위협 시나리오를 중심으로 조사하자! ●자율주행, 안전한가 보안

 

만약에 여러분들이 프리주행차를 탄다면 무엇을 하고 싶습니까? 소비자 조사 기관 컨슈머 인사이트에서 4,500명의 운전자를 대상으로 앙케이트를 실시한 결과에 의하면, 「주변 경치 감상」을 가장 하고 싶다고 회답했습니다. 스스로 주행하는 자율주행 자동차의 등장으로 운전자는 운전에서 자유로워지게 될 것입니다만. 그런데 주행 차량을 믿고 핸들을 맡기고 있는 도중에 제어 시스템이 해킹되면 어떻게 대처합니까? 자율주행차 해킹 및 보안지침에 대해 SK인포섹이 알려드립니다!

자유로워진 운전자 자율주행차 등장

운전자 없이 혼자서 운행하는 자율주행차(Autonomous Vehicle)는 차량 스스로 주변 환경을 인식하고 교통상황을 판단하여 차량제어, 목적지까지 주행하는 차량입니다. 일찌기 상상상으로만 존재했던 자율주행차는, 1977년에 일본의 츠쿠바 기계공학 연구소에서 처음으로 제작된 후, 2010년에 구글에서 자율주행차의 개발을 발표해, 세계적으로 큰 관심을 모았습니다.

2016년부터 국제자동차기술자협회(SAE International)에서 분류한 자율주행시스템 단계가 글로벌 기준으로 통용되고 있습니다. 차량 스스로 충돌이나 차선 이탈 위험을 감지하여 속도를 줄이는 ‘레벨 1’ 단계부터 스마트 주차 보조, 고속도로 주행 보조 기능을 넘어 별도의 운전석 없이 운전자가 목적만 말하면 안전하게 주행 가능한 ‘레벨 5’ 단계까지 나뉩니다. 산업 통계 전문 기업 Statista에 의하면, 2030년 경에는 세계의 자동차 중 약 12%가 레벨 4, 5 단계의 완전 자율주행차가 될 것이라고 예측했습니다. 이러한 자율주행차의 가장 큰 핵심은 ‘인간이 운전하는 것보다 안전한 운전’입니다. 그러나 보안 측면에서 안전이 위협받을 수 있습니다.

자율주행차, 달리는 무기 되나

지난 몇 년간 커넥티드 카(Connected Car)의 발전과 함께 자동차에 적용되는 다양한 소프트웨어의 기술적인 취약성이 드러났습니다. 미국 도로교통운송국(NHTSA)에 따르면 2015년 미국에서 사이버보안 문제로 리콜된 차량은 140만 대에 이른다. 2016년 중국에서도 Keen Security Lab 연구원은 테슬라 모델S를 해킹하여 브레이크, 잠금, 내비게이션을 원격 제어하는 일을 시연했습니다.

해커들이 자율주행차의 약점을 발견할 수 있는 분야는 다양합니다. 대표적으로클라우드컴퓨팅시스템이있습니다. 자율주행차는 실시간으로 GPS 위치를 식별하고 차량의 흐름을 예측하기 위해 매 초당 새로운 데이터를 생성하여 저장합니다. 이때데이터를빠르게검색하고처리하기위해서클라우드컴퓨팅을사용하게됩니다. 만약 해커가 자동차 클라우드 데이터베이스에 접근할 수 있다면 다수의 자동차를 대상으로 안전장치 전원 작동을 포함한 많은 기능을 조작할 수 있습니다.

또, 다중 코딩 언어로 구성된 복잡한 부품도 자율 주행차의 보안 취약점이 될 수 있습니다. 오늘날 자동차에 사용되는 부품은 세계 각국의 많은 제조업체로부터 납품되며, 서로 다른 구성 요소들이 호환되기 위해 다양한 코딩 시스템이 사용되고 있습니다. 또한 차량과 인프라 및 네트워크를 연결하여 사용자의 편의성을 높이기 위한 다양한 서비스를 제공하고 있습니다. 그러나 이와 같이 상호 작용하는 자동차 부품에는 관련된 변수가 매우 많고, 차량과 교통 시스템이 네트워크로 연결됨으로써 차량의 교통 중 하나라도 보안 위협에 노출될 경우 교통 서비스 전체의 위협으로 확대될 가능성이 있습니다.

