모두가 잘 오해하지만 자동차 보안은 머나먼 미래의 기술이 아니다. 지금 당장 준비해야 할, 아니 지금도 활발히 진행되고 있는 현재의 기술이다.일본에서도 자동차 업체뿐 아니라 민간과 공공 기관이 협력하고"정보 처리 추진 기구(IPA)"과 "자동차 기술회(JSAE)"그리고"ITS(Intelligent transportation system)Japan"과 같은 각종 단체가 자동차 보안 관련 활동을 활발히 진행하고 있다.

우선"JSAE"는 이 2010년부터 자동차 보안 기술의 표준화를 위한 "보안 표준 규격 위원회"를 구성하고 향후, JSAE참가 기관에 필요한 지침을 작성하고 있으며, 일본 대표로 ITS국제 표준의 수립 등의 활동에 적극 참여하고 있다. 이러한 활동의 중심이 된다"ITS표준화 위원회"에는 자동차 회사인 도로 사업자, 통신 업계, 소비자 단체 등 대표자가 소속되고 있고 다양한 참여 기관 가운데"전자 정보 기술 산업 협회(JEITA:Japan Electronics and Information Technology Industries Association)"는 주요 기관으로서 향후 자동차 보안 대책의 기초가 된다"ISO TC204(Technical Committee)"을 담당하고 있다.최근 자동차와 스마트 폰의 통신 등의 외부 장치 간의 정보 전달 기술의 실용화가 구체화되면서 다소 이론적 차원에서 머물던 보안 대책도 점차 실용적으로 변화하고 있다.

그러나 어려운!자동 차라는 것은 원래 매우 복잡한 것이어서 자동차 보안 관련 기술도 세상에 존재하고 있는 모든 ICT기술이 총 동원되도록 너무 복잡하다.요즘 자동차는 GPS는 기본이고 NFC, 블루투스(Bluetooth), Wifi, LTE등의 다양한 기능이 도입되고 있어"이동하는 데이터 센터"라는 말도 있듯이 앞으로 자동차는 "사물 인터넷(IoT)"기술의 중심이 될 것으로 예상된다.

 

그래서 이번에는 자동차 보안에 대해서 꼭 알아야 할, 6개 핵심 기술과 그 판단 기준을 해설하려고 한다. 이는 단순히 자동차 업계에 근무하는 사람들에게만 필요한 정보는 아니다. 자동차 보안 기술은 누구나 알아야 할 기술이다. 자동차는 인간의 생명과 직결되는 매우 위험한 것으로써 자동차 보안은 다른어느 분야의 보안보다도 중요하다.자동차 보안은 사람 목숨이 관련된 것이다.

 

1.AFW(Application Firewall, 어플리케이션-션 방화벽)

자동차용 AFW는 자동차 통신 프로토콜에 최적화된 애플리케이션 방화벽이다. 차량 외부에서 유입되는 악성 통신뿐 아니라 차량 내부에서 발생하는 비정상적 통신 내용까지 모두 분석하고 대응한다.미래 자동차의 욕구를 충족시키기 위한 개발 파트너십"AUTOSAR(AUTomotive Open System Architecture, 개방형 자동차 표준 소프트웨어 구조)"의 표준에서는 이 요구를 "Firewall(경로 제어)"과 "IDS(침입 검지)"로 나누어 설명하지만, AFW는 Firewall그리고 IDS의 기능을 모두 제공하는 기술로 이해하면 된다.

자동차용 AFW기술에서 가장 중요한 판단 기준은 지능형 기술 여부의 차이다. 지금도 애플리케이션의 공격은 분야를 막론하고 모든 정보 보안 공격의 절대 다수를 차지하고 있다. 그리고 커넥티드 카가 완전히 실용화·대중화된 가까운 미래의 애플리케이션 공격의 양은 지금과는 비교가 안 될 정도로 더 늘어날 것이다. 그렇게 되면, 통신 내용을 이미 알려진 공격 리스트와 일일이 대조하고 위험성을 판별하는 기존의 서명 방식에서는 아무리 열심히 막으려고 해도 도저히 막을 수 없다.그러므로 통신 내용의 논리를 분석하고 기존 공격 외에 변종 공격과 아직 알려지지 않은 새로운 공격까지 검지하고 방어하는 지능형 엔진 탑재 여부가 AFW의 가장 중요한 판단 기준이다.

