[포커스온] 미래 모빌리티, 보안 없이는 달릴 수 없다

자동차 해킹 위협에 보안 시장 주목

자율주행차, 커넥티드카 등 미래형 자동차는 향후 가장 많이 사용될 모빌리티로 꼽힌다. 하지만 많은 수요만큼 이들을 노리는 해킹 등 사이버 범죄도 점점 늘어나고 있다.

AltasVPN이 실시한 ‘2010년~2021년 자동차 해킹으로 인한 주요 피해’ 조사에 따르면, 자동차를 대상으로 한 사이버 범죄는 날로 증가해 2024년까지 그 피해액은 약 608조 원에 달할 것으로 예상된다. 또한 그동안 피해가 컸던 사건은 대다수 기술 발전이 빨랐던 최근 1~3년 사이에 발생했다.

2022년 1월, 독일의 사업가 데이비드 콜롬보는 테슬라의 자동차 25대를 원격으로 해킹하는 시연을 선보였다. 당시 콜롬보는 해킹을 통해 자동차의 문과 창문을 열고 닫았으며, 시동을 걸고 보안 기능을 켜고 끄는 등 차량을 마음대로 조종했다.

지난해 10월 유럽에서는 한 사이버 범죄 집단이 자동차 키의 SW를 해킹해 여러 차량과 함께 차량 시스템 내부에 저장된 정보를 훔쳤다. 이들은 키가 없는 원격 시동 시스템이 있는 차량만을 노렸으며, SW 개발자·리셀러 등을 고용해 키를 복제하는 SW를 직접 개발하기도 했다.

자동차를 대상으로 한 보안 위협으로는 ▲데이터 탈취 및 개인정보 침해(39.9%) ▲서비스·비즈니스 방해(19.2%) ▲사기(4.2%) ▲자동차 시스템 조작(4%) ▲위치 추적(2%) ▲정책 위반(1.5%) 등이 있다. 공격 채널로는 서버(40.1%)가 가장 많이 이용되고 있으며, 다음으로 원격 열쇠(27.9%), 전자 제어 장치/텔레매틱스 제어 장치(12.2%), 모바일 앱(7.3%) 순이다. 이 같은 공격 동향을 고려했을 때, 미래 자동차의 보안 기술은 ▲허가되지 않는 데이터의 접근을 막는 네트워크 보안 ▲전자제어장치 등 자동차 내 전자 장비 플랫폼 보안 ▲보안 SW를 업그레이드·관리하는 OTA(Over The Air Programming) 기술 위주로 발전할 것으로 보인다. 

글로벌 시장 조사 업체 마켓앤마켓(MarketsAndMarket)에 따르면, 전 세계 자동차 사이버 보안 시장의 규모는 2021년부터 연평균 21.6% 증가해 2026년에는 약 6조 3854억 원까지 성장할 전망이다.

이에 분야와 규모를 막론하고 많은 기업들이 이미 자동차 보안 시장에 뛰어들고 있다. 국내 기업들은 유엔 유럽경제위원회(UNECE)의 자동차 사이버 보안 시스템 의무화 규칙에 따라 ‘사이버 보안 관리 체계(CSMS)’를 만드는 등 자동차 사이버 보안에 필요한 기준을 충족하고 관련 기술을 개발하기 위해 움직이고 있다.

현대오토에버는 독일의 TUV 라인란드로부터 사이버 보안 관리 체계 인증을 획득했다. TUV 라인란드는 독일, 네덜란드, 아일랜드 등 유럽을 포함한 다수 정부로부터 인증 권한을 부여받은 인증 검사 기관으로, 국제 표준 및 국가 규격에 따라 다양한 제품에 대한 시험·인증 서비스를 제공하고 있다. 현대오토에버는 이 인증을 통해 사이버 보안 위협에 대한 분석 및 위협 평가(TARA), 설계에 대한 위협 관리, 자동차 양산 후 사이버 보안 사고 대응 프로세스 관리 등이 가능한 CSMS를 구축했다.

모빌리티 기업 외 IT 기업들도 모빌리티 보안을 위한 청사진을 구축하고 있다. LG전자는 2021년 9월 이스라엘의 사이버 보안 기업 사이벨럼을 인수해 전장 사업 내 사이버 보안 기술력을 높이고 있다. 특히 LG전자는 미래 자동차 중에서도 전기 커넥티드카 시장에 주목하고 있다. 전 세계의 커넥티드카 규제에 선제적으로 대응하면서 차량 내부의 디스플레이, 도메인 컨트롤러 등 핵심 솔루션에서의 기술력을 강화할 예정이다.

스타트업들도 각자의 혁신 기술을 가지고 자동차 보안 시장에 도전하고 있다. 미래차·IoT 보안 기업 시옷은 OTA 보안 강화를 위한 모듈과 자율주행차의 보안성 평가를 위한 기술을 개발 중이다.

이를 통해 시옷은 사이버 보안 인증과 기술 적용에 필요한 비용과 시간을 줄여 국내 기업의 자동차 시장 활성화에 기여할 예정이다. 이 외에도 인공지능(AI)을 활용한 자동차 SW 취약점 점검 기술을 개발한 사이벨리움, 차량·교통 인프라에 최적화된 자동차 보안 토탈 솔루션을 개발한 아우토크립트도 있다.

드론-UAM, 보안의 새로운 과제로 떠올라

자동차와 함께 미래 모빌리티의 핵심 동력으로 언급되는 기술 중 하나가 드론이다. 드론은 자동차보다 빠르며 지형의 제약을 덜 받는 등 여러 이점으로 도심항공교통(UAM, Urban Air Mobility)과 함께 차세대 모빌리티 산업으로 주목받고 있다.

하지만 드론 기술이 성장하고 활용이 늘어남에 따라 보안 위협도 점점 커지고 있다. 드론이 보안 구역이나 주거 단지에 들어가 촬영을 할 경우 개인정보를 침해할 수 있다. 또한 드론 기체가 해킹될 수도 있으며, 재밍·디도스와 같은 공격을 받아 추락 등 안전 사고가 발생할 가능성도 높다.

2021년 국내에서는 한 남성이 한밤중 드론을 날려 아파트 주민들의 성관계 영상을 찍어 경찰에 체포됐으며, 2016년에는 멕시코의 한 마약 조직이 미국 국경수비대의 드론을 해킹해 마약 밀입국을 시도한 사건도 있었다.

보안 전문가들은 드론 운용에 필요한 5G, GPS, 블루투스 등 네트워크 통신을 대상으로 한 공격이 더욱 심각해질 것이라고 우려하고 있다. 실제로 지난 2012년 인천 송도에서는 시험 운행 중이던 드론이 북한 추정 세력에게 재밍 공격을 받아 원격 조종사 1명이 사망하는 사고가 발생하기도 했다.

경일대학교에서 발표한 ‘드론 운용의 보안 위협과 대응 방안’ 논문 연구에 따르면, 드론은 작동 시 여러 구성 요소와 상호 의존하에 움직이기 때문에 어느 한 요소만 공격을 받게 되도 비행 경로와 제어에 큰 타격을 받게 된다.

이처럼 드론을 겨냥한 공격이 늘어나면서 드론 보안 시장에 진출하는 IT, 보안 기업도 늘어나고 있다. 마크애니는 2022년 8월부터 한국교통안전공단과 함께 ‘블록체인 분산 신원 증명(DID) 기반 드론 자격·증명 체계 플랫폼 개발’ 사업을 진행하고 있다.

이번 사업은 드론 조종 자격과 기체 신고 수요가 급증하면서 나타난 종이 형태의 증명 서류 및 플라스틱 카드 자격증 문제를 개선하기 위해 시행됐다. 이 사업을 통해 마크애니는 드론에 필요한 다양한 서류와 정보를 안전하게 연계해 드론의 정보 투명성과 보안성을 높일 예정이다.

센스톤은 드론의 제어권 탈취와 피아 식별 문제에 대응하기 위한 OTAC(One-Time Authentication Code) 기술을 제공하고 있다. OTAC 기술은 서버와 연결할 수 없는 상황에서 PKI 모듈 등 추가적인 하드웨어 없이 매번 변경되는 인증 코드를 생성한다. 누군가가 이를 습득해 사용하려고 해도 이미 코드가 변경된 상태이기 때문에 악용할 수 없고, OTAC로 생성된 코드는 중복되지 않는 고유 값을 가져 드론 식별도 가능하다.

박석종 한국드론산업협회 회장은 “드론은 산업 구조상 하드웨어(HW)·활용 산업보다 보안을 포함한 SW 산업의 부가 가치가 훨씬 높다. 따라서 드론 보안 산업의 전망은 밝다고 볼 수 있다. 또한 국방과 상업 분야 모두에서 위치 정보 취득, 기체 해킹 등 드론을 노린 사이버 공격이 늘어나고 있다.

이에 드론의 보안 시스템 구축은 앞으로 드론 산업의 성장을 위해 필수적이다. 한 가지 아쉬운 점은 미국, 유럽 등 해외에 비해 우리나라는 드론 보안 산업에 대한 투자가 미비하다는 점이다. 이런 점만 개선된다면 드론 보안 산업은 더욱 빠르게 발전할 수 있다”라고 설명했다.

드론과 함께 보안에 대한 논의가 시급한 분야가 UAM이다. UAM은 그동안 없었던 서비스이며 사람의 생명과 직결되는 기술이기 때문에 보안·안전 사고에 대한 우려가 더 크다.

항공안전기술원(KIAST)이 실시한 UAM 보안 사고 위험성 측면 연구에 따르면, UAM에서 발생할 수 있는 사고는 크게 보안 사고와 안전 사고로 나뉜다. 해킹이나 GPS, 신호 위변조 등 외부 공격으로 인해 UAM 인프라에 문제가 생기면 도심 전체의 교통이 마비될 수 있다. 또한 조종사 실수·안전 장치 미비·결함 등으로 인한 안전 사고도 우려되는 사항이다.

게다가 UAM에서는 운행하는 기체의 보안뿐 아니라, UAM 운용을 위한 버티포트(Vertiport, UAM 탑승 및 운영 시설)의 보안도 중요하다. 전문가들은 UAM 상용화를 위해서는 기존 항공기 보안 검색보다 간편한 보안 검색 기술이 필요하다고 보고 있다. 이에 최근에는 워킹스루 보안 검색이 주목받고 있다. 워킹스루 보안 검색에서는 얼굴 인식, 이상 행동 탐지 등 첨단 기술이 탑재된 AI가 3D 영상을 통해 실시간으로 보안 검색을 한다.

UAM은 아직 시작 단계인 만큼 보안 기술도 연구가 더 필요한 상황이다. 마침 정부는 2025년까지 UAM을 상용화하고 2026년까지 항공 보안에 약 3013억 원을 투자한다는 계획을 밝혔다. 이에 따라 향후 드론과 UAM의 보안 산업은 더 성장할 것으로 보인다.

공유PM, 시장 급성장에 보안 대책 마련돼야

미래 모빌리티 중에서 빠르게 성장하고 있는 곳 중 하나가 공유PM 시장이다. 전동킥보드를 중심으로 한 공유PM은 그동안 안전모 등 안전 장치 미비로 인한 안전 문제로 많은 지적을 받았다. 하지만 최근에는 몇몇 보안 사고가 터지면서 보안 문제에 대한 언급도 조금씩 나오고 있다.

업계에 따르면, 전용 앱 내의 QR코드와 신분증 인증으로 이용하는 전동킥보드는 해킹을 통한 원격 제어·개인정보 탈취, 스미싱 등 사이버 공격에 취약하다. 실제로 지난 11월 러시아에서는 40개 넘는 도시에서 운영 중인 공유 스쿠터 시스템이 해킹돼 카드 정보 등 720만 명 사용자의 개인정보가 유출됐다.

한국정보기술원(KITRI)은 2019년 11월 전동킥보드 앱을 해킹하는 시연을 선보였다. 당시 해당 앱에서는 계정을 탈취해 무단으로 이용하게 하고, 서비스를 불능 상태로 만드는 등 여러 보안 취약점이 발견됐다. 이에 KITRI와 한국인터넷진흥원(KISA)은 전동킥보드 공유 서비스 보안 가이드라인을 만들어 배포했다. 전문가들은 공유PM이 ICT 기반의 공유 서비스로 해킹 등 사이버 공격에 취약하며, 앱 개발 과정에서도 같은 라이브러리나 소스를 쓰는 경우가 많기 때문에 보안 문제가 발생할 가능성이 높다고 지적한다.

PM업계 관계자는 “아직까지 공유PM 관련 보안 사고는 많지 않지만, 전용 앱 등 IT 서비스를 기반으로 한다는 점에서 PM 또한 보안 대책을 제대로 마련할 필요가 있다. 특히 한동안 이슈가 됐던 신분증 도용 등 사용자 인증 방식에 있어서는 보안이 중요하다. 그런 점에서 PM의 안전한 사용 환경을 만드는데 보안은 꼭 필요한 요소다”라고 말했다.

아직까지 PM에 보안 솔루션을 구축한 사례는 없다. 하지만 최근 씽씽, 킥고잉 등 PM 기업들이 안전을 위해 센서, 카메라, 사물인터넷(IoT), 첨단운전자지원시스템(ADAS) 등 다양한 IT 장치를 도입하고 있는 상황이라, 보안 기업들의 PM 시장 진출도 곧 이뤄질 것으로 예상된다.

모빌리티는 과학 기술과 ICT를 등에 업고 빠르게 진화하고 있다. 하지만 부품이 전장화되고 내외부 장치가 SW로 연결되면서 외부와의 소통이 많아졌고, 덩달아 다양한 보안 위협에도 노출되고 있다. 이에 이제 모빌리티는 보안 없이는 달릴 수 없다. 미래 모빌리티의 질주가 멈추지 않기 위해서는 보안이라는 안전벨트를 꼭 매야만 한다.