자동차보안, 꼭 알아야 할 6가지 핵심기술
자동차용 AFW 기술에 있어 가장 중요한 판단기준은 지능형 기술이냐 아니냐의 차이다. 지금도 어플리케이션 공격은 분야를 가리지 않고 모든 정보보안 공격의 절대적 다수를 차지한다. 그리고 커넥티드카가 완전히 실용화 그리고 대중화된 근미래 시점의 어플리케이션 공격의 양은 지금과는 비교도 할 수 없을 정도로 훨씬 더 많아질 것이다. 그렇게 되면 통신 내용을 이미 알려진 공격의 목록과 일일이 대조하며 위험성을 판별하는 기존의 시그니처 방식 방법론으로는 제아무리 열심히 막으려 해도 도저히 막아 낼 수가 없다.
흔한 오해와는 달리 자동차보안은 머나먼 미래기술이 아니다. 지금 당장 준비해야 할, 아니 지금도 활동이 한창 진행 중인 현재기술이다.
이에, 자동차보안에 대해 꼭 알아야 할 여섯 가지 핵심기술과 그 판단기준을 간략히 살펴보자. 이는 단지 자동차업계 종사자에게만 필요한 정보가 아니다. 자동차보안 기술은 누구나 알아야 할 기술이다. 자동차는 탑승자와 보행자 가리지 않고 인간의 생명과 직결된 아주 위험한 물건이므로, 자동차보안은 다른 어떤 분야 보안보다 훨씬 더 중요하다. 자동차보안의 실패란, 사람의 목숨이 걸린 일이다!
1. AFW (Application Firewall, 어플리케이션 방화벽)
자동차용 AFW 기술에 있어 가장 중요한 판단기준은 지능형 기술이냐 아니냐의 차이다. 지금도 어플리케이션 공격은 분야를 가리지 않고 모든 정보보안 공격의 절대적 다수를 차지한다. 그리고 커넥티드카가 완전히 실용화 그리고 대중화된 근미래 시점의 어플리케이션 공격의 양은 지금과는 비교도 할 수 없을 정도로 훨씬 더 많아질 것이다. 그렇게 되면 통신 내용을 이미 알려진 공격의 목록과 일일이 대조하며 위험성을 판별하는 기존의 시그니처 방식 방법론으로는 제아무리 열심히 막으려 해도 도저히 막아 낼 수가 없다. 따라서 통신 내용의 논리를 분석하여 기존 공격 외 변종 공격과 아직 정체가 밝혀지지 않은 새로운 공격까지 탐지하고 방어하는 지능형 엔진 탑재 여부가 AFW의 가장 중요한 판단기준이라 할 수 있다.
2. V2X (Vehicle to Anything-Infra/Vehicle/Device, 자동차-사물 통신)
V2X 통신보안 표준규격으로는 'IEEE1609.2' 그리고 'CAMP VSC3' 등이 있다. 'IEEE1609.2'는 자동차 환경에서의 무선통신 표준인 'WAVE (Wireless Access in Vehicular Environments)' 관련 표준으로서, 차량이 다른 차량이나 외부 시스템과의 무선통신 시 준수해야 할 보안규격이다. 'CAMP VSC3 (Crash Avoidance Metrics Partnership Vehicle Safety Communications 3)'는 자동차회사와 관련 기관들이 참여해 구성한 컨소시엄 CAMP에서 만든 보안규격으로서, 포드, GM, 혼다, 토요타, 현대기아 등 세계 유수의 자동차회사들이 대거 참여하고 있다. 인증과 암호화 관련해서도 CAMP VSC3 규격은 후술할 KMS와 PKI 기술 사용을 엄격히 규정하고 있다.