자율주행차 보안공격, 이렇게 당한다! 보안 위협별 시나리오

<데이터 손실 위험 시나리오 , 출처 : 한국인터넷진흥원, 스마트교통 사이버보안 > 자율주행차에는 다양한 유형의 위험 시나리오가 발생할 수 있습니다. 먼저, 데이터 손실 위험 해킹 시나리오의 경우 해커는 주행 중인 차량 내 통신 혹은 외부 인프라 통신 세션에 접근합니다. 이때 해커가 세션을 가로채 세션 간 송수신되는 메시지를 분석합니다. 이 과정에서 인증 정보, 개인정보 부정 취득, 차량 원격 제어 서비스 권한을 획득하여 허위 데이터 전송 등의 위협이 발생할 수 있습니다. 또한 외부 통신 메시지를 위, 변조할 경우 차량 주행 정보, 과금 데이터 등의 조작이 가능하며 교통사고를 유발하는 원인이 될 수 있습니다.

“중산자 공격 위협 시나리오 출처 : 한국인터넷진흥원, 스마트교통 사이버 보안 가이드” 두 번째 시나리오 “중산자 공격”은 전송되는 데이터를 가로채서 위조된 정보를 통해 백앤서버 또는 스마트카를 공격하는 행위입니다. 실제로 2017년 중국 해커들이 불과 20달러(2만3천원) 장비로 스마트카 신호를 증폭시켜 차문을 열고 닫고 시동을 걸기도 했습니다. 현대에서 운용되는 대부분의 차량이 스마트폰 앱, 블루투스와 연동된 커넥티비티 기능을 탑재하고 있는 만큼 차량의 안전성은 이제 사이버 보안의 손에 달려 있다고 해도 과언이 아닙니다.

자율주행자동차의 새로운 안전벨트 ‘윤리·보안·안전 가이드라인’

이에 맞춰 사이버 보안 규제를 확립하려는 국내외 움직임도 활발합니다. 지난 12월 국토교통부는 자율주행차의 사이버보안, 윤리, 안전 분야별 가이드라인 3종을 발표했습니다. 이 가이드 라인은 의무가 아닌 권고적인 성격을 띠고 있습니다만, 자율 주행차의 보안 관련의 놓치지 않아야 할 중요한 이야기가 쓰여져 있습니다.

먼저 윤리 가이드라인에는 자율주행차가 인명보호를 최우선으로 하도록 설계, 제작되어야 한다는 원칙을 제시하였습니다. 사이버보안 가이드라인은 자동차 제작 권고안을 주요 내용으로 하며, 제작사가 사이버보안 관리시스템을 갖추고 그 시스템에 따라 자동차의 사이버보안을 관리해야 한다는 내용을 담고 있습니다. 마지막으로 레벨 4 자동 운전차 제작 및 안전 가이드 라인에서는, 「시스템 안전」, 「주행 안전」, 「안전 및 윤리적 고려」를 포함한 13개의 안전 항목으로 구성되어 있습니다. 각 안전 분야에서 필수적인 사항에 대한 권고안을 제시하고 안전 기술 개발을 촉진할 계획입니다.

한편, 사이버 시큐러티 관련의 규제를 확립하려고 하는 국제사회의 움직임도 활발합니다. 유엔 유럽경제위원회(UNECE)는 자동차 사이버보안 규제 분야의 국제적인 기준을 마련하기 위해 2016년부터 월드포럼을 통한 논의를 진행해 2020년 6월에는 자동차 사이버보안과 소프트웨어 업데이트에 대한 2가지 새로운 규제를 발표했습니다. ‘1958 조약’이라 불리는 이 규정은 자동차의 사이버 공격에 대처할 수 있는 시스템을 자동차에 탑재하도록 의무화하고 있습니다. 자동차 사이버 시큐러티의 분야에서 처음으로 국제적인 구속력을 가지는 규칙이 될 전망입니다.

자율주행 자동차의 사이버보안 위협은 운전자 또는 보행자의 생명과 직결될 수 있는 문제인데요. 자율주행차 시대에는 물리적 안전을 위한 안전벨트뿐만 아니라 사이버보안 공격에 대비하기 위한 소프트웨어 안전벨트도 필수입니다. 최근 개정된 국내 권고안을 중심으로 엄격한 사이버 보안 기준에 부합하는 자율주행차만 위를 달릴 수 있길 간절히 바랍니다. 이상 SK인포섹이었습니다!

[참고] – 자율주행 차 안 하면 뭐 해? (2020.04.24 컨슈머 인사이트)-사이버보안, 자동차의 새로운 안전벨트가 되다(2020.11.30 해외시장뉴스 권선영무역관)- 자율주행차 사이버보안은 어떤 기준에 맞추어야 하는지(2020.12.15 보안뉴스 이상우 기자)- “자율주행차, 인명보호를 최우선시하다”(2020.12.12) “자율주행부, 국토보안부, 국토보안부, 안전보호 최우선시”…