차량 안전과 보안 - 통합적 접근 필요
커넥티드 카, 변화된 위험 인식을 요구하다
2016년 09월호 지면기사  / 글│사이먼 버튼(Simon Burton), 마틴 에밀(Martin Emele), ETAS 토마스 볼링거(Thomas Wollinger) 대표, ESCRYPT




자동차 밖에서 내부 IT 시스템에 접근할 수 있는 범위가 점점 넓어지고 있다. 이는 새로운 기회임과 동시에 새로운 위험도 수반하기 때문에 우리는 위험평가 및 보안 아키텍처를 보다 근본적으로 재평가해야 한다. 즉 이제는 안전과 보안이 보다 짜임새 있게 맞물려 돌아가도록 해야한다는 것이다. 이를 위해서는 자동차의 전체 수명주기 동안 모든 구성요소를 아우르는 통합적인 접근방식이 필요하다.

 

중저음의 목소리가 관광명소와 역사적 배경을 설명하고, 지역 술집과 상점의 프로모션 행사를 알려주기도 한다. 자동차안에서 들을 수 있는 온라인 도심투어 서비스다. 광고를 통해 비용을 충당하는 이러한 프로그램의 기초는 바로 커넥티드 기술이다. 센서가 주변 환경을 감지해 얻은 데이터를 자동차의 ECU와 통신 유닛에 전송하는 것이다. 동시에 자동차는 교통통제 센터 및 근처의 다른 자동차와 통신한다.

이와 같은 데이터 통신을 통해 교통흐름이 원활해져 교통사고나 정체는 드문 일이 된다. 신호등은 입력된 자동차 데이터를 바탕으로 실시간 교통량에 맞게 신호 사이클을 조절하기 때문에 도로의 이산화탄소 배출량이 줄어든다. 또한 주차공간을 찾는 차량으로 인해 교통 흐름이 끊기는 일도 사라진다. 운전자와 승객이 정해진 정차구역에서 내리면 웹 기반 시스템이 차량을 주차 가능 공간으로 인도한다. 이러한 자동주차 지원 시스템은 이전 주차 차량의 데이터를 판독해 주차에 필요한 조작 기능이 무엇인지를 미리 계산한다.

완벽한 네트워크에 취약점은 존재할 수 없어 이러한 미래의 모습은 커넥티드 교통이 가진 잠재력의 일부분에 지나지 않는다.

지금까지 외부와 차단됐던 자동차 IT 시스템이 외부 네트워크와 연결된다면 어떠한 새로운 사업 모델이 창출될지 아무도 예측할 수 없다. 운전자가 자발적으로 주행 데이터를 제출한다면 보험료를 낮출 수 있을 뿐만 아니라 엔진, 내비게이션 및 운전자 지원 시스템의 성능 또한 개선할 수 있을 것이다. 그러나 수많은 차량 탑승자의 이동기기 및 애플리케이션과 외부의 데이터 교환, 즉 Carto-X 데이터 교환 기술은 그 개발 단계에서 부터 미지의 새로운 위험을 동반한다. 위험을 최소화하려면 위험 평가 및 보안 아키텍처를 근본적으로 재평가해야 한다.

외부와의 연결이 확대되더라도 우리의 목표는 여전히 내부 보안 확보다. 이동기기를 통해 잠입한 해커나 바이러스가 자동차 및 승객의 안전을 위협하는 일은 어떤 경우에서라도 없어야 하기 때문이다. 또한 운전자는 따로 조치를 취하지 않더라도 권한없는 제3자에 의해 제작된 검증되지 않은 소프트웨어가 자동차에 무단 설치되지 않도록 자동적으로 보호할 수 있어야 한다. 이를 위해서는 보호 기능이 자동차 IT 아키텍처에 필수적으로 포함돼 있어야 한다.

 

전체 수명 주기를 아우르는 위험 분석 및 평가

 

기술의 초점이 변화해야 한다는 사실은 분명하다. 네트워크로 연결된 자동차에서는 외부 공격으로부터 자동차를 방어하는 보안 기능과 비상 시 시스템이 제대로 작동하도록 보장하는 안전 기능이 그 어느 때보다 촘촘하게 맞물려야 한다. 이에 보안 및 안전 전문가는 소프트웨어 및 하드웨어 개발단계가 시작되기 전부터 머리를 맞대고 잠재적 위험을 파악 및 평가해야 한다.

