연결된 자동차 시대의 조건 ‘보안’

글│빌 볼트(Bill Boldt), 사업개발 매니저, BlackBerry
2017년 11월호 지면기사

차량 내 전자장치의 급격한 증가와 연결성으로 인해 안전성 문제와 더불어 외부 해킹에 노출될 가능성도 그만큼 커졌다. 특히 운전자가 사람이 아닌 컴퓨터인 경우, 해킹은 더 큰 사고를 부를 수 있다. 이러한 문제의식이 자동차 보안 시장을 강하게 견인하고 있다.

임베디드 시스템, 특히 자동차가 통신과 연결되면서 가장 먼저 생각해야할 것은 보안이다. 커넥티드 차량의 경우, 최근까지 보안은 기껏해야 마지막 고려 대상에 불과했다. 다행히 상황이 바뀌고 있다. 자동차가 커넥티드 및 자율주행으로 진화함에 따라 소프트웨어에 의해 정의되고 있어 보안이 중요해지고 있다.
 

사업가 겸 소프트웨어 엔지니어인 마크 안드레센(Marc Andreessen)은 “소프트웨어가 세계를 삼키고 있다.”고 말했다. 그 말이 사실이라면, 다음 차례는 자동차가 될 것이다. 소프트웨어는 이미 자동차 제조회사의 경쟁 기반이 되고 있다. 통계에 따르면, 소프트웨어가 자동차 제조회사의 수익성을 좌우할 주요 동인이 될 것이다.
 

차량용 소프트웨어는 자율주행, 연결성, 기타 혁신들로 인해 코드 라인이 정교한 플라이 바이 와이어(fly-by-wire) 방식의 제트 전투기보다 복잡해지고 있다. 연결성과 코드 라인 수가 증가하면서 자동차는 해킹에 더욱 취약해지고 안전문제가 제기되고 있다.


실제로 업계는 지난 몇 년 동안 세간의 이목을 끌만한 몇 번의 경고를 받았다. 대표적인 사례가 찰리 밀러 박사와 크리스 발라섹 박사에 의한 지프 체로키의 원격 해킹이다. 차량용 버스 및 ECU의 해킹은 강력한 암호 보안(cryptographic security)이 시급하다는 것을 분명히 보여줬다. 이는 점차 소프트웨어 기반의 커넥티드 차량(또는 스마트 하이웨이 인프라)으로 진화하면서 강력한 암호 보안 없이는 안전도 없다는 것을 말해주고 있다. 보안은 특정 프로세서에 이르기까지 새로운 자동차 설계를 위한 최소한의 요구사항이 될 것이다. DNA가 생명체의 본질인 것처럼 보안 또한 자동차 시스템 및 서브시스템의 본질이 되야한다.


불안정성은 법적 책임을 의미

자동차 보안 시장은 자동차의 제어 시스템(CAN 버스를 통해 작동하는 ECU 등)이 불안전하기 때문에, 자동차 제조회사가 엄청난 법적 책임을 지게 될 것이라는 사실에 직면해 있다. 이러한 책임은 공격자보다 더 진보된 기술로만 해결할 수 있다. 세간의 이목을 끌만한 해킹, 자동차 제조회사들의 충분한 자금력, 그리고 ‘복권 당첨’과 같은 소송의 특성 때문에 안전한 운송 수단을 위한 경쟁이 시작됐지만, 자동차 제조회사들은 아직 뒤따라가는 입장에 불과하다.
 

하지만 머지않아 석면 중독 광고가 불안전한 자동차 시스템으로 인한 상해 광고로 대체될 것이다. 사람이 운전을 하는 자동차에서는 사람에게 책임이 있겠지만, 소프트웨어 시스템에 의해 구동되는 자동차는 자동차 제조회사가 책임질 가능성이 높다.

공공 안전은 자동차 해킹과 관련이 있기 때문에 특정 암호 보안은 법에 의해 강제될 것이다. 구체적인 내용이 무엇이 될지는 아직 명확하지 않다. 오늘날 자동차 보안에 대한 법적 관심의 가장 두드러진 예는 ‘Markey Car Security Report’다. 연방 정부에서 법률을 제정하려는 움직임을 보이면서 자동차 업계는 대응이 시급해졌다. 그러나 기술적인 해결책이 표준화되거나 입법화되기 전에 자동차 보안의 의미를 이해하는 것이 중요하다.
 

