자동차 데이터 및 소프트웨어 조작·외부 네트워크 연결 등 보안 필수

[보안뉴스 김경애] 자동차가 IT기술과 빠르게 융합되면서 자동차가 각종 편의를 제공하는 생활공간의 일부로 변화되고 있다. 즉, 자동차와 스마트폰이 연계되어 차량을 원격 제어하는 기술이 보편화되면서 다양한 차량편의 시스템이 도입되고 있는 것이다.

그러나 이렇게 발전한 기술만큼이나 보안위협에 대한 관심도 커지고 있다. 외부로부터 공격경로가 존재하게 되고, 자동차 해킹 도구가 공개되는 등 다양한 보안위협이 도사리고 있기 때문이다.

‘2013년 스마트 자동차 및 의료보안 세미나’에서 고려대학교 차영태 교수는 “자동차 내부 네트워크에 접속한 상태에서 엔진, 브레이크 등을 컴퓨터로 제어하는 시스템 공격이 가능하고, 외부 기기가 USB를 통해 오디오 시스템을 조정할 수 있다”고 밝혔다. 또한, 특정 자동차에 연결된 Pass Thru(컴퓨터와 OBD-2 포트를 이어주는 도구)와 같은 Wi-Fi 네트워크 컴퓨터는 해당 자동차 접근은 물론 Pass Thru 도구에 악성코드 주입이 가능하다고 덧붙였다.

이에 따라 차 교수는 자동차 보안을 자동차의 엔진, 자동변속기, ABS 등의 상태를 컴퓨터로 제어하는 전자제어 장치 ECU(Electronic Control Unit) 보안 플랫폼, 자동차 내부 네트워크 보안, 자동차 외부 네트워크 보안, 차량용 단말기인 OBU 보안 플랫폼으로 분류하며, △EVITA 프로젝트 △SEVECOM 프로젝트 △OVERSEE 프로젝트에서 적용된 자동차 보안체계에 대해 소개했다.

EVITA 프로젝트에서는 ECU용 보안 플랫폼과 자동차 내부(ECU-ECU 사이) 통신 보안으로 △자동차 전자장치의 허가되지 않은 조작(Manipulation) △안전,  m-commerce 등과 관련된 자동차 응용 프로그램의 허가되지 않은 변조(Modification) △운전자의 프라이버시 보호 △자동차 회사 및 부품 회사의 지적 소유권 보호 △응용 프로그램 및 보안 서비스의 운영 성능 유지 등을 자동차 보안의 목표로 하고 있다.

▲ 고려대학교 차영태 교수

SEVECOM 프로젝트는 HSM(Hardware Security Module)과 자동차 내부 통신 보안으로 △자동차 통신 시스템 △전송 데이터 및 자동차 자체에 대한 위협 분석 △사용 가능한 Security Architecture 명세서를 제공하는 프로젝트다.

이 프로젝트는 전체 아키텍처와 자동차 내부의 보안 기능을 통해 △여러 개의 응용 프로그램을 하나의 ECU에서 구동하기 위한 플랫폼 제공 △신뢰할 수 있는(Secure And Dependable) Runtime Environment 제공 △자동차 내부 네트워크에 접속하는 한 개의 안전한 접점 제공 △Security 서비스(API)에 접속하는 표준화된 인터페이스 제공 △Secure And Non-Deniable 기록능력 제공하기 위한 것이다.

마지막으로 OVERSEE 프로젝트는 안전한 차량 엑세스 서비스인 SVAS(Secure Vehicle Access Service)를 통해 어플리케이션이 자동차 내부 네트워크와 안전하게 통신할 수 있도록 하며, 방화벽(Firewall)은 SVAS와 다른 통신 서비스 사이의 데이터 전송을 통제하게 된다.

이와 관련 차 교수는 “자동차 보안의 중요성이 더욱 높아지고 있다”며 “기존 자동차의 데이터 및 소프트웨어 조작 부분과 함께 외부 네트워크와의 연결에 있어 보안성을 강화해야 한다”고 강조했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>