완성차의 소프트웨어 의존도가 커지고 차량에서 사용하는 네트워크 프로토콜이 확대됨에 따라 자동차 사이버 보안 위협이 증가하고 있다. 차량 내부 장치와 시스템은 여러 통신 기술을 사용해 연결됐으며 이제 차량 외부까지 확장되고 있어 차량 또한 사이버 공격의 대상이 될 가능성이 농후하다.

2019년에 발표된 글로벌 오토모티브 사이버 보안 보고서(업스트림 시큐리티 발행)는 단 한 번의 차량사이버 공격으로도 자동차 회사는 11억 달러의 손실을 입을 수 있으며 이 피해 금액은 차량의 전자제어 장치 및 소프트웨어 채택 확산으로 2023년이면 무려 240억달러에 이를 것으로 전망한 바 있다. 비용뿐 아니라 규제준수 벌금, 브랜드 평판, 주가 하락으로 인한 시가총액 손실 등 피해 범위는 광범위하게 확장된다.

자동차 산업 발전에 따라 차량에는 60~100개 정도의 전자제어장치(ECU)가 탑재되며 이제 차량은 기계 장치가 아닌 디지털 기기로 변모하고 있는 단계다. 다양한 네트워크 프로토콜과 관련 애플리케이션들이 동작하고 있는데 이는 주로 ECU 간 통신인 내부 네트워크와 차량 AVN에서 길 안내 정보, 영화, 음악, SNS 등과 같은 인포테인먼트(Information+Entertainment)를 위해 사용되는 블루투스, Wi-Fi 그리고 차량의 원격 제어 진단 등을 위한 외부 네트워크로 나눠진다. 이러한 네트워크 프로토콜과 프로토콜에 기반하는 애플리케이션들은 많은 보안 취약점을 내포하고 있다.

차량 내 사용되는 ECU와 소프트웨어, 차량 네트워크의 사용이 확대될수록 통신 채널과 외부 인터페이스를 이용한 차량 위협이 증가한다. 차량용 네트워크 연결 범위 확대로 사이버 보안 위협이 증가함에 따라 유엔유럽경제위원회(UNECE)의 경우 WP(World Forum).29 자동차 사이버 보안 법규를 제정하고 UNECE 회원국을 대상으로 의무적으로 인증을 취득하도록 하고 있다. 자동차 사이버 보안 법규 인증을 취득하기 위해서는 개발 초기 단계부터 사이버 보안 테스트를 통해 취약점을 식별하고 관리할 수 있는 프로세스를 갖춰야 한다.

이를 위해 사용되는 툴 중 하나가 퍼즈 테스트다. 퍼즈 테스팅(Fuzz testing) 또는 퍼징(fuzzing)은 소프트웨어나 컴퓨터 시스템들의 보안 문제를 테스트하기 위해 사용되는 것으로, 컴퓨터 프로그램에 유효한, 예상치 않은 또는 오작동을 유발할 수 있는 무작위 데이터를 입력한 후 충돌이나 빌트인 코드 검증의 실패, 잠재적인 메모리 누수 등을 발견해내는 소프트웨어 테스트 기법이다.

국내 기업에서는 KMS테크놀로지가 최근 자사의 퍼즈 테스팅 툴인 ‘디펜직스(Defensics)’의 대상을 자동차 전용 프로토콜, 인포테인먼트, 외부 통신 등 자동차 사이버 보안 분야로 확대하고 있다. KMS에 따르면 디펜직스는 차량의 공격 벡터(Attack Vector)가 되는 통신 프로토콜 및 파일에 잠재된 취약점과 보안 결함을 효율적으로 찾아낸다.

또한 차량 내외부에서 사용되는 프로토콜을 지원하는데, 특히 차량 내부 주요 통신 프로토콜인 CAN과 CAN-FD를 지원하고 차세대 차량 통신 기술인 차량 이더넷(1000Base-T1 등)과 차량 이더넷 기반의 DoIP, SOME/IP, gPTP, SRP를 지원하고 있다. 그 밖에 차량 AVN에서 사용하는 블루투스, Wi-Fi 등 무선통신과 IPv4 기반 프로토콜을 지원해 차량의 알려지지 않은 취약점과 보안 결함을 효과적으로 탐지할 수 있다.

