해외 자동차업체는 보안전문회사도 설립했다는데...
국내 자동차 제조사들, 스마트카 보안기술 개발 아직 ‘걸음마’

[보안뉴스 김태형] 최근 사물인터넷(IoT)의 발달로 자동차와 인터넷이 긴밀하게 연결되는 ‘커넥티드카’ 시대를 열었다. 하지만 해킹을 통한 오작동 사고는 인간의 생명도 위협할 수 있기 때문에 보안기술 개발이 시급한 실정이다.


최근 스마트카 보안 위협사례를 보면, 지난 2013년 포드 이스케이프와 도요타 프리우스에 대해 CAN(Controller Area Network)과 전장 ECU(Electronic Control Unit)를 해킹한 코드가 공개된 바 있다. 이와 함께 미국의 고속도로 교통표시판이 해킹되고, 미국 주요 도시에 설치된 일부 교통제어 시스템이 외부에 노출되기도 했다.

또한, 지난해에는 GM사 차량의 경우 온스타 리모트링크(OnStar RemoteLink)라는 앱을 통해 원격에서 차량의 위치를 파악하고 잠금장치 해제, 그리고 원격 시동도 가능하다는 사실이 시연을 통해 공개됐다. 이 외에도 지프 체로키의 인포테인먼트 시스템 유커넥트(UConnect)를 이용한 원격 해킹 취약점이 발견됐다.

이와 같이 최근 다양한 자동화 기능을 장착한 자동차들이 대거 출시되는 동시에 다양한 보안 취약점들도 보고되고 있다. BMW, 아우디 등 고급차를 대상으로 GPS 트래킹 등 사이버 보안 취약점을 악용한 신종 차량절도 사고들이 지속적으로 발생하고 있다.

이에 따라 미국이나 EU, 일본 등 주요 선진국에서는 스마트카 보안위협에 대응하기 위한 보안 요구사항 도출과 함께 관련 연구개발을 활발하게 수행하고 있다. 스마트카는 기존 차량에 비해 더 많은 전자 및 통신기능이 내장됨에 따라 해킹이나 오작동의 위험이 훨씬 커졌기 때문이다.

특히, 차량 내부통신 처리를 위한 다양한 커넥티드 서비스에서의 정보유출 및 데이터 위·변조 가능성, 정부의 교통 빅데이터 구축 시 프라이버시 침해, 해킹 등을 통한 도로 안전정보 위·변조 등으로 인해 운전자 생명까지도 위협할 수 있어 보안이 매우 중요하다.

이에 미래창조과학부는 지난 2015년 6월 안전한 ICT(정보통신기술) 융합 서비스에 필요한 보안기술을 개발하고, 시범 적용하는 ‘융합보안 시범사업’ 과제로 교통, 금융 등에 관련된 5개 과제를 선정했다. 이 중 스마트카 보안과 관련된 교통 분야는 펜타시큐리티시스템이 ‘차세대 지능형 교통시스템(C-ITS)’, ‘스마트카 보안’ 부문에서는 시피에스가 ‘교통신호제어기 관련 보안기술’ 개발을 진행하고 있다.

특히, 펜타시큐리티는 ‘스마트카 인증, 보안통신 및 L7 방화벽 기술 시제품 개발’을 과제로 스마트카 및 차세대 ITS 서비스에서 발생 가능한 통신 도청, 원격 해킹 등의 IT 보안 위협 방지를 위해 차량과 차량, 차량과 도로 인프라 간 보안통신 SW와 스마트카 전용 방화벽 개발을 진행 중이다. 이를 통해 차량 보안통신, 스마트카 원격 해킹 방지를 통한 안전한 차세대 ITS 이용환경 조성을 위해 노력하고 있다.