모바일 컴퓨팅 플랫폼


커넥티드 자율주행 자동차는 정교한 네트워크 컴퓨팅 플랫폼으로 진화하고 있으며, 센서 융합 및 액추에이터와 통합되고 점차 인공지능으로 제어될 것이다. 예상은 이미 현실화되고 있다.
 

자동차는 진화하고 있는 통신 버스를 통해 신호를 송수신하는 광범위한 전자제어장치(ECU)가 조화롭고 유기적인 방식으로 작동하는 하이브리드 기계-전기적 제어 시스템이다. ECU는 점점 더 정교하고 복잡한 소프트웨어로 제어되고 있다. 그러나 연결된 네트워크 차량이 안전하기 위해서는 소프트웨어와 하드웨어가 대단히 안전해야 한다.
 

즉 다단계의 강력한 암호 보안 메커니즘을 구축해야한다. 암호 보안은 뱅킹 시스템, 스마트카드, 이동통신 인프라, 보안 웹사이트를 보호하는 데 사용되는 수학적 알고리즘, 메소드, 프로토콜, 암호 키 및 인증서를 차량(또한 생산 시스템)에 맞게 설계해야한다는 것을 의미한다. 이 방법론은 외부 세계로부터 센서, 액추에이터, ECU, 통신 버스, ECU 액세스 포인트, 게이트웨이를 보호하는 데 사용된다.
 

오늘날 통신 버스와 ECU는 안전하지 않으며 해커가 악의적인 메시지를 삽입해 차량을 잠재적으로 안전하지 않게 만들 수 있다. 보안 없이 안전한 커넥티드 자율주행 차량을 구현할 수 없다. 즉 안전하지 않다는 것은 커넥티드 자율주행 자동차 산업의 미래가 없다는 것을 의미한다. 자율주행 차량이 차세대 혁신이라면 ECU, 게이트웨이, 도메인/에어리어 컨트롤러 및 제조 시스템을 위한 강력한 자동차 보안 아키텍처가 그 혁신을 가능하게 할 것이다. 따라서 강력한 암호 보안이 미래 자동차 산업의 필수조건이라는 주장은 과장이 아니다.
 

ECU와 ECU를 연결하는 통신 버스는 안전해야하기 때문에, ECU는 자동차 보안의 핵심이다. 전송된 신호 또는 메시지가 인증된 발신자가 보낸 메시지인지, 또는 손상된 메시지인지(즉 데이터 무결성을 상실한 경우) 알 수 있는 방법은 없다. 이제는 달라져야 한다. 모든 자동차 제조업체, ECU 생산업체, 반도체 업체들은 이를 알고 있으며 해결방안을 강구하고 있다. 그러나 표준이 없다면 이러한 노력은 단편적일 수 있다.
 

ECU는 파워트레인을 비롯해 좌석, 미러, 창문, 멀티미디어 시스템, 브레이크 시스템, 안전 시스템(에어백 등), 첨단 주행 지원 메커니즘, 센서/액추에이터 플랫폼 등과 같은 광범위한 시스템을 구동하는 작은 컴퓨터다. ECU는 원격 시스템을 제어하기 때문에, CAN(Control Area Network), LIN, FlexRay, MOST 등과 같은 다양한 유형의 버스를 통해 연결된다. 결국 자동차가 더 많은 데이터를 수집하고 처리할 때, 이더넷과 같은 PC에서 사용되는 높은 대역폭의 네트워크가 널리 채택될 것이다. 이러한 변화가 이미 시작됐다.
 

보안의 경우, 차량 네트워크의 컴퓨팅 노드 수가 증가하면 이러한 노드를 공격할 수 있는 방법도 기하급수적으로 증가한다. 일부 전문가들은 노드 수의 4제곱배가 될 것이라고 한다.
 

보안 ECU와 다른 프로세서를 위한 자동차 암호화 표준 및 아키텍처는 아직 표준화되지 않았다. OEM, 티어 1, 티어 2 반도체 업체들은 자동차와 공장의 보안 및 업데이트에 대한 공통된 표준에 합의하지 않았지만, 현재 제공할 수 없는 종합적인 솔루션을 찾고 있다. 유럽연합(EU)의 EVITA, 독일 완성차 업체 5개사를 중심으로 한 컨소시엄의 SHE(Secure Hardware Extension) 등 과거의 표준화 활동은 자동차 생태계의 주요 당사자들에 의한 거의 10년간의 노력에도 불구하고 아직 초기 단계에 머물러 있다. 이것이 의미하는 바는 자동차 보안과 관련해 여전히 겉돌고 있다는 것이다. 현재 스타트업, 기존의 컴퓨터 보안 회사, 네트워크 회사, 경영 컨설턴트, IP 기업, 이동통신사, OEM, 티어 1/2 등이 다양한 제안을 하고 있다.
 

