 같은 티 어 1 과 협력하는 GM, 그리고 알리안츠, 바이에른, BASF와 손잡고 DCSO(Deutsche Cyber-Sicherheitsorganisation)를 설립한 폭스바겐 등과 같이 다양한 접근방식을 통해 V2X, OTA(Over the Air) 서비스 등 커넥티드 카 보안의 초기 대응에 나서고 있다.

프로스트앤설리번에 따르면 특히 V2X는 자동차 보안시장 형성의 기폭제로, 2020년까지 80%의 V2X 필드 테스트가 이들 티어1, 반도체 벤더, 그리고 코다(Cohda Wireless), 마벤(Maben), 아라다(Arada) 등 V2X 전문회사들에 의해 주도되고, 2018년까지 에스크립트와 시큐리티 이노베이션(Security Innovation)과 같은 자동차 보안 전문회사들이 프로젝트 파트너 및 컨설턴트로서 티어1, 반도체 벤더, 그리고 OEM과 긴밀히 협력할 전망이다.

 

엔드 투 엔드 서비스

 

보안에 있어 OEM의 주안점은 확실한 보안정책의 수립이다. 이들은 현재 V2X 필드테스트, 보안 이니셔티브를 전개하면서 시큐리티 이노베이션, 오토이뮨(AutoImmune), 에스크립트, NCC 그룹 등 보안 스페셜리스트들을 통해 맞춤형 보안교육, 전략 컨설팅을 진행하는 한편, 보안 인력 확보에 적극 나서고 있다. 예를 들어 보안 전문가와 관련해 GM은 업계 최초로 인비히클 시스템 방어를 위한 보안책임자로 제프리 매시밀러(Jeffrey Massimilla)를 임명했고 테슬라는 구글의 최고 사이버 보안 전문가를 영입하기도 했다.

한편 티어1은 OEM의 정책과 요구사항을 반영한 기술확보와 엔지니어링에 매진하고 있다. 티어1은 V2X 전개와 함께 소프트웨어 역량과 보안 강화를 위해 소프트웨어 기업 인수, 보안 전문기업과의 파트너십, 보안 전문가 확보에 주력함으로써 보안 스페셜리스트들이 OEM에 대한 컨설팅과 트레이닝을 주도하는 동안 OEM의 실질적인 창구로써 자동차의 엔드 투 엔드 사이버 시큐리티를 커버하는 보안 서비스 제공을 목표로 하고 있다.

예를 들어 하만은 지난 몇년 간 10억 달러(1조 원)를 들여 심포니텔레카, 레드벤드 소프트웨어, 보안 스타트업 타워섹 등을 인수했다. 타워섹의 인수로 하만은 타워섹의 ECU실드(ECUSHIELD)와 TCU실드(TCUSHIELD) 제품을 자사의 5+1 보안 아키텍처에 통합, 사이버 보안 플랫폼과 기술을 강화하고 있다. 마그나는 이스라엘의 어거스와 손잡고 어거스의 IPS(Intrusion Prevention System) 솔루션과 클라우드 기반 모니터링 서비스를 포함해 자사의 모든 오토모티브 일렉트로닉스 시스템과 세이프티 크리티컬 시스템 디자인 전문지식을 고객에게 제공할 방침이다.


 

 

선행개발서 시장경쟁으로

 

이처럼 OEM의 정책수립, 티어1의 기술 확보 등 자동차 보안시장의 핵심 역할은 자동차에 특화된 몇 안 되는 기업들, 스타트업이 맡고 있다. 이들은 보안 솔루션을 제공하기 이전에 OEM의 상황을 파악하기 위한 컨설팅을 진행하고 디자인을 어떻게 할 것 인가를 논의하며, OEM의 요구사항을 반영할 티어1의 보안대책을 진행한다.

물론, 아직까지 제품을 양산 차량에 적용하고 있는 회사는 독일의 에스크립트가 유일하고 대부분 선행개발 단계에 머물고 있지만, 이들이 자동차에서의 경험과 레퍼런스를 확보하는 시점이 되면 OEM과 티어 1의 미래 유즈 케이스 전략과 보안 로드맵의 마련과 함께 2020년까지 2억 2,000만대의 커넥티드 카와 V2X 보급 관련 보안시장 확대로 경쟁은 심화될 전망이다. 2018년부터 이들 기업은 OEM과 티어1의 R&D 투자의 중요 영역에 포함될 것이다.

