오토모티브 이더넷 보안 기술

자동차를 대상으로 한 보안위협은 크게 자동차 내부 시스템 보안 위협, 자동차 외부 시스템 보안 위협, 자동차 보안/안전 진단 시스템 보안 위협으로 나누어 볼 수 있다.

내부 시스템 관점의 보안위협으로는 ECU, 센서, 액추에이터, 자동차 내부통신 보안위협 등이 있다. ECU는 저사양 시스템으로 자원제약 및 보안설계 미흡으로 불법접근/권한상승, 인증우회 등 다양한 공격에 취약한 특성을 가지고, ECU 대상 펌웨어, 소프트웨어 변조가 어렵지 않게 가능하다. 2016년 BBC News에서는 결함 있는 SW 업데이트로 인해 상용차의 인포테인먼트 시스템이 반복적으로 재부팅됨을 보였다. 또한, 별다른 인증과정 없이 ECU로부터 전달되는 제어명령을 센서, 액추에이터가 수행하는 위협도 존재한다. 다양한 보고서에서 ECU에 대한 버퍼 오버플로우 공격, 메모리 손상, ECU펌웨어 불법수정 등의 다양한 공격이 가능함을 보였다. 또한, 위장 ECU를 통한 도청/해킹으로 원격제어, 텔레매틱스 시스템 인증 취약점이용 불법접속, 인포테인먼트 시스템의 웹 어플리케이션 비밀번호 초기화 등의 다양한 사례가 보고되어 있다.

자동차 내부통신은 버스 기반의 브로드캐스팅 방식의 내부통신 방식에 보안성 고려가 부족하여 통신과정의 도청, 리플레이, 스푸핑 등의 공격에 취약하다. CAN은 브로드캐시트 통신, 메시지 ID 기반 통신, 8byte로 제한된 데이터 페이로드 등 프로토콜의 구조적 문제로 공격이 쉽고, 보안기술 적용이 쉽지 않다는 특징을 가진다. LIN은 파워윈도우, 전동시트 등 안전과 무관한 기능에 주로 사용되는 저가형 프로토콜로 단순한 오류처리 메커니즘으로 취약성이 존재한다. FlexRay는 전송오류에 대한 무결성 보호 특성 제공을 위해 CRC 검사 값이 포함되어 기초적인 보안이 제공된다고 할 수 있으나, 메시지에 대한 읽기, 인증, 재생공격 등에 대한 방어를 위한 보안요소는 고려되어 있지 않다는 특징을 가진다. 따라서, 위장 ECU를 통한 도청/해킹으로 원격제어, 텔레매틱스 시스템 인증 취약점을 이용한 불법접속, 인포테인먼트 시스템의 웹 어플리케이션 비밀번호 초기화 등의 다양한 사례가 보고되어 있다.

외부 시스템 관점에서는 V2V, V2I(Vehicle to In-frastructure), V2D(Vehicle to Device), V2N 통신위협이 있다. V2V/V2I 측면에서는 외부통신 네트워크에 위장 OBU(On-Board Unit), RSU(Road Side Unit) 또는 V2X DoS 공격 및 통신 네트워크에 대한 통신방해 등을 수행하여 자동차 사고 유발 및 서비스 오작동이 가능하다. V2D 통신측면에서는 서비스 앱이 설치된 모바일 디바이스를 해킹하여 이 디바이스에 연결된 자동차를 임의로 제어가 가능하다. 실제로 스마트폰과 자동차 인포테인먼트 시스템을 연결하는 MirrorLink 취약점을 이용한 위협 가능성을 입증하였다. V2N 통신위협으로는 자동차가 네트워크 또는 클라우드 연결 시 다양한 위협에 노출된다는 것이다. 예를 들어, 자동차에 적용된 Wi-Fi 암호 단순성 및 취약점을 통한 원격조작에 대해서 다수의 자료에서 경고하고 있다. 이에 따라 자동차 보안성 강화를 위해 클라우드 기반 서비스 구조를 도입하려고 시도하고 있으나 빅데이터 분석과정에서 자동차의 위치, 주행정보 등의 운전자에 대한 프라이버시 침해 가능성에 대한 우려가 커지고 있다.

자동차 보안/안전 진단 시스템 관점에서는 ODB-II 포트위협과 보안성 진단 제한적이다. ODB-II 포트는 기본적으로 인증 절차 없이 접근가능 하도록 설계되어 있어 이에 대한 해킹 후 공격자가 자동차를 임의 제어할 수 있음이 알려져 있다. 즉, 3G 인터페이스를 지닌 ODB-II 동글을 포트에 연결한 후, 멀웨어 감염된 스마트폰 앱을 통해 자동차에 메시지를 전송하여 자동차 윈도를 임의로 개폐할 수 있음을 보였다. 또한, 자동차에 대한 보안성 진단은 사이버 위협이 고려되지 않은 기능 안전성 진단 중심이므로 ECU 및 자동차 구성요소에 대한 보안 취약성 사전 검증 기술은 부족한 상태이다.

자동차에 오토모티브 이더넷 도입하게 되면 이에 따른 다양한 이슈와 환경적 변화요인이 발생하며, 이를 크게 5가지 측면에서 설명한다[11]. 먼저, 자동차 네트워크 토폴로지 관점에서는 혼합네트워킹 방식으로 변화가 된다. 이는 기존의 CAN, LIN과 같은 버스/브로드캐스팅 방식의 레거시 네트워킹만을 사용하던 방식에서 이더넷과 기존의 레거시 네트워크가 공존하는 혼합 네트워크 형태 적용 필요하기 때문이다. 따라서, 레거시 ↔ 이더넷을 관리/제어할 수 있는 보안 게이트웨이 연구 개발이 필요하다. 물리 레이어 관점에서는 저대역폭, 단방향 통신에서 고대역폭, 양방향 통신으로 변화가 이루어진다. 이는 자동차에 많은 수의 센서, 액추에이터를 추가하고 이들 간의 많은 양의 데이터 처리가 필요해진다. 특히, 카메라 같은 경우는 해상도 및 장치 수 증가 따라 최소 100Mbps 이상의 고대역폭이 필요하게 되기 때문이다. 네트워크 참여자 관점에서는 소량, 정보전달 중심에서 대량, 신뢰성 있는 정보 전달로 변화가 이루어진다. 일반적으로 자동차 네트워크의 참가자는 ECU이고, 혼합 네트워킹 방식을 통해 네트워크 참여자를 가장한 스푸핑 또는 오작동 발생 시도 등이 증가할 것이므로 신뢰성 있는 참가자가 자동차 네트워크에 연결될 수 있도록 엄격하게 제어할 필요가 있기 때문이다. 통신데이터 관점에서는 타임동기화, 단순데이터 전달 중심에서 데이터 실시간성, 정확성/신뢰성 강화로 변화가 이루어진다. 이는 네트워크 구조 및 참여자 등의 변화에 따라서 실시간성, 정확성, 신뢰성이 데이터 통신의 가장 중요한 요소가 되기 때문이다. 마지막으로, 시스템 관점에서는 소량, 지역적 비제한적 연동 중심에서 대량, 광역적, 제한적 연동으로 변화기 이루어진다. 이전의 레거시 방식에서는 소량데이터를 근거리 참여자에게 제한 없이 전달하는 방식이었다면 변화된 환경에서는 이들 객체 간의 상호작용이 다양해지고 자동차 내부 네트워크로 연결된 전달할 수 있어야 한다. 단, 이들 객체 간 상호연동 시 비정상적인 메시지 전달은 오작동을 초래할 수 있고 이는 자동차에서는 심각한 위협이 될 수 있기 때문에 상호작용에 대해 범위와 권한을 명시적으로 엄격히 제한할 필요가 있기 때문이다.

오토모티브 이더넷 도입 확대와 더불어 자동차 보안성을 높이기 위해서는 위협예측, 개발생명 전주기 보안성검증, 심층 분석/방어를 통한 선제 대응 강화가 필요하다. 또한, 개별적인 자동차 구성요소 단위뿐만 아니라 인프라 전체적인 관점에서 보안 기술 도입을 고려해야 한다. 따라서, 앞으로의 자동차 보안 기술은 개발 전주기 과정의 보안성 시험 및 심층분석을 위한 클라우드 기반 보안서비스 기술 필요성이 점차 증가할 것이다. 그리고 권한 있는 사람만이 자동차에 대한 내부/외부 통신 네트워크에 대한 접근을 허용하고 연관된 ECU/센서 등과 같은 하부의 개별 디바이스까지 직접 제어하는 다단계 보안기술을 도입 접목할 것이다. 특히, 미래 지향적인 자동차 기술개발을 위해 대역폭 및 상호운용성 관점에서 도입한 오토모티브 이더넷 네트워크 보안기술이 가장 주목받게 될 것이다.

<표 1>, <표 2>는 오토모티브 이더넷 보안기술 관점 에서 국내외 관련 기관의 기술 및 제품 동향을 표로 정리한 것이다. 세계 자동차 시장의 급속 성장에 따라, 국내/외 차량 이더넷 관련 보안제품 개발을 목표로 다수의 업체 및 기관이 차량용 방화벽, 동적 취약성 분석, ECU 보호 솔루션 등의 다양한 차량용 보안 제품 개발을 추진 중에 있다.

<표 1>

국내 관련기관 및 제품동향

[i]

[출처] ETRI, “오토모티브 이더넷기반 차량 보안위협 예측,탐지,대응 및 보안성 자동진단 기술개발,” 공고번호:제2018-0069호, 사업계획서 2018.

<표 2>

국외 관련기관 및 제품동향

[i]

[출처] ETRI, “오토모티브 이더넷기반 차량 보안위협 예측,탐지,대응 및 보안성 자동진단 기술개발,” 공고번호:제2018-0069호, 사업계획서 2018.

오토모티브 이더넷 적용을 고려한 자동차 보안기술은 자동차 전장 플랫폼, 내부통신 네트워크, 외부통신 네트워크, 보안/안전 진단, 보안 모니터링 및 관리로 구분하여 살펴본다.

자동차 전장 플랫폼 측면에서는 시큐어 부트, 시큐어 플래싱, 시큐어 접근제어 및 ECU 가상화 솔루션 개발이 진행 중이다. 이는 ECU용 시큐어 부트/플래싱/접근제어 솔루션 또는 ADAS 및 AUTOSAR 통합플랫폼을 하이퍼바이저 형태로 ECU에 적용하는 방식이다. 최근에는 자동차 ECU 미들웨어 플랫폼 표준규격인 AUTOSAR 적용이 확대되고 이에 따라 AUTOSAR에 정의된 보안기능을 활용하여 보안통신, 공격방어 등의 보안성 강화를 추진하고 있다[12], [13]. 이를 위해 Elektrobit, ETAS, VECTOR사 등은 AUTOSAR 4.3 이상을 자동차에 적용하는 목표로 하고, 보안을 위해 CSM을 적용할 것을 제시하고 있다. 또한, 하드웨어 가속 기능을 활용하여 보안성을 강조하기 위해 자동차용 HSM(Hardware-based Security Module) 제품이 일부 출시되고 ECU에 적용, 연계하기 위한 시도가 이루어지고 있다. 국내에서도 자동차 ECU 가상화 기술을 통한 보안성 강화 및 시스템 안전성 보장기술을 시도한다든지 AUTOSAR 규격에 적용 가능한 보안모듈을 개발을 추진하고 있다. 또한, ECU 펌웨어 무결성 및 실행환경 안전성 보장을 위한 HSM 응용기술 개발도 추진 중이다.

자동차 내부통신 네트워크 측면에서는 현재까지는 CAN 중심의 방화벽, IDS 연구가 중심이었다. 유럽의 Oversee 프로젝트에서 자동차 방화벽 및 접근제어 기술 개발을 수행하였고, Towersec, Harman, Symantec 등에서 솔루션을 출시하였다. 그러나, 내부통신이 CAN에서 고대역폭, 대용량 데이터를 요구하여 이더넷 도입 필요성이 증가함에 따라 이더넷 통신보안에 대한 연구가 시도되고 있다. 즉, ESCRYPT, ElekTrobit, NXP 등에서 자동차 이더넷 보안을 위한 기술적 요구사항 및 구조 등을 제안하고, 후속 연구를 중장기 연구로써 진행하고 있다. 그러나, 자동차 내부 통신 네트워크(IVN: In-Vehicle Network) 보안에 특화된 별도의 표준 규격은 없으며 CAN 통신상의 기밀성 및 무결성 보장, CAN 메시지 인증, 비정상 CAN 패킷 유입 방지와 같이 CAN 통신 중심의 보안기술이 주류를 이르고 있다. 국내에서도 주로 CAN 중심의 보안기술 및 연구개발이 수행되었으며, 차량 내부 네트워크 침입탐지를 위한 차량 탑재형 IDPS 관련 연구들이 진행되고 있으나 오토모티브 이더넷 보안기술은 이제 연구가 시도되고 있는 수준이다.

자동차 외부통신 네트워크 측면에서는 미국, 유럽 등 다수의 프로젝트에서 IEEE 1609.2 등 국제표준을 준용한 사업이 진행 중이며, WAVE기반 V2X 통신보안과 CAMP VSC3(Crash Avoidance Metrics Partnership Vehicle Safety Communications 3)에서 자동차용 PKI기반 인증서 관리 규격(SCMS: Security Credential Management System)과 같은 내용을 다루고 있다. 또한, 유럽의 Car2Car 컨소시엄에서는 ITS 통신 단말 신뢰보증 등급 기준 제정을 목표로 진행 중에 있다. 국내에서도 WAVE 기반 V2X 통신보안 중심의 기술개발이 진행 중이며, 자동차 PKI, V2I/V2V 신뢰성 보장, 1609.2 통신 보안처리 고속화 등과 같은 서비스 보안 기술 개발도 진행 중이다. 하지만, 자동차 및 도로기지국과 CITS(Cooperative-Intelligent Transport Systems)와 연계시 신뢰성 확보가 가능한 상호 인증 및 통합 보안 관제 분야는 연구를 시작하는 초기 단계이다.

자동차 보안/안전 진단 측면에서는 ECU 보안에 대한 사전검증은 아직 일반적으로 진행되지 않고 있어 ECU와 같은 자동차 IT부품에 대한 상세 보안평가 및 자동 취약성 분석을 위한 연구가 시도되고 있다. 2015년 SAE(Society of Automotive Engineers)는 사이버보안을 위한 자동차 개발 프로세스 및 가이드라인(J3061)을 정의하였고, 미국에서는 2014~2016년 다양한 유형의 ECU 보안취약점과 CAN 프로토콜이 적용된 자동차 ECU 보안 취약성 연구를 수행하였다. 그러나 사이버 공격에 의한 자동차 사고 원인규명 관련해서는 연구가 부족한 실정이고, 자동차내 일부분 장치에 대한 포렌식 기술 연구가 진행 중이다. 2017년 Berla에서는 인포테인먼트 시스템에 대한 포렌식 기술(iVe)을, 2016부터 Irdeto에서는 자동차/범죄 소송용만을 위한 포렌식 기술을 개발 중이다. 국내에서는 자동차와 외부 연결지점에 대한 비인가 접근여부를 조사, 분석을 목적으로 하는 모의해킹 취약점 진단을 수행하고 있다. 일반적인 자동차 사고원인 분석을 위한 EDR, CDR(Crash Data Retrieval) 장치가 있으나, 해킹에 의한 사고원인 분석을 수행하는 연구는 미흡한 실정이다.

자동차 보안 모니터링 및 관리 측면에서는 ECU W/FW 업데이트를 위해 암/복호화 등의 다양한 보안기법을 적용한 제품 개발이 진행 중에 있다. ITU-T에서는 자동차 ECU 원격 업데이트를 위한 보안 표준규격(x.1373) 2017년 제정하였다. 최근에는 알려지지 않은 침입탐지 또는 상세분석을 위해 클라우드 환경을 활용하여 비정상 행위탐지까지 가능한 기술개발 목표로 연구 및 표준화가 진행 중에 있다. 또한, 2017년부터 도요타, MIT 미디어 연구소 등은 블록체인 기술을 도입하기 위한 연구를 착수하고 있다. 국내에서는 2012~2015 AVN ECU(Audio Video Navigation system Electronic Control Unit)에 대한 SW 업데이트 기술개발 프로젝트가 진행되었으며, 국내 OEM은 해외 업체와의 협력을 통해 SOTA/FOTA 솔루션을 확보하려는 추세이다. 또한, 알려지지 않은 침입탐지 또는 상세분석을 위한 클라우드 기반 비정상 행위 탐지분야는 학계를 중심으로 기초연구가 시도되는 수준이다.