창과 방패로 비유되는 디지털 보안의 특성과 커넥티드 자율주행 기술의 발전 가속화를 감안할 때, 암호의 진화와 유출은 늘 반복될 것이므로 아키텍처를 정의하고 표준화하는 작업을 어렵게 만든다. 미지의 세계에 적응하는 능력은 모든 보안 솔루션에 내재되어야 한다. 하지만 그 점을 강요할 수는 없다.
 

자동차 보안 원리

불확실성과 변화하는 시장 역동성에도 불구하고, 일부 자동차 보안 원칙이 정립되고 있다.
 

- 자동차 보안은 반도체 프로세서에서 시작된다. 이러한 프로세서는 보안 장비 및 프로세스에 의해 주입되는 개인키를 이용해 개인화해야 한다. 미국 보안회사인 써티콤(Certicom)의 자산관리시스템은 이 작업을 수행하는 데 사용되는 장비의 예이다.

- 다음 단계는 운영체제(OS)가 안전한지 확인하는 것이다. 예를 들어 블랙베리(BlackBerry) QNX SDP 7.0 OS의 마이크로커널 기반 아키텍처는 중요한 OS 구성요소를 자체 보호 메모리 파티션으로 분리하고, 스레드를 일시적으로 분리하며, 암호화된 파일 시스템을 사용하고, 다중 정책 기반의 보안 기능을 제공하며, 공격 대상을 줄이기 위해 네트워크 보안을 제공한다.

- 여러 단계의 임계 안전성(safety criticality)을 관리해야 한다. 예를 들어 BlackBerry QNX true Type 1 하이퍼바이저는 가상 기능 모듈들을 서로 분리하고 보안 계층과 안전 계층을 제공함으로써 안전이 필수적이지 않은 기능과 안전이 중요한 기능을 분리한다.

- ECU와 모듈에는 다른 모듈이나 다른 차량 및 인프라(V2X)를 인증하는 데 사용할 수 있는 인증서가 설치된다. 이러한 인증서는 미국의 보안회사 써티콤 등이 제공하는 보안 managed PKI 시스템을 활용해 발급 및 관리해야 한다.

- 소프트웨어는, 예를 들어 블랙베리 IoT가 제공하는 보안 무선(Over The Air, OTA) 소프트웨어 업데이트 시스템을 통해 판매대리점 및 정비공장에서 쉽게 업데이트할 수 있어야한다.

- 애프터마켓 서플라이어들은 보안 장치를 구동하는 소프트웨어를 판매하고 업데이트할 수 있어야 한다.

- ECU 간의 통신은 반드시 인증되어야 하고, 큰 피해를 입힐 수 있는 악의적인 메시지를 피하기 위해 메시지에 서명해야한다.

- 다른 액세스 포트를 통해 민감한 차량 전자장치에 접속하려면, 인증되지 않은 접속으로부터 보호해야한다.

- 소프트웨어는 보안을 위해 스캔되고 검증되어야한다. 이를 위해서는 블랙베리가 제공하는 아주 특별한 도구가 필요하다.


또한 보안은 다각적이고 다층적인 명제이기 때문에 많은 예방 조치와 기술이 시스템 개발에 통합되어야 한다. 

 

 보안은 공급망에서 시작

 


앞서 언급했듯이 키와 인증서 등의 보안 메커니즘은 공장 및 현장에서 ECU에 통합되어야 한다. 이를 위해 보안 제조 시스템은 전 세계적으로 확산되어야하고, 분산형으로 관리할 수 있어야하며, 여러 엔티티(entities)에서 업데이트 할 수 있어야하고, 수년간 보안을 유지해야한다. 최대한 유연성을 유지하려면, 개인화 및 업데이트 작업을 생산 지점에 최대한 가깝게 이동시켜야한다. 이것은 글로벌 제조 청사진의 중요한 목표이다.
 


