급증하는 커넥티드카 보안 위협 어떻게 준비하고 있는가?

[CCTV뉴스=이승윤 기자] 4차산업혁명이 진행됨에 따라 다양한 ICT 산업이 빠르게 발전을 하고 있다. 특히 사람들의 주요 이동수단인 자동차에 ICT 기술이 결합된 커넥티드카 시장이 급격하게 성장하고 있다. 글로벌 컨설팅 회사인 멕킨지의 보고서에 따르면 2030년에는 커넥티드카 서비스 시장이 1조 5000억 달러 규모에 이를 것으로 전망하고 있다. 하지만 커넥티드카 성장과 함께 보안 위협도 증가하고 있는 가운데 이를 어떻게 준비하고 있는지 확인해야 할 것이다.

커넥티드카 시장이 성장하면서 이와 함께 네트워크를 통한 해킹, 물리적인 보안침해 등 커넥티드카를 겨냥한 보안위협이 증가하고 있다. 2016년 중국 ‘킨 시큐리티 랩(Keen Security Lab)의 연구원들이 테슬라 '모델 S'를 해킹해, 원격으로 브레이크, 잠금 장치, 내비게이션을 제어할 수 있다는 것을 보여준 사례가 있었으며, 미국 화이트해커 찰리 밀러와 크리스 발라섹이 피아트 크라이슬러의 ‘지프 체로키’를 해킹해 차량 와이퍼와 운전대를 원격 조종한 영상이 공개된 뒤 피아트크라이슬러는 보안 취약점이 발견된 차량 140만대를 리콜했다.

국내에서도 노르마가 ‘2018 부산국제모터쇼’에서 자동차 블루투스 해킹을 시연했다. 당시 노트북으로 3분 남짓한 시간만에 블루투스를 해킹해 오작동 하는 모습을 보여주면서 커넥티드카의 보안 위험성을 경고했다. 한국인터넷진흥원에서 커넥티드카를 담당하고 있는 지능 정보보안팀 이향진 팀장은 “커넥티드카의 보안위협은 정보를 변조하거나 탈취하는 일반적인 사이버 보안위협과는 다르다”며, “실제 차량을 물리적으로 조작하거나, 오작동을 유발해 생명과 재산을 위협하기 때문에 보안이 매우 중요하다”고 말했다.

커넥티드카 위협이 급증하면서 이에 대응하기 위해, 국내 외 보안업체들은 커넥티드카 보안 솔루션을 개발하고 있으며, 전세계 국가 기관과 국제단체에서는 안전한 커넥티드카 환경을 조성하기 위해 다양한 정책을 준비하고 있다. 특히 커넥티드카 시장이 빠르게 성장중인 미국, 일본, 영국 등 선진국들은 커넥티드카 보안에 대한 심각성을 빠르게 인지하고 대책마련과 함께 커넥티드카 보안에 대한 내용을 담은 보안 가이드 라인을 제시하고 있다.

미국, 커넥티드카 사이버 안전을 위한 7가지 지침 제시

테슬라, 제너럴 모터스(GM), 포드 등 커넥티드카 선진기술을 가진 기업이 있는 미국은 네트워크 해킹, 물리적 보안침해 등 보안위협에 대비하기 위한 보안 가이드 라인을 제시하고 있다. 미국 도로교통안전국(NHTSA)은 2016년 9월에 자율주행자동차의 15가지 안전성 평가 기준의 내용을 담은 ’Federal Automated Vehicles Policy’를 발표했으며, 같은 해 10월 사이버안전 강화에 대한 내용을 담은 ‘Cybersecurity Best Practices for Modern Vehicles’를 발표했다. 특히 NHTSA는 자동차에서 사이버보안이 중요하다고 판단해, 자동차 업계에 7가지 사이 버보안 지침을 제시했다.

미국은 정보통신, 금융, 에너지 등 다양한 곳에서 활용되고 있는 ‘인터넷보안센터의 효과적인 사이버 방어를 위한 중요 보안 제어(CIS CSC)’와 같은 지침을 자동차 업계에서도 검토하고 적용할 것을 권고하고 있다. 또한, 보안 제어 접근방법으로 사이버보안의 공백 평가 수행, 시행 로드맵 개발, 효율적이고 체계적으로 사이보안 계획 실행, 자동차 시스템과 사업 운용 제어 통합, 주기적인 진행과정 보고와 모니터링 등을 고려해야 한다고 제시하고 있다.

일본, 커넥티드카 잠재적 보안위협에 대한 보안대책 설정

일본의 정보처리추진기구(IPA)는 2013년에 자동차 시스템의 라이프 사이클인 기획, 단계, 개발, 운용, 폐기 5단계의 보안 강화를 목적으로 가이드를 개발했다. 이후 자율주행 기술 실용화, 커넥티드 서비스 실현과 보안 대책 검토, 표준화 등이 진행됨에 따라 2017년 가이드 내용을 일부 개정한 ‘Approaches for Vehicle Information Security’ 가이드를 발표했다. 이 가이드에서는 커넥티드카에서 나타날 수 있는 보안위협은 사용자 조작으로 인한 위협과 공격자에 의한 위협 두가지로 나눴다.

우선 사용자 미숙으로발생할 수 있는 보안위협은 설정오류와 바이러스 감염이 있는데, 설정오류의 경우 자동차의 사용자 인터페이스를 통해 사용자가 잘못 설정해 나타난 위협으로 인포테인먼트 기능에서 의도하지않은 서비스 사업자에게 개인정보를 송부 , 텔레메틱스(Telematics) 통신의 암호화 기능을 설정하지 않아 통신 정보가 도청당하는 등이 해당된다.

바이러스 감염은 이용자가 외부에서 가져온 장비를 통해 자동차 시스템에 바이러스나 기타 멀웨어 등에 감염돼 발생하는 위협으로 부정이용, 잘못된 설정, 정보 유출 등 총 8개의 위협을 규정하고 있는데, 대부분 네트워크를 이용한 공격 위협에 대한 내용이 들어있다.

일본은 사용자와 공격자에 의한 두가지 위협에 대한 보안대책을 가이드에 제시하고 있다. 그 내용은 다음과 같다.

국내, 커넥티드카 위협 시나리오별 보안항목 구성

우리나라도 커넥티드카 성장과 함께 나타나는 보안 위협에 대응하기 위해 과학기술정통부(과기정통부)와 한국인터넷진흥원(KISA)가 2018년 5월 ‘스마트교통 사이버 보안 가이드(이하 교통보안가이드)’를 발표했다. 교통보안가이드는 스마트교통과 관련된 차량과 서비스를 인포테인먼트, 통신, 진단 및 유지보수, 차체, 동력과 섀시(Chassis) 등 5가지 구성 요소와 차량 간 통신(V2V), 차량과 교통 인프라 간 통신(V2I), 차량과 네트워크 간 통신(V2N) 3가지 유형으로 분류하고 보안 위협 시나리오와 보안 요구 사항에 대한 내용을 담고 있다.

KISA 이향진 팀장은 “가이드는 실제 보안 연구와 시연 사례를 바탕으로 발생 가능한 보안위협을 분류하고 각 보안위협별로 보안 요구사항과 대응방안을 제시했다”고 말했다.

우리나라의 커넥티드카 가이드는 선진국들과 비슷하지만, 각 발생 할 수 있는 보안 위협 시나리오에 맞춘 보안 항목이 구성돼 있다는 점에서 차별화 된다. 가이드에서는 커넥티드카에서 발생할 수 있는 보안 위협은 ▲물리적 위협 ▲모바일 기기 조작 ▲펌웨어 조작 ▲메시지 위·변조 ▲중계공격 ▲Dos 공격 ▲미숙한 서비스 관리 ▲사용자 부주의 등 8가지로 분류하고 있다. 가이드는 각 시나리오에 맞춘 보안 요구사항과 보안항목으로 구성돼 있어 맞춤형 대응이 가능하다.

커넥티드카 보안 강화 위해 기관과 협·단체 협력 필요

국내에서는 ‘스마트교통 사이버보안 가이드’외에도 커넥티드카 보안을 강화하기 위해 다양한 사업이 진행되고 있다. KISA와 과기정통부는 지난해부터 커넥티드카에서 발생하는 사이버 침해사고(보안위협) 시나리오 개발과 분석방법 연구 등을 추진하고 있다. 또한, KISA는 국토교통부(국토부)가 추진하는 자율협력주행 시범사업에 참여해 V2X 보안인증 체계 마련을 추진하고 있다.

하지만 향후 커넥티드카 포함해 발전하는 ICT 보안에 대응하기 위해서는 국가기관과 협·단체의 협력이 필요할 것으로 보인다. 국내에서 보안에 대해 집중하고 있는 곳이 과기정통부와 KISA 이외에는 거의 없기 때문이다.

KISA 이향진 팀장은 “커넥티드카를 포함해 ICT 융합산업의 사이버보안을 강화하기 위해서는 과기부나 KISA 단독으로 정책을 수립하고 이행하는 것은 어렵다”며, “앞으로 진화될 사이버 보안에 대응하기 위해서는 산업을 담당하는 소관 부처와 산하기관, 그리고 사이버보안을 담당하는 과기부와 KISA 간 협력을 통해 다양한 산업에서의 보안성 강화를 위한 정책을 만들어가야 할 것”이라고 말했다.