김상모 KMS테크놀로지 솔루션사업부 이사는 “디펜직스의 자동차 사이버 보안 기능 확대와 더불어 사이버 보안 표준 및 법규에서 의무화하고 있는 자동차 사이버 보안 점검 전 영역에 대한 대응 방안 및 솔루션을 제공해 국내 기관 및 기업의 개발, 검증, 운영 단계에 최적화된 사이버 보안 점검 방안을 지원할 것”이라고 말했다.

현재 차량의 사이버 보안 규제는 UNECE WP.29, UN R155 그리고 ISO/SAE 21434에 기반을 두고 있다. UNECE WP.29는 가장 광범위한 전략적 이니셔티브로, 전조등에서 배기 파이프에 이르기까지 차량 OEM 업체들을 다양한 차량 규제에 참여시키기 위한 것이다.

WP.29의 승용차 사이버 보안 위협 방지 프레임워크는 자동차 제조업체들에게 △차량 사이버 보안 위험을 관리 △공급망을 따라 사이버 보안 위험을 낮출 수 있도록 안전한 차량 설계 △차량 전체에 걸쳐 사이버 보안 사고 감지 및 대응 △차량 보안을 해치지 않는 안전한 소프트웨어 업데이트 제공의 의무를 부여하고 있다.

UN R155는 WP.29의 사이버 보안 프레임워크에서 나온 주요 규제로, 차량 OEM 업체들이 차량 엔지니어링 프로세스의 전 수명주기에 걸쳐 사이버 보안을 구축하도록 요구한다. 핵심은 두 가지로 △차량 OEM 업체는 CSMS(CyberSecurity Management System)를 구축해 차량 부품과 서브시스템, 조립품에 대해 위험 중심(risk-driven) 엔지니어링 프로세스를 구현해야 하며 △자사의 CSMS 내 규제준수를 시연함으로써 유엔 승인(type approval)을 받는 것이다.

UN R155는 올 7월 1일부터 EU, 영국, 한국, 러시아 등에서 시행되며 2년의 유예 기간을 거친 2024년 7월 1일부터는 생산되는 모든 차량이 이 규정을 준수해야 한다. 승인을 받지 못하면 공공 도로에서 차량 운행이 불가능하다.

UN R155는 CSMS의 배치를 의무화한 규정이며, CSMS 실제 구현 방법은 ISO/SAE 21434를 따른다. ISO/SAE 21434는 CSMS 구현 표준으로, 차량의 기능적 안전과 마찬가지로 소프트웨어 엔지니어링의 전통적인 ‘V 모델’을 따라 자동차 사이버 보안을 구현한다. 즉, 모든 구성 요소 및 시스템 테스트는 모델의 우측에서 수행되는 검증 및 검증 프로세스로 이루어진다(그림 참조).

그러나 차량의 기능 안전과 본질적인 차이는, 사이버 보안의 위협 수준과 목표는 끊임없이 변화한다는 것이다. 차량 기능 안전 테스트는 구성 요소 당 단 1회만 실시하면 되지만 매일 새로운 위협, 악용 및 취약성이 대두되고 있는 상황에서 한 번만 실행되는 사이버 보안 테스트는 사실상 무의미하다.

따라서 CSMS는 해당 위협을 광범위하게 평가할 수 있는 TARA(Threat Analysis and Risk Assessment) 가 필수다. TARA를 사용해 차량 OEM 업체들은 소프트웨어 업데이트를 시스템과 컴포넌트에 실제 적용하기 전에 사이버 보안 취약성과 위험을 식별하고 위험 완화 여부를 증명할 수 있다. CSMS가 효율적으로 구현되면 차량 제조업체들은 새로운 사이버 보안 위협을 적시에 지속적으로 재평가하고 완화할 수 있으며, 이에 따라 다른 구성 요소나 시스템이 공격에 의도치 않게 노출되는 것을 막을 수 있다.