3. KMS (Key Management System, 암복호화 키 관리 시스템)
자동차보안에서뿐만 아니라 KMS는 모든 데이터 암호화 시스템의 핵심이다. 흔히 정보를 암호화하기만 하면 안전하다고 생각하지만, 복호화 키를 탈취당하면 암호문은 언제든 평문으로 바뀔 수 있으므로 안전하지 않다. 따라서 데이터 암호화 시스템이란 즉 암복호화 키 관리 시스템이라고 이해하는 것이 근본적인 동시에 실용적인 해석이다. 따라서 KMS는 어떤 암호화 제품에 대한 판단기준이 되기도 한다. 암호화 제품과 연계된 KMS의 성능과 효율을 기준으로 제품 도입을 결정하는 것은 잘못된 선택으로 인한 피해를 막을 수 있는 가장 현명한 방법이다. 자동차 KMS 또한 마찬가지다.
4. PKI (Public Key Infrastructure, 공개 키 인프라)
하지만 흔히 오해하는 바와는 달리 이는 사생활 침해와는 무관하고 또 무관해야만 한다. 그러하기 위해서 PKI에는 운전자의 프라이버시를 보호하기 위한 익명화 기술을 포함하고 있다. 주의 깊게 관찰해야 할 지점이다. 그리고 차량용 PKI 시스템 또한 다른 여타 기술과 마찬가지로 국제표준을 엄격히 준수하는지 여부를 보고 판단하면 되는데, 특히 IEEE1609.2 표준에 따르는지를 살펴본다. 그리고 차량용 시스템이기 때문에 개발 시 고도의 경량화 공정이 적용되는데 혹시 그에 따른 시스템 성능이나 효율 문제는 없는지 등을 눈여겨보면 적절하고 안전한 시스템을 선택할 수 있다.
5. ITS (Intelligent transportation system, 지능형 교통 시스템)
ITS는 국가 차원의 아주 거대한 시스템이기 때문에 여기에는 자동차 관련 거의 모든 기술이 총동원된다. ITS에 요구되는 바 여러 성질 중 가장 중요한 것은 무조건 신뢰성이다. ITS 체계가 무너진다는 것은 자연재해 수준의 아주 심각한 문제다. ITS 기술의 핵심은 CA (Certificate Authority, 인증기관), RA (Registration Authority, 등록기관), LA (Linkage Authority, 익명화기관) 등 주로 서버 기술이고, 이러한 기술들이 앞서 이야기한 PKI 체계와 어우러져 전체 ITS의 중심을 이룬다.
6. 자동차 물리보안
그 위험은 지금 시중에 판매되는 대부분의 자동차에 대해서도 해당하는 문제다. 대부분의 차량에는 차량정보 수집장치인 'OBD(On-board Diagnostics)' 단자가 설치되어 있다. 문제는 OBD를 통해 쉽게 자동차 관련 정보를 수집할 수 있고 나아가 자동차가 오작동하도록 조작할 수도 있다는 점이다. OBD는 차량 내부에 있어서 차주 외에는 쉽게 접근할 수 없다고 가정하기 때문에 차문 개폐장치 외에는 따로 특별한 보안조치가 없다. 더 큰 문제는 이렇듯 OBD가 부실하게 관리되고 있음에도 불구하고 OBD에 연결되는 기기의 수가 점차 늘고 있다는 사실이다. 곧 실용화될 자율주행 관련 장치 또한 OBD에 연결될 것이다. 해커 입장에서 보자면 무선통신을 이용한 해킹보다 OBD를 직접 노리는 해킹이 훨씬 더 효율적이다. 차문만 따면 그만이니까.
1~6 = 자동차보안 토탈 솔루션
그리고 세상 어떤 기술이든 이전 기술의 탑 위에 돌 하나 더 쌓은 것과 같으니, 기존 기반기술의 우수성 또한 눈여겨봐야 한다. 자동차보안 기술의 바탕은 데이터 암호화 기술과 웹 어플리케이션 보안 기술이다. 따라서, 데이터 암호화 전문기업 그리고 웹 어플리케이션 보안 전문기업이 개발한 자동차보안 토탈 솔루션이 가장 안전한 선택이라 할 수 있다.