사물인터넷 기술 접목시킨 최신 자동차들에 위험요소 많아
자동차 제조사들의 보안 관련 인식 수준 낮고 소비자 신뢰 낮아

[보안뉴스 문가용] 미국의 자동차 산업의 정보 공유 및 분석 센터인 Auto-ISAC이 최근 사이버 보안을 위한 실천 사항을 발간했다. 이 문서는 5개월여의 집필 과정을 거쳤으며 사이버 보안 전문가 50명이 참여한 것으로 알려졌다. 스마트카를 제조할 계획을 가지고 있는 자동차 제조사들을 넘어 자동차 산업 전체가 앞으로 가져가야할 필수적인 보안 지식 및 행동 사항들이 소개되고 있다.


해당 가이드라인은 크게 일곱 개 영역을 다루고 있는데 이는 1) 거버넌스와 책임, 2) 위험 평가와 관리, 3) 보안이 강화된 설계, 4) 위협 탐지와 완화, 5) 사건 대응 등을 포함한다. 세부 내용들은 이미 널리 받아들여지고 있는 사이버 보안 표준인 NIST나 ISO의 것들을 ‘자동차 산업’에 적용시킨 것이라고 볼 수 있다. 예를 들어 거버넌스와 책임 부분은 ISO/IEC 27001 가이드라인에 기초하고 있고, 차량 보안에 대한 감독 및 검사의 올바른 방법, 사이버 보안에 적정한 자원 배치하는 방법 등이 다뤄진다.

비슷한 예로 위험 평가와 관리에 관한 가이드라인 부분이 있다. 이 부분은 NIST의 자료들중 800-30을 토대로 작성되었으며 사이버 위험 올바로 판별하고 우선순위 정하기, 판별된 위험 관리 절차, 지속적인 위험 평가 기록 남기기 등을 다루고 있다. 그밖에 참고가 된 기존 가이드라인은 NIST SP 800-61, NIST SP 800-150, ISO/IEC 27010이 있다.

“자동차 제조사들은 운전자의 안전을 구체화시키기 위해 사이버 공격이 일어날 것을 기다렸다가 대처할 것이 아니라 먼저 적극 나서서 방어하는, 이른 바 능동형 보안의 자세를 취해야 합니다.” 자동차 ISAC의 의장이자 도요타의 임원인 톰 스트리커(Tom Stricker)의 설명이다. “이것이 자동차 보안의 가장 큰 방향이며 자세라고 볼 수 있습니다.”

미국의 자동차 ISAC은 거의 주기적이다 싶을 정도로 발생하고 있는 여러 사이버 보안 공격으로 인한 소비자의 신뢰를 회복하기 위한 노력의 일환이기도 하다. 현대의 차량에는 무선 전자 요소가 많이 들어가고, 그에 따른 다양한 기능들이 탑재된다. 그리고 이 부분들이 각종 보안 공격에 취약하다는 것이 여러 보안 전문가들의 주장이다. 일부는 이론적으로만 남아있기도 하지만, 이미 증명된 것들도 많다.

작년에는 두 명의 보안 전문가가 2014년형 지프 셰로키의 브레이킹 및 스티어링 시스템에 원격으로 침투할 수 있다는 것을 증명해냈다. 실험 당시 차량과 보안 전문가 사이의 거리는 10마일이었으며 자동차는 심지어 시속 70마일 정도로 움직이고 있었다. 이 때문에 크라이슬러는 1백 40만 대의 차량을 리콜하기도 했다.

다른 보안 전문가들도 비슷한 실험에 성공했으며 심지어 특수 조작된 SMS 메시지를 통해서도 차량의 브레이킹 시스템 및 기타 치명적인 시스템에도 침투가 가능하다는 사실을 밝혀냈다.

이런 문제들이 차례로 발견된 것 자체야 소비자들의 심리에 큰 영향을 미치지는 못했으나, 이에 대한 제조사들의 대처가 너무나 느렸다. 보안 문제에 대한 인식수준 자체가 낮았으며, 이 때문에 실제 자동차 해킹으로 인한 탈취 사건도 벌어졌다. 신뢰가 서서히 떨어져가기 시작한 것이다.

이를 촉발시킨 것은 지난 2월 에드워드 마키(Edward Markey)라는 매사추세츠 주 상원의원의 보고서였다. 마키 의원은 10개가 넘는 자동차 제조사들에게 보안 관련 문의사항을 넣고 이에 대한 반응을 모아 당시 자동차 제조사들의 인식을 조사한 것. 결과적으로 제대로 된 보안 절차나 정책을 도입한 기업은 거의 없는 것으로 나타났다.

이번 발간된 가이드라인이 신뢰를 얼마나 회복시켜줄지가 관건이다. 한편 가이드라인은 여기서 열람이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>