상용차 사이버보안이 더 어렵습니까?

커넥티드 카 기술이 향상되고 확장됨에 따라 사이버보안 위험이 증가하면서 우려도 커지고 있다. 개별 차량보다 동일한 차량 그룹을 해킹하기가 더 쉬워 법인 차량이 사이버 위협의 위험이 더 크다. 특히 트럭에 대한 원격 사이버 공격은 트럭이 어디에 있든 무엇을 하든 심각한 사고로 이어질 수 있다. 사이모티브 테크놀로지스의 길라드 반델 수석이 그 위험성을 경고했다. 

글 | 윤범진 기자_bjyun@autoelectronics.co.kr






“단도직입적으로 말해, 상용차 사이버보안 환경은 해커가 주요 표적으로 삼을 수 있는 상당한 금전적, 그 밖의 이점이 있습니다.”

6월 말, 사이모티브 테크놀로지스(Cymotive Technologies)의 길라드 반델(Gilad Bandel) 사업개발 수석은 블로그의 ‘상용차 사이버보안이 더 어렵습니까(Is Cybersecurity Protection of Commercial Vehicles Harder)?’란 글을 통해 트럭 등 플릿을 대상으로 한 사이버 공격의 위험성을 경고했다.  

길라드 수석은 상용차 중에서도 고가의 화물을 취급하는 트럭의 경우 해커들이 공격할 충분한 금전적 동기를 제공하기 때문에 해커에 의해 보안이 뚫리면 막대한 재정적, 법적 피해를 피할 수 없다고 경고했다. 더욱이 트럭으로 운송되는 군용 등 중요 장비는 정치적 동기를 지닌 개인이나 조직의 공격에 영향을 받을 때 국가를 위험에 빠뜨릴 수도 있다. 

승용차는 연간 세계 자동차 총판매량의 60%를 차지한다. 상용차는 나머지인 40% 정도다. 하지만 상용차는 승용차보다 통상적으로 평균 운행거리, 운행시간이 훨씬 더 길다. 수명도 마찬가지다. 게다가 상용차는 사이버 공격으로 인한 사고에 연루될 때 인명피해와 재산피해가 승용차보다 더 클 수 있다. 특히, 많은 상용차가 위기상황이나 군사적 충돌 시 국가 중요 기반 시설의 일부이기 때문에 상용차의 위험 수준은 승용차보다 훨씬 높아 전문 해커나 심지어 국가 차원의 주요 표적이 될 수 있다. 

길라드 수석은 “전문 해커가 아직은 수적으로 많지 않아 염려할 상황은 아니지만 ‘걸린 판돈’을 고려하면 상황은 언제든 반전될 수 있는 상황”이라고 염려했다. 



 

기술적 고려사항      

상용차 네트워크는 SAE J1939 프로토콜 기반이다. 이것은 업계에서 널리 사용되는 모든 상용차에 공통인 7-layer 표준 프로토콜이다. 따라서 프로토콜에서 파악된 취약점은 모든 OEM의 모든 상용 차종에 악용될 수 있다. 이 점은 OEM마다 모델 내에서도 독자적인 CANbus를 구현하는 승용차와는 대조적이다. 

길라드는 “특정 승용 차종에서 공격 벡터를 확인했다고 하더라도 다른 차종의 공격을 방지하는 데 유용하지 않을 가능성이 크다”라고 말했다.

SAE J1939는 29-bit 확장 주소지정 독점 형식(extended addressing proprietary format)을 사용했다. 현재의 구현에서는 메시지 출처와 무결성, 신선도(freshness)를 인증하거나 정보보호(privacy)를 제공하는 수단을 제공하지 않는다. 모든 ECU는 모든 메시지 ID를 전송할 수 있다. 

길라드 수석은 “이 때문에 요청 과부하(request overload)를 이용한 DoS(Denial of Service, 서비스 거부) 공격, 예를 들어 가짜 메시지 ID를 이용한 사칭, 중간자 공격(Man In The Middle, MITM), 메시지 위변조 등이 쉽게 가능하다”라고 말했다.