보안 및 안전 전문가는 이러한 공동작업 과정을 통해 잠재적 문제의 발생 가능성 및 결과를 ISO 26262의 ASIL 척도에 따라 판단하는 평가 절차를 적용하고 위험 관리 목표를 설정할 수 있을 것이다. 이와 같은 근본적인 분석 작업을 실시하려면 통합적인 접근방식을 취해야 한다. 즉 자동차에 영구부착된 구성요소뿐 아니라 간헐적 연결을 통해 인터넷으로 데이터를 교환하는 스마트폰, 서비스 진단기기, 서버 및 차량 등을 모두 고려해야 한다.

일단 시스템 상 위험 평가를 완료하고 안전 및 보안 관련 필수 요구사항을 파악했다면 소프트웨어 아키텍처를 설계할 수 있다. 엔지니어들은 초기 단계에서부터 어떠한 데이터가 어떻게 ECU에 도달할 것인지, 누가 특정 데이터를 읽고 변경할 수 있는지, 어떠한 종류의 세부 기능과 테스트로 이어질 것인지를 명확히 해야 한다. 일단 자동차에 장착된 시스템은 복잡한 외부 환경과 상호작용할 가능성에 열려 있다는 점을 연결성이 확대될수록 유념해야 한다.

서비스 센터의 원격 접근 권한이 명확히 정의되고 유입 데이터의 송신자에 대한 인증이 이뤄져야 한다. 또한 암호 데이터는 개발에서 폐기에 이르는 전 과정에 이르는 동안 무단 접근으로부터 보호돼야 한다. 차량의 고유 암호 키가 더 이상 필요하지 않는 경우 보안 관련 정보가 악용되지 않도록 이를 안전하게 삭제하는 과정이 필요하다.

 


 

모든 구성요소의 개괄

 

그 외의 위험 요인으로는 인터넷을 통한 펌웨어 및 소프트웨어 업그레이드(FOTA/SOTA)와 차량 소프트웨어에 관여하는 애플리케이션이 있다. 이러한 요인들이 컨트롤러, 센서 및 액추에이터와 상호작용을 확대할수록 전체 네트워크가 노출되는 위협이 커진다. 우리는 개발자로 하여금 외부에서 자동차 기능을 해킹하도록 함으로써 위협이 얼마나 강력한지를 직접 확인할 수 있었다.

예를 들어 2015년에 미국의 한 엔지니어 그룹은 움직이는 테스트 차량의 브레이크를 활성화시키고 엔진을 멈추는 데 성공했다.
물론 많은 노력을 들여 거둔 성공이기는 하지만, 이 사건은 자동차 제조업체가 외부공격에 충분히 준비되지 않았음을 알려주는 계기가 됐다. 사전

비에는 방화벽 및 게이트웨이를 통한 보호 및 고유 암호 키를 통한 통신보안 등이 포함된다. 보안 키 관리 방식을 택하면 세 가지의 효과를 거둘 수 있다. 모든 자동차를 고유 암호 키로 보호하면 해커 공격이보다 어려워진다. 공격이 이뤄진다 해도 공격대상이 된 차량 한 대에만 한정된다. 뿐만 아니라 인증 요구사항이 알려지지 않은 소프트웨어 및 발송자로부터 자동차를 보호하는 게이트키퍼 기능을 수행할 수 있다.

 

인증된 상대에게만 데이터 교환을 허용

 

미래에는 자동차에 보안 솔루션이 전문적으로 설치됐으며 이 솔루션을 지원하는 보안 데이터 센터가 자격 있는 인력으로 구성됐을 때만 Car-to-X 통신에 참여할 수 있을 것이다. 또한 발송자는 신뢰할 수 있는 서명을 제공해야만 수신자에게 데이터를 전송할 수 있을 것이다. 제조업체와 산업 경계를 뛰어 넘는 키 관리 솔루션이 개발돼 자동차는 데이터 홍수 속에서 적절한 정보만을 걸러내게 될 것이다.

즉 이제 커넥티드 교통 부문의 모든 이해관계자는 의무적으로 보안 솔루션을 마련해야 한다. 그러나 위급상황에서는 안전 솔루션도 필요하다. ISO 26262 표준 등을 충족하는 체계적인 엔지니어링은 공격 혹은 과실에 의한 바이러스 감염 시에도 중요한 차량 기능이 제대로 작동할 수 있도록 한다.

