자동차의 자율화와 기술 경쟁이 가속화되면서 사이버 범죄자들이 악용할 수 있는 공격 범위는 더욱 넓어질 것이다. 따라서 제조업체와 자동차 생태계는 금전적 손실뿐만 아니라 고객의 불신과 평판 손상으로 이어질 수 있는 사이버 공격의 위험을 완화하기 위한 조치를 취하는 것이 필수적이다. 키사이트의 마리 해터가 말한다. 

글 | 마리 해터(Marie Hattar) 마케팅 총괄, Keysight Technologies










지난 10년 동안 차량은 급속도로 디지털화돼 이제는 소프트웨어와 하드웨어가 복잡하게 얽혀 있습니다. 차에는 라이다, 레이다 센서, 운전자 지원 시스템(ADAS), 차내 네트워크 등 다양한 기술이 탑재돼 있습니다. 이제 평균적인 자동차에는 150개의 전자제어장치(ECU)와 1억 라인의 코드가 내장돼 있습니다.

이런 혁신은 차량 성능을 개선하고 더 안전한 운전 경험을 약속하기 위해 통합되고 있습니다. 그러나 커넥티드 카는 물리적 안전에는 도움이 될 수 있지만, 보안과 관련된 여러 가지 문제를 야기할 수 있습니다. 따라서 사이버 보안은 자동차 제조업체의 가장 큰 관심사 중 하나입니다. 보안은 사이버 공격의 형태로 수익에 영향을 미칩니다. 2023년 상반기에만 시스템 다운타임 비용으로 19억 9,000만 달러가 발생했습니다.

자동차의 자율화와 기술 경쟁이 가속화되면서 사이버 범죄자들이 악용할 수 있는 공격 범위는 더욱 넓어질 것입니다. 따라서 제조업체와 자동차 생태계는 금전적 손실뿐만 아니라 고객의 불신과 평판 손상으로 이어질 수 있는 사이버 공격의 위험을 완화하기 위한 조치를 취하는 것이 필수적입니다.


차량 곳곳에 있는 소프트웨어     

자동차가 더욱 지능화되고 추가 소프트웨어가 내장됨에 따라 취약점도 증가하고 있습니다. 2023년에 연구원들은 16개 자동차 제조업체에 영향을 미치는 수많은 보안 취약점을 발견했습니다. 이 결함은 20개의 서로 다른 API 엔드포인트에 영향을 미쳤으며, 해커가 이를 악용했다면 차량을 제어하고 위치를 추적하며 직원과 고객의 개인식별정보(PII)가 포함된 시스템에 액세스할 수 있었을 것입니다.
이제 자동차가 점점 더 연결되고 자율화됨에 따라 사이버 범죄자들이 이용할 수 있는 다른 취약점을 살펴보겠습니다.  

무선(OTA) 업데이트: Wi-Fi 및 셀룰러 연결을 통해 이뤄지는 무선 환경에서는 해커로부터 차량에 멀웨어에 대한 취약점이 많습니다. 이를 방지하려면 데이터를 암호화하고 업데이트 메커니즘을 보호하는 것이 필수적입니다.

네트워크 공격: 네트워크 공격은 무선, 백엔드 네트워크, V2X(차량-사물 간 통신)를 이용합니다. 이 공격이 성공하면 차량 시스템에 영향을 미치고 트래픽을 방해할 수 있습니다. V2X 통신 채널에서 전송되는 메시지를 보호하는 것은 이 취약점을 해결하는 데 있어 매우 중요한 부분입니다.

주변기기 무선 주파수: 이런 공격은 Bluetooth NFC, RFID, 원격 키와 같은 기술을 대상으로 합니다. 예를 들어, 리모트 키에 대한 릴레이 공격이 성공하면 원격으로 차량을 시동해 훔칠 목적으로 무단 액세스가 발생할 수 있습니다. 이런 위험을 줄이려면 제조업체는 중요한 시스템이 내부 또는 외부 무선 주파수 소스의 간섭 없이 안정적으로 작동하는지 테스트해야 합니다. 또한 자동차 소유자는 신호 차단 지갑과 같은 장치를 활용할 수 있습니다.

인포테인먼트 시스템: 차량의 인포테인먼트 시스템은 블루투스, 셀룰러, USB, Wi-Fi를 통해 인터넷 및 기타 장치에 연결되고 이곳은 악의적인 공격자의 잠재적 진입 구간입니다. 이런 시스템에는 신용카드 정보 및 위치 데이터와 같은 개인 정보가 포함돼 있어 사이버 범죄자들에게 매력적인 표적이 될 수 있습니다. 자동차 제조업체는 엄격한 액세스 제어를 구현하고, 보안 통신 프로토콜을 배포하고, 소프트웨어 및 펌웨어를 사용하여 취약점을 패치함으로써 이런 위험을 완화할 수 있습니다.

로컬 공격: 이런 공격은 운영체제 및 ECU를 포함한 차량의 소프트웨어 에코시스템 내의 취약점을 노립니다. 소프트웨어 결함을 악용해 차량을 제어하는 것이 목표이며, 이는 안전에 심각한 영향을 미칠 수 있습니다. 따라서 자동차 제조업체는 강력한 차량 내 보안 시스템을 배포하고 소프트웨어를 업데이트해 보안 격차를 해소하는 것이 중요합니다. 







보안 우선 순위 지정 

이제 각 연결 지점은 해커들이 악용하고자 하는 경로가 되었습니다. 그러나 위험에 대한 인식이 널리 퍼져 있음에도 불구하고 차량 설계 주기 초기부터 보안에 중점을 두지 않습니다. 자동차 제조업체는 이런 접근 방식을 재고하고 가능한 한 빨리 취약점을 파악하고 해결해야 합니다. 센서부터 소프트웨어, 텔레매틱스, 충전 인프라에 이르기까지 모든 요소에 대한 테스트를 통해 비용이 많이 드는 지연을 방지하고 성공적인 사이버 공격의 위험을 완화할 수 있습니다. 

차가 도로를 달리는 동안 보안 테스트를 중단할 수 없습니다. 모든 소프트웨어 또는 시스템 업데이트는 취약점을 유발하지 않는지 확인하기 위해 동일한 엄격한 평가가 필요합니다. 예를 들어, 각 앱은 차량의 소프트웨어 시스템에 통합되기 전에 테스트를 거쳐야 합니다. 이를 위해서는 모든 업계 이해관계자가 협력해 보안을 우선시해야 합니다.








자동차 산업 전반에 걸친 불안요소   

사이버 보안에 신경 써야 하는 것은 자동차 제조업체뿐만이 아닙니다. CDK 글로벌 소프트웨어에 대한 랜섬웨어 공격으로 인해 15,000개 이상의 자동차 대리점이 자동차 판매 및 수리 업무에 차질을 빚었습니다. 이는 자동차 산업 전체가 사이버 공격의 위험에 노출되어 있음을 보여줍니다. 따라서 데이터를 보호하고 무단 액세스를 방지하기 위해 환경 전반에 걸쳐 엄격한 보안 조치를 도입해야 합니다. 자동차 산업의 기술 혁신이 해커가 침투하여 악용할 수 있는 진입로가 되지 않아야 합니다.