2016년 IEEE는 최초의 차량용 이더넷 표준인 IEEE 802.3bw(또는 100Base-T1)을 발표했다. 차량 네트워크가 차 내에서 더 많은 컴퓨팅 자원을 연결하면서, 이더넷으로의 전환은 자연스런 과정으로 보인다. 이미 부분적으로 이더넷을 적용하고 있기도 하다. 1973년 발명 이래 수십 년 동안 이더넷은 정보통신(IT) 분야에서 다재다능하고 탄력적인 표준임을 입증했지만, 이더넷은 자동차에 도입되면서 새로운 도전과제를 낳고 있다. 

길라드는 “차량 이더넷으로 완전히 전환되면 개인 차량과 상용차가 모두 같은 상황이 될 것”이라며 “증가한 위협은 많은 버그를 포함하는 새로운 코드로 확대돼 많은 취약점을 만들어낼 것”이라고 말했다. 








상용차의 보안 취약성  

상용차 사이버 공격의 대상 중 하나는 조향, 제동, 조명을 포함한 차량의 대부분 기능을 제어하는 전자제어장치(ECU)다. 차 내 무선연결은 차량 잠금, 잠금 해제, 시동과 같은 조작 가능한 기능뿐만 아니라 진단 모니터링을 제어한다. 추가 대상에는 인포테인먼트 및 텔레매틱스 시스템, 타이어 공기압 모니터링 시스템(TPMS), 라이더, 첨단 운전자 지원 시스템(ADAS), 온보드 블루투스 및 와이파이(Wi-Fi), USB 및 진단 포드 등이 있다. 

이런 모든 연결점은 해커가 공격 유형에 따라 트럭에 액세스해 저장된 데이터를 내려받거나 중요 시스템을 제어할 수 있는 진입 통로다. 수동 공격은 차량과 주고받는 통신을 가로채기 때문에 탐지하기가 더 어렵지만, 능동 공격은 차량 기능을 무력화시킨다. 공격 유형이나 수단과 관계없이 공격자가 한 차량 시스템에 액세스하면 모든 시스템에 빠르게 액세스할 수 있다. 
상용차 ECU는 서로 다른 OEM의 차량 간에도 교환 가능한 경우가 많다. 즉 하나의 ECU에서 취약점이 확인되면, 동일한 ECU를 사용하는 모든 제조업체의 차량을 공격하는 데 사용할 수 있다. 이것은 각 제조사와 모델에 따라 맞춤형 ECU를 적용하는 승용차의 경우에는 아직 해당하지 않는다.

길라드는 “많은 ECU용으로 작성된 소프트웨어는 코드에서 발견되는 다른 많은 취약점 외에도 버퍼 오버플로(Buffer overFlow, BoF)와 같은 공격에 취약할 정도로 매우 높은 수준의 보안을 제공하지 못한다. 예를 들어 공격자는 데이터 길이가 다른 비정상 송신 요청(Request to Send, RTS) 메시지를 보내 ECU 충돌을 일으킬 수 있다. 또 다른 예는 가능한 노드가 255개뿐인 경우 공격자가 ECU의 연결 풀(connection pool)을 소진하는 모든 발송지 주소를 스푸핑(Spoofing)해 DoS 상황을 만들 수 있다. BoF를 생성하는 시퀀스 번호가 0인 BAM(Broadcast Announce Message) 또는 PTP(Peer To Peer) 전송 프로토콜(Transport Protocol, TP) 메시지를 전송하는 등의 다른 취약점이 TP에서 발견될 수도 있다”라며 상용차 ECU의 취약점에 대한 예시를 말했다.

소프트웨어 정의 차량(Software-Defined Vehicles), 전기화 및 전기차(Electric Vehicles, EV), 커넥티드 카, 자율주행차, 커넥티드 자율주행(Connected Automated Driving, CAD), 협력주행(예: 트럭 군집주행), C-ITS(Cooperative Intelligent Transport System)를 포함한 산업 동향은 차량에 많은 양의 소프트웨어 코드를 요구하고, 길라드는 이런 소프트웨어 코드의 양이 늘어날수록 공격 표면 또한 확대된다는 점을 지적했다.
또, 많은 법인 차량 소유자와 자동차 소유자는 전자기록장치(Electronic Data Recorder, EDR) 또는 전자운행기록계(Electronic Logging Device, ELD)와 같은 애프터마켓 장치 추가도 문제다. 이런 장치는 OEM의 사이버보안 인증을 통과하지 않고 차내 네트워크에 연결되기 때문에 상용차의 공격 수단으로 활용될 수 있다. 

길라드는 농기계에서 주로 바이러스 효과가 발생하는 이유가 하루 단위로 다른 차량에 연결되는 교환 부품이 많기 때문인 점도 지적했다. 예를 들어 트럭 뒷부분에 견인되는 세미 트레일러 또는 풀 트레일러는 매일 교체될 수 있다. 마찬가지로 트랙터, 채굴 장비나 콤바인에는 다양한 마운트, 드로우바-견인 툴체인, 틸러(tiller) 등을 장착할 수 있다. 이 경우 트랙터가 악성코드(멀웨어)에 감염되면 트랙터가 연결된 모든 부착물을 감염시킬 수 있다. 또, 연쇄적으로 다른 트랙터를 감염시킬 수 있다. 

다른 일반적인 공격 표면으로는 상용차와 승용차에 공통으로 적용되는 텔레매틱스, 커넥티드 게이트웨이, Wi-Fi, 블루투스, TPMS, OBD-II, USB, 키 리모컨, V2X 등을 들 수 있다. 

길라드는 “자동차 산업은 공격자가 차량을 구매해 들키지 않고 성공할 때까지 얼마든지 공격을 시도할 수 있다는 점에서 상당히 독특하다”라며 “이것은 대상 시스템 복제가 사실상 불가능한 ICS/SCADA(Industrial Control Systems/Supervisory Control And Data Acquisition)나 은행업 등 다른 업종과 크게 다른 점”이라고 말했다.








6가지 대책  

공격자는 범죄자, 테러리스트, 적대적 정부 등 일반적인 용의자가 될 수 있으며, 칩 튜닝이나 복제 ECU 사용과 같은 목적을 위해 승용차/법인 차량 소유자가 될 수도 있다. 해킹이 상용차에서 이루어질 때 잠재적 피해는 승용차보다 크다. 길라드는 이런 점을 고려해 상용차의 사이버보안 대책 방안 6가지를 제시하며 적절한 보안 제어 기능을 적용함으로써 상황을 크게 개선할 수 있다고 밝혔다.


- SAE J1939-91 네트워크 보안 파트 A, B, C는 여전히 작업이 진행 중(Work in Progress, WIP)이지만, 기존 초안(drafts)은 사이버보안 위협에 대처하기 위한 훌륭한 접근 방식과 실용적인 방법론을 제시한다. 

- 2025년 중반 기준 모든 신차형식에 적용되는 UNR 155, 권고성 국가표준(GB/T), 기타 진행 중인 규정 등 차량 형식 승인(Vehicle Type Approval, VTA)을 위한 사이버보안 인증은 엄격한 절차를 따르고 적절한 제어 기능을 구현하도록 요구하고 있다. 이것은 ISO/SAE 21434 표준을 준수함으로써 달성할 수 있다. 이것은 예를 들면, 조직에 CSMS(사이버보안 관리체계)를 도입하고 실행하는 것을 의미한다. 

- 내부 자원이 부족한 OEM 및 티어 1 부품업체는 시장의 전문 업체가 제공하는 솔루션과 서비스를 활용하여 아키텍처, 검증, 침투 테스트 등을 포함한 V-모델을 구현할 수 있다. 

- A-SPICE를 준수하는 높은 수준의 프로세스와 코드로 엄격한 SecSDLC(Secure Software Development System)을 따르는 것이 중요하다. 

- 네트워크와 호스트를 위한 V-XDR(Vehicle Extended Detection and Response) 시스템, 일명 IDPS(Intrusion Detection and Prevention System)를 포함한 종단 간 보안 조치를 한다. 검증된 보안 도메인 및 기타 정보는 분석 및 포렌식을 모니터링하고 수행하기 위해 V-SOC(Vehicle Security Operations Center)의 SIEM (Security Information and Event Management) 시스템으로 전달된다. 

- 차량 형식 승인(VTA) 및 차량 수명 주기 전반에 걸쳐 위험 관리의 증거를 제시하기 위해 지속적인 취약점 관리를 수행한다. 


길라드는 “상용차 보호는 승용차를 보호하는 것보다 훨씬 더 복잡하다. OEM과 티어 1은 필요한 보안 수준을 제공하기 위해 적절한 절차를 따르고 시장에 신뢰할 수 있고 안전한 보안 차량을 제공하는데 필요한 수단을 구현해야 한다”고 말했다.

---

AEM_Automotive Electronics Magazine