따라서 보안 기능은 나중에 설치된 소프트웨어의 영향을 받지 않고 안정적으로 작동해야 한다. 현재 출시돼 있는 이타스의 RTA-HVR 하이퍼바이저가 이러한 문제를 해결한다. RTA-HVR은 단일 ECU를 완전히 분리된 여러 개의 가상 ECU로 구획해 ECU 기능을 외부 영향으로부터 완벽하게 차단한다.

이를 위해서는 보호 대상인 핵심 기능을 미리 정의해야 한다. 또한 광범위한 경험, 여러 차례 시험 검증된 방법론 및 효율적인 툴이 마련돼 있어야 자동차 내에서 이뤄지는 강력한 ECU 상호작용을 관리할 수 있다. Software-in-the-Loop 및 Hardwarein-the-Loop 테스트 시설, 기능 보안 프로토콜 뿐만 아니라 메모리 접근, 연산 시간 및 전송률을 실시간 감독할 장비도 필요하다.

무엇보다도 이러한 개발 환경에 익숙하고 AUTOSAR 등의 핵심 규범 및 업계 표준에 익숙한 숙련된 인력이 필요하다.

기존 지식의 활용

이타스는 이러한 모든 조건을 갖추고 있다. 이타스의 모듈식 제품 및 서비스 포트폴리오에는 수년 간의 계획, 이행 및 테스트 단계를 거친 임베디드 보안 소프트웨어, 보안 통신을 위한 AUTOSAR 준수 운영 시스템 및 프로토콜, 하드웨어 보안 모듈(HSM) 및 RTA-HVR 하이퍼바이저 등의 툴이 있다.

이제 곧 제조업체는 RTA-HVR을 통해 ECU의 특정 영역을 자체 업데이트 및 업그레이드를 위해 남겨놓을 수 있을 것이다. 이러한 기능은 미래의 연결성 시장에서 보다 확실한 안전 및 보안을 약속한다. 뿐만 아니라 이타스의 자회사인 에스크립트(ESCRYPT)가 제공하는 모듈식 보안 솔루션은 모든 신차의 전체 수명주기 동안 암호 소프트웨어 라이선스, 완벽한 키 관리 및 최고수준의 보안 데이터 센터를 제공한다.

 

경제적인 위험 관리 가능하게 하는 노하우

 

커넥티드 카의 모든 ECU를 완전히 구획하는 것이 불가능한 이유는 바로 비용 때문이다. 따라서 일정 수준의 타협이 필요하지만, 위험 분석 및 평가에 기초할 때만 타협의 범위와 수준을 결정할 수 있다. 이를 위해서는 모든 차량 시스템의 안전 관련 콘셉트에 통합적으로 접근해야 한다. 최악의 경우 특정 기능의 안전 및 보안이 위협에 노출됐다면 정형화된 대응 규칙이 작동해 시스템 차단까지 실행될 수 있을 것이다.

미래의 위협을 미리 알기는 어렵다.
따라서 체계적으로 잘 맞물린 접근방식을 통해 보안과 안전을 확보해야 한다. 커넥티드 카가 알려지지 않은 위험에 대응하기 위한 효과적인 유일한 대안은 적절한 키관리 기술과 보안 시스템 설계를 결합하는 것이다. 위협이 발생할 때 대응하는 것은 이미 늦다. 보안 아키텍처의 근본적인 결함은 업데이트로 고쳐지지 않으며 데이터 전송률이 가진 한계가 있어 성가신 보안 업데이트는 어떤 경우에도 최소한으로 제한돼야 한다.

 

새로운 위험 인식을 바탕으로 다양한 조치 종합적으로 적용

 

커넥티드 카의 등장은 새로운 관점으로 위험에 접근할 것을 요구한다. 자동차 수의 급증과 사용 빈도 증가 및 자동차의 외부 데이터 접속 확대로 데이터 방해 가능성이 높아졌다. 이로 인한 피해를 최소화하려면 개별적으로 작동하던 안전 및 보안 솔루션이 보다 긴밀하게 맞물려 기능해야 한다.
또한 현재 및 미래의 위험으로부터 커넥티드 카를 안정적으로 보호하려면 위험을 자동차 개발 전부터 전체적으로 평가해야 한다. “안전과 보안의 계획적 달성”이 전체 제품 수명주기를 관통하는 핵심 모토가 돼야 할 것이다.  



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP