제너럴 모터스(이하 GM)는 자사 글로벌 소형차 플랫폼에서 Microchip의 MOST50 인텔리전트 네트워크 인터페이스 컨트롤러(INIC)를 사용해 인포테인먼트 시스템 네트워킹 기능을 제어하고 있다. 여기에는 쉐비 크루즈, 쉐비 볼트, 오펠 아스트라, 뷰익 엑셀 및 뷰익 베라노 모델이 포함된다.
유연하고 비용 효율적인 동기 MOST 네트워킹 기술은 GM의 소형차 외에도 GM의 중대형차, 고성능 차량, 크로스오버 차량(CUV) 및 스포츠 유틸리티 차량(SUV), 트럭, 고급형 플랫폼에서 전 차량 브랜드에 걸쳐 채택되고 있다.
Microchip의 MOST50 INIC는 도요타의 새로운 럭셔리 세단인 렉서스 GS 라인에서 인포테인먼트 시스템 구현 및 적용 중이다. 새로운 GS 라인은 도요타의 최신 브랜드로서, Microchip의 OS81092 INIC를 통해 차내 인포테인먼트 시스템에서 MOST50을 구현한다. 도요타는 차량 전체에 걸친 비디오, 오디오, 패킷 및 컨트롤 데이터 전송에 MOST 기술을 활용하는 30여 개의 자동차 제조업체 중 하나이다.
MOST기술의 표준화와 개정을 관장하고 있는 MOST 협회는 2016년 4월 ISO (국제표준화기구)로의 MOST 규격 이전을 개시하는 절차를 발표했다. 그 목표는 공인된 표준개발기구를 통해 해당 사양에 대한 접근을 단순화하고, 장기간의 안정성과 유지보수, 신뢰성 향상에 관한 OEM 요건을 충족시키는데 있다. 이후 지속적인 개발과 세계 각국의 이해관계 당사자 지원을 위한 국제적인 규범이 정립될 예정이다.
Microchip은 MOST의 3가지 속도 등급(25, 50, 150 Mbps)을 지원하는 인증된 솔루션의 단일 공급업체이다. 고도로 통합된 혼합 신호 내장 회로와 실시간 객체 지향 네트워크 관리 소프트웨어의 조합을 통해 완벽한 MOST 시스템 설계 구축에 필요한 리소스를 제공한다. Microchip의 MOST 네트워킹 제품에 관한 자세한 정보는 Microchip MOST 디자인 센터에서 확인할 수 있다.
자동차 업계는 현재 상당한 난제에 직면해 있다. 자동차 제조업체들은 자동차에 더욱 많은 전자 장치들을 내장하는 동시에 더 많은 차량을 인터넷에 연결하고자 한다. 기존의 폐쇄형 오토모티브 아키텍처의 경우 보안은 구성 요소에 해당하지 않았던 것에 반해, 현재의 차량들은 수많은 보안 위협에 노출되고 있다.
변화는 장기간에 걸쳐 이루어지지만 새로운 표준이 구체화되기까지는 몇 년 간의 시간이 소요된다. 이러한 전환기에는 차량과 운전자 모두가 위험에 처할 수 있다. 따라서 개발자들은 현재 즉시 구현 가능한 오토모티브 보안 솔루션을 필요로 한다. 안전한 마이크로컨트롤러와 TAD (Trust Anchor Devices) 및 보더 시큐리티 디바이스의 경우 중간자적 솔루션이 될 수 있다. 이는 직관적으로 구현할 수 있으며, 인증되지 않거나 악의적인 활동을 거부함으로써 차량의 성능을 대폭 향상시켜 준다.
자동차는 여러 해 동안 전자화(electronic)되어 왔다. 오류 하나로 인해 생명을 잃을 수도 있으므로 자동차는 안전 측면에서 다른 운송 수단들과 달리 설계된다. 각각의 전자 기능들은 고유의 개별 연산 리소스를 가지며 이는 하나의 ECU (Electronic Control Unit)로 통합된다. ECU는 CAN 버스에 의해 상호 연결되며, CAN 버스는 이러한 특정 목적을 위해서 개발되었다.