다단계 보안

자동차 보안은 여러 단계로 이루어져야한다. 다단계 사이버 보안은 선택사항이 아니며 상업적으로 의무화되고 정부가 위임해야한다. 이미 이러한 움직임이 있다.
 

다층 구조의 자동차 보안은 다음과 같은 사항들이 조합될 수 있다(출저: NXP, Argus, Roland Berger, IHS, Strategy Analytics, ST Micro, Infineon, Bosch, Electrobit, Microchip, Renesas, Harman, Deloitte, PwC, McKinsey & Co., Intel, IO Active, 자동차 OEM, BlackBerry QNX, Certicom 등).
 

- 방화벽을 이용해 외부 인터페이스로부터 차량용 전자장치 분리
- 엄격한 접근 제어를 적용해 이미 알고 있거나 신뢰할 수 있는 엔티티(부분적)만 차내 시스템에 액세스하도록 허용
- 안전이 중요한 시스템을 다른 시스템과 분리하기 위해 도메인에 비슷한 중요성을 가진 차내 네트워크를 클러스터링함
- 암호 인증, 데이터 무결성, 최신 암호화를 통해 차내 네트워크 보호
- 침입방지 및 침입탐지 시스템(IPS/IDS)을 이용해 공격 탐지 및 대응
- 보안 부팅, 보안 업데이트 등을 통해 ECU 동작 보호
- 보안 프로세서를 포함하도록 ECU 업그레이드
- 보안 게이트웨이, 보안 송수신기, 네트워크 보호를 위한 보안 게이트웨이
- 하드웨어 기반 키 스토리지를 사용해 암호 키 보호(예: 보안 암호 칩 또는 하드웨어 보안 모듈(HSM))
- 고속 보안 암호 칩을 이용해 V2X 신호 인증
- 하드웨어 신뢰 기반(Root of Trust, ROT) 및 인증서 발급요청을 통해 PKI 기반 보안으로 이동
 



따라잡기


CAN 버스의 불안정성과 세간에 이목을 끄는 해킹이 결합되면 자동차 제조회사들은 방어하려고 애쓰게 된다. 자동차가 점점 더 연결되고 소프트웨어에 의존함에 따라 보안 위협 또한 커지고 있다. 이것을 공격면(attack surface)의 확장이라고 한다. 간단히 말해 자동차가 점점 더 다양한 방식으로 해킹될 수 있다는 것이다.
 

보안 취약점은 현재 잘 알려져 있으므로, 업계에서는 CAN과 같은 기존의 저 대역폭 버스를 암호화해 보호하는 방법을 신속하게 찾아야하며, 그 버스들을 통해 ECU를 연결해야 한다. 이더넷과 같은 더 높은 대역폭의 버스들은 더 빠르고 더 많은 정보를 필요로 하는 자동차 플랫폼에 제공되고 있다. 이러한 시스템들은 보다 강력한 보안 메커니즘을 갖게 되겠지만, 강력한 보안을 위해 기존 CAN 버스를 개량하지 않아도 될 만큼 제 때 지원되지 않을 것이다. 이것이 핵심 쟁점이며 리소스, 비용, 구현 및 관리(특히 보안키) 측면에서 엄청난 과제를 제시한다.
 



우리는 어디 쯤 있는가?


앞서 언급했듯이 자동차 보안 산업은 초기 단계다. 자동차와 스마트 인프라에 적용할 보안 유형과 관련해 아직 확실한 기술적인 승자는 없다. OEM, 티어 1, 티어 2들은 공유 RSA 키, RSA 기반 PKI, ECC 기반 PKI 및 혼합 시스템을 다각적으로 모색하고 구현하는 단계에 있다. 자동차 TPMs(Trusted Platform Modules), HSMs((Hardware Security Modules) 및 기타 방법들을 포함해 다양한 유형의 키 스토리지 및 업데이트 방법이 사용되거나 고려되고 있다.
 

보안 기술의 진화는 표준이 존재하지 않고 당분간 없을 수도 있기 때문에 전적으로 현실에 기반 할 수밖에 없다. 업계는 초급(crawl) 중급(walk), 고급(run)의 단계적 접근법을 취하고 있다. 공유 대칭키를 사용해 신속하게 구현 가능한 일부 보안 솔루션이 떠오르는 첫 단계 접근법이라 할 수 있다(초급). 그 다음에 공개키를 사용하는 보다 강력한 접근법이 뒤따를 수 있다(중급). 이후 이더넷과 같은 고 대역폭 버스와 더 정교한 도메인/에어리어 컨트롤러, PKI 기반 솔루션을 갖춘 게이트웨이를 사용한 더욱 안전한 접근법이 채택될 수 있다(고급). PKI는 장기적인 솔루션의 일부가 될 가능성이 높다. PKI는 공유키 방식보다 고분해능(즉, 각 ECU용 키)으로 더 안전하고 관리하기 쉽기 때문이다.