 

2.V2X(Vehicle to Anything-Infra/Vehicle/Device자동차·사물(사물)통신)

V2X는 차량과 차량이다"V2V"차량과 인프라의 "V2I", 차량이나 단말기인 "V2D"간 통신을 총칭하는 용어이다. V2X는 차량과 차량 소유주와 관련된 모든 민감한 정보를 망라하는 통신이기 때문에 V2X기술의 핵심은, 유저 인증과 데이터 암호화 시스템이다.그리고 자동차는 산업의 특성상 생산된 국가만 판매되지 않아 세계 시장에서 판매되기 때문에 자동차 생산 시 국제 표준 규격 준수가 필수인 핵심이다.

V2X통신 보안 표준 규격으로는 "IEEE1609.2"그리고"CAMP VSC3"등이 있다."IEEE1609.2"는 자동차 환경에서의 무선 통신 표준인 "WAVE(Wireless Access in Vehicular Environments)"관련 표준으로서 차량이 다른 차량 또는 외부 시스템과 무선 통신에서 준수해야 할 보안 규격이다."CAMP VSC3(Crash Avoidance Metrics Partnership Vehicle Safety Communications 3)"은 자동차 회사와 관련 기관이 참여하는 구성한 컨소시엄 CAMP에서 정한 보안 규격으로, 포드·GM·혼다·도요타·현대 등의 글로벌 자동차 회사들이 많이 참가하고 있다.인증과 암호화와 관해서도 CAMP VSC3규격은 KMS와 PKI기술 사용을 엄격히 규정하고 있다.

 

3.KMS(Key Management System, 어두움, 복(상위복)호키 관리 시스템)

KMS는 인증서를 포함한 암·복호화 키의 생성과 폐기 등 키의 라이프 사이클에 맞춘 관리 및 안전한 보관을 위한 시스템이다.외부 통신뿐 아니라 차량 내부 ECU(Electronic Control Unit)통신을 위한 키 관리, 키의 안전한 보존, 액세스 제어 및 권한 관리 등의 기능을 처리하고 자동차 통신 체계 전체를 안전하게 유지하는 역할을 맡는다.

자동차 보안 뿐만 아니라, KMS는 모든 데이터 암호화 시스템의 핵심이다. 흔히 정보를 암호화만 하면 안전하다고 생각하지만, 복호 키를 탈취하면 암호문은 언제든지 평문으로 바꿀 수 있으므로 반드시 안전하다고는 말할 수 없다.

그러므로 데이터 암호화 시스템이란 즉 암·복호화 키 관리 시스템이라고 이해하는 것이 근본적인 동시에 실용적 해석이라고 생각한다. 그러므로 KMS는 어떤 암호화 제품에 대한 판단 기준이 되기도 한다. 암호화 제품과 연계된 KMS의 성능과 효율을 기준으로 제품 도입을 결정하는 것은 잘못된 선택에 의한 피해를 막는 가장 좋은 방법이다.자동차 보안도 마찬가지다.

 

4.PKI(Public Key Infrastructure공개 키 인프라)

하나의 자동차는 개인의 사적인 것이지만 여러 자동차가 모이면 교통의 요소, 즉 공공물의 일부가 된다. PKI는 자동차가 자동차 한대에 그치지 않고 국가 인프라의 일부로서 동작하기 위해서 필요한 시스템이다.PKI는 차량용 인증서를 생성·운영·관리하는 교통 관리 시스템은 PKI을 통해서 각 자동차의 존재를 공적으로 인식한다.

그러나 이는 개인의 사생활을 침해해서는 안 된다. 그러기 때문에 PKI에는 운전자의 프라이버시를 보호하기 위한 익명화 기술을 포함하고 있다. 주목하고 있다. 그리고 차량용 PKI시스템도 다른 기술처럼 국제 표준을 엄격히 준수하는지를 보고 판단하는 것이 좋지만 특히 IEEE1609.2표준에 따르는지를 보는 것이 중요하다.그리고 차량용 시스템이어서 개발 시 고도의 경량화 공정이 적용되지만 그것에 의한 시스템 성능과 효율의 문제는 없는지 등을 보면 적절하고 안전한 시스템을 선택할 수 있다.

 

5.ITS(Intelligent transportation system고도 도로 교통 시스템)

ITS는 주행 중 차량이 교통 인프라와 통신하고 주변의 교통 상황을 파악하면서 전 차량이 급정거하거나 도로의 낙하물 등의 위험 정보를 실시간으로 확인함으로써 교통 사고를 예방하는 등 PKI와 함께 공적 개념의 인프라 기술이다.

ITS는 국가 차원의 매우 거대한 시스템이므로 여기에는 자동차 관련 대부분의 기술이 총 동원된다. ITS에 요구되는 다양한 성질 중에서 가장 중요한 것은 "신뢰성"이다. ITS체계가 무너질 자연 재해를 다루는 정도의 아주 심각한 문제이다.ITS기술의 핵심은 CA(Certificate Authority;인증 기관)RA(Registration Authority:등록 기관)LA(Linkage Authority;익명화 기구)등의 주로 서버 기술로 이런 기술이 먼저 말했다 PKI체계와 함께 전체 ITS의 중심이 되는 것이다.

 

6.자동차 물리 보안

상기의 기술은 모두 ICT기술이다. 그러나 가장 큰 위험은 자동차 자체이다.온갖 방법보다 자동차를 직접 조작하는 것이 가장 간단한 해킹 방법이기 때문이다.

그 위험은 현재 판매되는 대부분의 자동차에도 적용되는 문제이다. 대부분의 차량에는 차량 정보 수집 장치인 "OBD(On-board Diagnostics)"단자가 설치되어 있다. 문제는 OBD를 통해서 쉽게 자동차에 관한 정보를 수집할 수 있고 나아가서 자동차가 오작동하게 조작할 수도 있는다는 것이다. OBD는 차량 내부에 있기 때문에 차량 소유주 이외는 쉽게 접근할 수 없다고 상정하므로 차의 도어 잠금 장치 외에는 별도의 보안 조치가 없다. 더 큰 문제는 OBD의 관리 부실에도 불구하고 OBD로 이어지는 장치 수가 점차 늘어나고 있다는 것이다. 곧 실용화되는 자율 주행 차와 관련하는 장치도 OBD에 이어진다. 해커의 입장에서 보면 무선 통신을 이용한 해킹보다는 OBD를 직접 노리는 해킹이 가장 효율적이다.문만 열면 그만이기 때문이다.

 

1~6=자동차 보안과-탈소 류-션

그동안 자동차 보안에 있어서 가장 중요한 6개 핵심 기술과 각각의 판단 기준을 알아봤다. 그럼 그 기준에 의해서 하나씩 고르면 그것으로 끝인가? 그렇지 않다. 상기의 모든 기술은 서로 긴밀하게 연결되어 있기 때문에 그 중 하나의 적절성을 판단하는 것은 결코 좋은 판단에 안 된다.모든 기술을 통합적으로 연결한 토털 솔루션이 안전한 선택인 셈이다.

그리고 세계의 어떤 기술이며, 과거 기술을 활용하는 것은 당연한 이야기이므로 기존의 기반 기술의 우수성도 눈여겨봐야 한다. 자동차 보안 기술의 바탕은 데이터 암호화 기술과 웹 어플리케이션 보안 기술이다.그러므로 데이터 암호화 전문 기업, 그리고 웹 어플리케이션 보안 전문 업체가 개발한 연줄 크티쯔도 카 보안 토탈 솔루션이 가장 안전한 선택인 것이다.