원래는 오직 운전을 위한(drive-oriented) 기능들만이 개발 및 CAN 버스에 할당되었다. 그러나 새로운 자동차 컨텐츠, 특히 ADAS (운전자보조시스템)와 인포테인먼트 “센터 스택” 은 단순히 효율적인 차량 운행 이상의 요건을 필요로 한다. 일부 부품들의 경우 다른 부품에 비해 안전 요건을 더욱 중요시하는 반면, 이들은 모두 동일한 CAN 버스에 연결되어 있다.
현재의 오토모티브 디자인에 인포테인먼트 시스템이 추가되면서 인터넷 연결 기능 내장에 대한 수요가 생겨났다. 이 연결을 통해, 해커나 개인이 CAN 버스에 액세스하여 차내의 모든 전자 모듈 (핵심 부품 여부와 관계없이)에 접근 가능한 경로를 얻을 수 있게 되었다. 이 잠재적인 위협으로 인해 보안은 개발자들에게 개발 상의 중요한 요소로 자리잡았다. 이 경로의 발생 원인을 그다지 중요하지 않은 모듈 집합 탓으로 돌릴 수도 있겠지만, 해커나 개인들은 셀룰러 인터넷 연결 외에도 다양한 진입점을 통해 침입할 수 있다.
자동차는 Wi-Fi®나 Bluetooth® 연결을 통해서도 연결이 가능하며, 키를 사용하지 않은 잠금(keyless lock) 시스템과 내장 진단 시스템조차도 차량 핵심에 대한 액세스 지점으로 기능할 수 있다. 반면, ADAS 소프트웨어는 차량 내 다양한 센서와 기타 액츄에이터 간에 복잡한 관계를 형성한다. 차량이 앞차와의 충돌 가능성을 감지한 경우 소프트웨어는 자동으로 브레이크를 동작시켜 속도를 늦추며, 운전자 본인보다 빠르게 반응함으로써 재앙이 일어나는 것을 막을 수 있다.
따라서 ADAS 시스템은 운전 및 안전 시스템의 핵심 파트에 액세스할 수 있어야 한다. 인터넷 연결은 이들 시스템 모두에 노출되어 있으므로, 이 또한 다른 보안상의 위협을 가져올 수 있다.
문제는 CAN 버스 아키텍처에 고유의 보안 체계가 없다는 것이다. CAN 버스의 성능은 즉각적으로(ad-hoc basis) 보안을 추가로 제공하기에는 너무 느리다. 따라서 이 시점에서 자동차 제조업체들 및 그 공급업체들에게는 거대한 시스템을 자체적으로 발명하거나 보안 누출 발생 시마다 임시 수정을 하지 않고도 시스템 전체적으로 보안을 구축할 수 있는 원칙적인 지침이 없다.
기본 ECU 소프트웨어 개발 속도는 상대적으로 느긋한 반면, 현재 개발 중인 ADAS 및 인포테인먼트 코드의 양은 말 그대로 넘쳐난다. 이는 현재 소프트웨어 개발자들이 직면한 문제를 나타낸다. 누군가 자동차의 핵심 부품에 침입해서 장난칠 수 있는 가능성을 봉쇄하고 있다는 것을 어떻게 확신할 수 있는가.?
이는 개별 차량에 국한된 문제가 아니다. ADAS 시스템에서 차대차(car-to-car) 통신은 도로 위 상황 확인과 긴급 상황에 대한 적절한 대처에 핵심적인 역할을 한다. 기술적으로 이는 모든 차들이 동일한 네트워크 상에 있는 다른 차량의 수신 가능 범위 내에 있으며, 이는 곧 서로를 위험에 빠뜨릴 수도 있다는 것을 의미한다.
새로운 컨셉을 아이디어에서 시작해 실제 판매장에 전시하기까지 5년이나 걸리는 업계에서, 변화란 매우 어려운 일이다. 보안 구축을 위한 필요성이 존재함에도 불구하고 많은 어려움을 겪고 있다. 보안 기능 통합을 위해 기기 교체에 소요되는 업무량을 생각해 보면 당연한 일이다. 그러나 미디어에서 보도되는 차량 해킹과 관련된 실제 사례들을 살펴보면, 자동차 보안의 중요성을 다시 깨닫게 된다.