얼마 전 지난 20년 동안 만든 차들의 잠금장치를 쉽게 해제하는 방법이 공개된 폭스바겐에서는 이스라엘의 보안전문가들과 함께 자동차 보안 회사를 설립했다는 소식이 전해졌다. 이 회사의 이름은 ‘CYMOTIVE Technologies’로 이스라엘 헤르츨리야 지역과 독일의 볼프스부르크에 사무실을 두게 된다. 의장은 이스라엘의 보안 에이전시인 쉰 벳(Shin Bet)의 회장이었던 유발 디스킨(Yuval Diskin)이 맡는다. 아울러 차프리르 캣츠(Tsafrir Kats)와 타미르 베코(Tamir Bechor) 박사가 힘을 보탤 계획이다.

그럼 국내 자동차 생산업체에서는 자동차 보안과 관련해서 어떤 연구와 개발 노력을 하고 있을까? 국내 쌍용자동차 관계자는 “쌍용의 차량에는 네트워크를 통해 외부와 통신이 가능한 자동화된 기능을 탑재한 차종은 없다. 하지만 스마트카와 관련된 자동차 해킹이나 안전에 대응하는 기술과 관련해서는 연구소내에서 여러 팀들이 관여하고 있다”고 설명했다.

또한, 현대기아자동차 관계자는 “자동차 보안과 관련해서는 연구소에서 여러 가지 분야를 연구개발하고 있다. 최근 원격 시동이나 자율주행 기능이 탑재된 자동차와 관련해서는 지속적으로 보안기능을 업데이트하고 있다”고 말했다.

글로벌 업체 한국GM 관계자는 “본사 차원에서 글로벌 유닛들과 함께 자동차 보안 위협에 대한 기술을 연구·개발하고 있다. 센서 기반의 능동 안전 기능, 레이더, 원격제어 등이 적용된 차종이 있는 만큼 외부의 간섭이나 침입에 대한 방어기술도 갖추고 있다”면서 “GM은 앞으로 이러한 스마트 기능을 적용한 차량들이 지속적으로 개발·생산될 것이기 때문에 관련 보안기업들과의 협력을 통해 최신 보안위협에 대응하는 기술을 계속 연구할 것”이라고 밝혔다.

이처럼 국내 자동차 생산업체들은 스마트카 보안위협 대응 기술에 대한 연구를 본격적으로 시작한 상태다. 하지만 아직 초기단계라 구체적으로 공개할 만한 것은 없다는 설명이다. 이는 실제 내세울만한 연구결과가 없기 때문이기도 하지만, 자동차회사들이 보다 강력한 보안 기술을 적용한다고 공개하면, 또 누군가는 해킹을 지속적으로 시도하는 등 위협을 가할 수 있기 때문이기도 하다.

한편, 웹 보안 솔루션 전문 기업 펜타시큐리티는 지난해 차량용 인증시스템 ‘아우토크립트’를 개발했다. 여기에는 외부에서 차량으로 유입되는 해킹 공격을 어플리케이션 레벨에서 탐지하는 차량용 방화벽과 차량 내부에서 암호화키를 생성하고 관리하는 차량용 키관리 시스템(KMS) 등을 포함하고 있다.

이에 대해 펜타시큐리티 심상규 이사는 “펜타시큐리티의 기반 기술을 활용해 차량용 인증시스템 구축 및 시범사업을 현재 진행하고 있다. 국내 자동차 제조사들은 스마트카와 관련된 부분이 법제화되면 그 기준에 맞춰 관련 보안기술들을 내놓기 위해 연구 중인 것으로 안다”면서 “펜타시큐리티는 스마트카 보안 솔루션인 아우토크립트에 활용된 자동차용 PKI 인증 시스템을 2017년 2월까지 차세대 ITS 시범 사업에 적용할 예정이다. 아우토크립트의 PKI를 구성하는 인증기관(CA), 등록기관(RA), 익명화기관(LA) 등의 서버 제품과 차량과 도로변 통신기기에 탑재될 인증서관리 소프트웨어를 제공하게 되는데, 나중에는 스마트카 관련 보안을 위한 기반 기술로 활용될 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>