보안은 제어 버스와 ECU뿐만 아니라 V2V, V2I(통칭 V2X)는 물론 제조 및 업데이트 시스템에서도 필요하다. 다양한 요구에 따라, 다양한 방식이 V2X 및 내부 차량 보안을 위해 구현될 것이다. V2X는 이미 PKI를 채택하고 있다.


최종 의견


오늘날 자동차 산업에서 주목할 만한 중요한 움직임은 보안을 포함해 소프트웨어 개발의 통제 주체가 바뀌고 있다는 것이다. OEM들은 보안과 안전이 서로 연결되어 있고 모든 계층 설계에 반영되야하기 때문에, 자신들이 자동차 소프트웨어 개발을 통제해야한다고 인식하고 있다. 많은 사람들은 소프트웨어 중심의 커넥티드 및 자율주행 자동차 역동성에 대해 미국적 표현을 빌리자면 실리콘밸리가 디트로이트를 침범했다고 언급한다.
 

“디트로이트”는 소프트웨어에 더욱 능숙해지고 있다. 이것은 운영체제(OS)에서 인공지능, 암호화, 무선(OTA) 소프트웨어 업데이트에 이르기까지 소프트웨어를 위한 인력 채용, 인수, 협력 관계의 확대를 의미한다.
 

자동차 제조사들에게는 소프트웨어 개발에 더 많은 책임감을 요구하는 만큼, 반도체 제조사들에게는 시스템 정의에 더 많은 책임감을 요구한다. 이들은 시대를 앞서가기 위해 더 많은 위험을 감수하며 반도체와 반도체에서 실행되는 더 많은 소프트웨어를 제공한다. 이들은 이 모든 일을 단독으로 할 수 없으므로, 자동차 보안 및 안전 분야의 숙련된 소프트웨어 회사들과 제휴하고 있다.

특히 멀티코어 프로세서 기반 제품의 긴 반도체 설계 주기와 긴 자동차 설계 주기로 인해, 반도체 회사들은 표준이 정립되고 요구사항이 체계화되기 훨씬 전에 시장 수요를 예측해야한다. 복잡한 GPU를 내장한 멀티코어 프로세서는 설계비용이 비싸다. 위험 수준이 올라감에도 불구하고 반도체 회사들은 험한 길을 마다하지 않으며, 전리품은 가장 혁신적이고 대담한 회사에게 돌아갈 것이다.
 

자동차 프로세서를 제조하는 반도체 회사들은 책임과 규제의 위협으로 인한 시간 압박이 있더라도 보안을 제공해야하기 때문에, 첨단 보안 솔루션을 제안하는 것 외에는 선택의 여지가 없으며, 일부는 채택되거나 표준화되지 않을 수도 있다.

반도체 회사들의 기술 및 시장 리더십에 대한 증거로는 HSMs, 보안 프로세서, 자동차 TPMs 등 다양한 특징의 자동차 하드웨어 보안 장치가 있다.
 

이 장치들의 한 가지 공통점은 실리콘 제조회사들이 암호 보안의 핵심은 비밀키를 비밀로 유지하는 것임을 알아냈다는 것이다. 따라서 이러한 제품들은 보안 하드웨어에 비밀키를 저장하는 경우가 늘고 있다. 이를 보안키 보관소라고 생각하면 이해하기 쉽다.
 

물론, 반도체뿐만 아니라 소프트웨어도 중요하다. 반도체와 소프트웨어가 긴밀하고 안전하게 연동되어야만 자동차의 안전을 담보할 수 있다. 소프트웨어는 보안 하드웨어가 필요하며, 보안 장비에서 만들어지고 업데이트되어야 한다. 이것을 알면, 이미 소프트웨어로 정의되는 자동차의 미래를 풀어갈 수 있다. 반도체, 소프트웨어, 안전성 및 보안은 끊임없이 부드럽게 연결되어야 한다.
 

 

 

 

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


TOP