다행히도 최근에 승인된 차세대 CAN 버스 표준(CAN FD)는 자동차 보안 지원에 필요한 성능을 제공한다. 이는 CAN 2.0에 비해 4배 빠르며, CAN 2.0이 제공하는 8 byte 대신 64 byte의 페이로드(payload)를 제공한다. CAN FD는 고도로 분화된 기능에서 벗어나 보다 집중화되고, 컨트롤 가능한 구조로의 변화를 지원한다. ECU는 도메인 내부로 통합될 수 있으며, 이때 도메인 컨트롤러는 도메인을 보호하는 방화벽으로 기능한다.
최종적으로 이들 도메인 컨트롤러들은 자체적으로 통합됨으로써 인증 및 액세스 승인을 위한 중앙 집중적 위치를 제공할 것이다. 신중하게 선택된 보안 마이크로프로세서는 보안 부트 프로세스를 관리하고, 악성 소프트웨어가 핵심 리소스에 액세스하는 것을 방지하기 위해 이를 격리하고 신뢰할 수 있는 영역을 생성할 것이다.
CAN FD는 현재의 CAN 아키텍처와는 많은 차이를 보이므로, 실제 구현되어 최종 채택에 이르기까지는 5년에서 8년간의 조사 및 평가(이에 따른 저항을 고려한다면) 기간이 소요될 것이다. 이는 장기적으로 자동차 보안을 구축하는 데 희소식이다. 반면, CAN FD가 업계에서 새로운 표준으로 자리잡기 전까지 차량 보호를 위해서는 다른 조치가 필요하다.
현재도 CAN FD 트랜시버를 사용할 수 있으므로 이를 보안 구축을 위한 기회로 삼을 수 있다. 이는 다양한 방법을 통해 실행된다. 지금도 보안 마이크로컨트롤러가 있지만 이는 일반적으로 초고급 프로세서로, ECU의 비용 제약을 초과하는 가격이 붙어 있다. 이를 대신하여 ECU 보호 여부를 확인할 수 있는 디바이스로는 TAD (암호화 기능 제공), 보더 시큐리티 디바이스(TAD와 CAN FD 트랜시버의 조합)가 있다.
이를 CAN 2.0 트랜시버가 내장된 프로세서와 CAN FD 버스 사이에 배치하면 ECU 하드웨어 및 소프트웨어의 디자인 변경을 최소화하는 동시에 추가적인 보안을 제공할 수 있다. 암호화 기능은 ECU에 대한 액세스를 보호하기 위한 강력한 인증 기능을 제공한다. 이는 필요한 경우 통신 암호화를 위해서도 사용할 수 있으나, 대부분의 애플리케이션에서는 인증만을 필요로 한다.
임시 보안 체계의 일부로서 RSA 암호화를 사용하는 기존 모듈의 경우 TAD와 보더 시큐리티 디바이스는 이 기능을 지원한다. 그러나 새로운 디바이스들은 타원 곡선 암호방식을 지원하며, 이는 기존 RSA 암호화 시스템에 비해 보다 강력한 보호 기능 및/또는 더 짧은 키를 제공한다.
모든 암호화 기능은 하드웨어에서 실행되므로, 실행되는 도중에는 암호화 코드를 해독할 수 없다. 이러한 핵심 기능은 또한 성능을 향상시키며, 보안을 위한 간접 비용을 추가로 소모할 필요가 없다. 또한 보더 시큐리티 디바이스는 모든 키를 누구도 볼 수 없도록(인증 여부와 상관없이) 보호할 것이다. 이러한 기능은 쉽게 변경할 수 없으므로(tamper-proof) 메인을 통해서나 측면 공격을 통해 침입자들이 디바이스를 해킹할 수 없도록 보호한다.
TAD 또는 보더 시큐리티 디바이스가 통합된 자동차 모듈은 도로 위에 산재한 심각한 취약점들을 예방하는 데 도움을 준다. Microchip은 다양한 CAN FD 트랜시버와 TAD, 보더 시큐리티 디바이스를 제공하고 있으므로, 소프트웨어 디자인 변경을 최소화하고 ECU 비용에 막대한 영향을 주지 않으면서도 차량 디자인에 보안 기능을 더할 수 있다.
자동차 업계에 관한 암호화 및 보안 솔루션에 대한 자세한 정보는 해당 지역 사무소로 문의하면 된다.
<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>