현재는 에스크립트, 이스라엘의 타워섹, 어거스, 북미의 시큐리티 이노베이션 워크와 같은 회사들이 시장에서 두각을 나타내고 있다. 국가별로는 향후 이스라엘의 많은 스타트업들이 기대되는데, IT 등 사이버 시큐리티 산업에 진출해 있는 회사가 무려 50개사가 넘는다. 우리나라의 경우 크고 작은 보안회사들이 선행개발 단계에 들어갔다.


도화선 화이트 해커

 

커넥티드 카의 증가, 규제 당국과 소비자의 보안 우려와 함께 자동차 사이버 보안의 중요성은 갈수록 커가고 있다. 자동차 임베디드 시스템의 해킹은 일반 PC와 달리 OS나 애플리케이션이 동작하지 않거나 데이터 삭제 정도의 피해가 아니라 최악의 경우 사망에 이르는 등 안전성의 큰 위협이다. 또 연결성과 커넥티드 카의 증대는 자동차의 보안 취약성과 쉬운 공격 지점의 증대를 의미한다. 예를 들어 최근의 차에는 ECU가 차 당 70개 이상 들어가고 카 메이커들은 테슬라 모델S처럼 SOTA, FOTA 서비스, 텔레매틱스 원격 서비스, V2X 기능을 추가하고 있다.

현재 자동차의 최대 취약지점은 ▶USB, OBDⅡ 포트, CAN, 데이터 버스, ECU, 이더넷 등 인비히클과 ▶키팝, WiFi, 블루투스, 디지털방송, 임베디드 모뎀 등 무선통신 부분이다. 이는 해커들이 가장 약한 링크를 목표로 하기 때문이다. 그러나 도로, 충전소, 정비소 등 다양한 지점, 서비스를 차에 불러오기 위해 원거리 외부 네트워크 활용이 증대되고 시스템이 복잡해지면 ▶물리적인 인터페이스, DSRC 통신, 장거리 무선 인터페이스의 물리 인터페이스와 원격접속 ▶V2X, 데이터 스토리지, HD 맵 내비게이션, 인포테인먼트 등 클라우드 서비스 ▶OEM 고유의 플랫폼, 아키텍처 등 디자인 플랫폼 등 해커 타깃은 크게 늘 것이고, 이런 공격 지점의 증대는 결국 조향, 제동과 같은 안전에 민감한 제어계통까지 목표로 하게 될 것이다.

자동차 보안시장의 시작은 화이트 해커들의 공이 크다. 이 윤리적인 해커들은 BMW, 테슬라의 차량을 해킹했고, FCA가 사상 처음 보안 문제로 리콜을 실시하도록 하면서 자동차의 사이버 보안을 수면 위로 떠올렸다. 해커들은 그들이 자동차에 존재하는 전자 시스템, 동글, 네트워크를 해킹할 수 있음을 보여줌으로써 OEM들의 보안 투자를 이끌었다.

케빈 맥카피(Kevin Mahaffey)와 마크 로저스(Marc Rogers)는 이더넷 케이블을 연결, 자동차 제어영역 네트워크를 통해 테슬라 모델S의 인포테인먼트 시스템에 접속해 계기판, 윈도, 시동, 오디오, 핸드 브레이크 등을 자유자재로 통제했다. 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)은 FCA 차량의 하만 U커넥트 인포테인먼트 시스템에 접속해 제동, 스티어링, 윈드실드 와이퍼, 에어컨디셔닝 시스템, 라디오 등 시스템에 접속해 지시를 내렸다. 캘리포니아대학의 학생들은 쉐보레 콜벳 차량의 텔레매틱스 제어 유닛(TCU) C4E 동글을 통해 침입해 윈드실드 와이퍼를 조작하고 저속주행 중인 차량에 제동을 걸기도 했다. 독일운전자협회(ADAC)는 BMW 커넥티드 드라이브를 해킹해 손쉽게 차문을 열었다.



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP