스마트카 뜨니 자동차 보안 시장도 꿈틀

운전자가 조작하지 않았는데도 자동차가 해킹으로 인해 제멋대로 급가속하다가 중앙 차선을 넘어 역주행하는 무시무시한 시나리오는 더 이상 상상속의 일이 아니다.

지난해 미국서 개최된 해킹컨퍼런스인 블랙햇, 데프콘23에 참석한 찰리 밀러, 크리스 발라섹이라는 유명 해커들은 이런 위험한 일이 실제 벌어지기까지 멀지 않았다는 사실을 피아트 크라이슬러가 제조한 지프 그랜드 체로키에 대한 해킹 시연을 통해 증명했다.

그우려에만 그쳤던 자동차 해킹이 이제는 현실로 다가오기 시작했다. 이에 따라 자동차용 보안 솔루션을 향한 관련 업계의 행보도 빨라졌다.

자동차에 대한 해킹 위협이 우려가 아닌 현실이 돼가고 있는 시점에서 보안솔루션 도입이 필수가 됐다.

■자동차 보안, 기존 IT와 다른 접근법 필요

시만텍이 공개한 '자동차의 포괄적인 보안 구축(Building Comprehensive Security Into Cars)' 백서에 따르면 전통 IT시스템에서 발생하는 보안위협은 대부분 빠른 보안업데이트 설치나 설정변경 등을 통해 해결할 수 있었다. 전산망이 마비되는 최악의 경우라고 해도 시스템을 백업해놓거나 재난망을 운영하는 방법으로 복구가 가능했다. 더 복잡한 해킹사고에 대해서는 침해사고대응팀이 직접 위협을 분석하고, 대처해 왔다.

문제는 자동차에서는 이러한 방식이 작동하지 않는다는 점이다. 미국은 연방자동차안전기준(FMVSS)에 따라 자동차 내부 소프트웨어에 대한 주간, 일간, 실시간 업데이트를 허용하지 않고 있다. 더구나 도로 위를 달리는 수많은 자동차들에 대해 보안문제가 발생할 때마다 침해사고대응팀을 부를 수도 없는 노릇이다. 백업이나 재난망을 통한 접근법 역시 적용하기 불가능하다.

이 같은 변화를 감지한 여러 보안회사들이 자동차 전용 보안솔루션 개발에 공을 들이는 중이다.

시만텍이 공개한 자동차 보안 원칙은 다음과 같다.

1. 모든 커뮤니케이션을 보호

2. 개별 센서, 구동부(액츄에이터), 마이크로컨트

롤러(MCU), 마이크로프로세서를 보호

3. 안전하면서 효과적으로 전반적인 자동차와 외부통신(OTA)을 관리

4. 지능형 위협 약화시키기

시만텍은 자동차 보안을 위한 4가지 원칙을 제시했다. (자료=시만텍 자동차 보안 백서)

■시만텍, 위협 막으려 머신러닝까지 도입

이러한 맥락에서 시만텍은 최근 '어노멀리 디텍션 포 오토모티브'라는 자동차용 보안솔루션을 공개했다. 이 솔루션은 머신러닝 기술을 활용해 자동차 내부에서 발생할 수 있는 보안위협을 초기에 빠르게 탐지, 분석해 완화하는 것을 목표로 한다. 자동차 내부에서 각종 센서, 구동부(액츄에이터), 제어부(컨트롤러)들을 말하는 전자제어장치(ECU)에 명령을 내리는 통신프로토콜인 CAN버스를 타고 오가는 모든 트래픽을 조사해 정상과 비정상을 구분해내겠다는 시도다.

지난해부터 자동차용 보안솔루션 개발에 나선 이 회사는 '시만텍 임베디드 시큐리티 : 크리티컬 시스템 프로텍션', 코드서명 기능, 매니지드 PKI 등 솔루션도 내놓았다.

이를 통해 자동차 제조사, 반도체 회사, 기타 관련 기업들과 협업해 자동차 보안 생태계를 꾸린다는 전략이다.

아스테크니카에 따르면 시만텍 IoT 사업부문 선임 디렉터인 브라이언 위튼은 "이미 여러 대형 자동차 OEM들이 (자사) 보안솔루션을 적용키로 했으며, 매년 1천만대 새로운 자동차에 이러한 보안기술들이 적용될 것"이라고 전망했다.

펜타시큐리티는 그동안 자동차에 적용되지 않았던 애플리케이션 방화벽, 암호화 통신이 기본 적용돼야 한다고 강조했다. 이를 구현하기 위해 이 회사는 '아우토크립트(AutoCrypt)'라는 보안솔루션을 출시했다. (자료=펜타시큐리티 블로그)

■펜타시큐리티, 자동차용 방화벽-암호화 통신 주목

자동차 보안 분야에서 국내 보안회사인 펜타시큐리티시스템의 행보도 주목된다. 이 회사는 최근 선보인 '아우토크립트(AutoCrypt)'라는 자동차용 보안솔루션과 함께 기존 웹방화벽, IoT 보안 기술력을 인정받아 프로스트앤설리반이 주관한 '제13회 아시아태평양 ICT 어워드'에서 올해 최고 보안 기업으로 선정됐다.

이 회사 내 IoT융합보안연구소인 피클(PCIL)을 맡고 있는 심상규 연구소장은 자동차를 해킹으로부터 안전하게 보호하기 위한 방법을 크게 두 가지로 구분했다. 자동차 통신채널을 안전하게 보호해야하며, 자동차 내부 보안에 중점을 둬야한다는 설명이다.

이를 구현하기 위해 아우토크립트는 자동차용 애플리케이션 방화벽과 암호화 통신 기술을 제공하는 방법을 취했다. 기존 웹애플리케이션 방화벽 분야에서 확보했던 기술력을 자동차에 적용할 수 있도록 경량화하고, 공개키기반구조(PKI)를 도입해 암호화 통신과 이를 위한 키를 발급, 보관, 관리하는 프로세스를 구현한 것이다. 마치 웹사이트에 암호화 통신을 구현하기 위해 HTTPS 프로토콜을 쓰듯이 자동차 내외부에서 일어나는 여러 통신영역을 관리한다는 구상이다.

심 소장은 "지난해 지프 체로키 해킹 시연은 자동차 내에 무선통신채널이 해킹당할 수 있다는 사실을 보여준다"며 "공격자들이 (자동차와 연결되는) 무선통신채널 자체를 악용하는 것까지는 막기 어렵더라도 이러한 악성 트래픽이 자동차 내부 시스템에까지 접근하지 못하도록 차단해야한다"고 설명했다.

시만텍, 펜타시큐리티 외에도 아르거스 사이버시큐리티가 자동차 내에서 발생할 수 있는 공격을 탐지할 수 있는 보안솔루션을 공급한다는 계획을 밝히고 있으며, 타워섹은 자동차 내 핵심시스템, 텔레매틱스 시스템, 인포테인먼트시스템을 보호할 수 있는 전용 방화벽을 제공한다는 계획이다.

■자동차 보안 시장 성장 예고...운전자용 보안솔루션도 등장

자동차 제조사나 부품협력사들 외에도 개인 운전자들이 직접 구매해서 쓸 수 있는 자동차용 보안솔루션들도 등장하기 시작했다. 그만큼 관련 시장이 성장할 것이라는 기대감이 높아졌기 때문이다.

카프리카 시큐리티, 스마트드라이브, 리트엑스(Lytx), 나브디(Navdy)와 같은 스타트업들은 제조사가 아니라 운전자들에게 필요한 보안솔루션을 제공한다는 접근법을 취했다.

대표적으로 카프리카 시큐리티는 자동차 진단용으로 쓰이는 OBD-II 포트에 꽂아서 쓸 수 있는 방화벽 기능을 가진 소형 동글인 '비히클 가디언'을 선보였다. 이 회사는 자동차가 30개~40개 가량 소프트웨어 모듈을 가졌으며, 70여개 전자제어장치(ECU)를 통해 브레이크, 에어백, 트랜스미션, 파워윈도 등을 제어한다는 점에서 앞으로도 보안 문제가 불거질 가능성이 클 것이라고 내다봤다.

이제 자동차는 다른 자동차와 통신하거나 지능형 교통시스템(ITS) 혹은 스마트기기와 통신하게 된다. 이러한 개념을 두고 '커넥티드카'라고 부른다. 이들 간 연결에 대해 IEEE는일종의 차량용 와이파이 규격인 'WAVE(Wireless Access in Vehicular Environment)'에 대한 표준화 작업이 진행 중이다.