커넥티드 자동차 보안의 미래

최근 열린 프랑크푸르트 모토쇼의 주요 화두는 커넥티드(Connected)였다. 자동차 업계는 친환경 다음 키워드로 커넥티드를 주목하고 있다. 커넥티드가 곧 자동차의 미래이기 때문이다. 최신형 자동차의 경우 커넥티드의 기본 개념에 매우 충실하다. 대표적인 기능이 ADAS(주행 보조 시스템, Advanced Driver Assistant system)이다. 차선 이탈 방지, 스스로 차간 거리와 속도를 조절하는 크루즈 컨트롤 등 우리는 알게 모르게 전자식으로 제어되는 첨단 기능이 탑재돼 있다.

전자 제어 장치가 많아진다는 것은 곧 해킹 대상도 함께 늘어난다는 것을 의미한다. 스트어링 휠, 기어 변속기, 가속 페달, 브레이크, 파킹 브레이크, 에어백 등 자동차 주행과 안전에 관계된 것들도 전자식으로 ECU를 통해 제어된다. 따라서 누군가 악의를 품고 자동차를 해킹한다면?

생각만 해도 끔찍하다. 이처럼 현재 자동차에 반영된 기술과 기능조차 손쉽게 해킹할 수 있는데 무인 주행 시대 V2V(Vehicle to Vehicle) 통신이 이루어지는 시대 과연 안전을 보장할 수 있을까?

커넥티드 자동차 보안이 어려운 이유

자동차가 하나 만들어지려면 수많은 업체의 제품과 서비스가 필요하다. 이게 뜻하는 바는 자동차 부품 생산, 공급, 조립 등 전체 생명주기에 걸쳐 시장 참여자 모두를 염두에 둔 보안 대책을 마련해야 한다는 것이다. 유사한 개념으로 보안을 적용하는 것이 신용카드 거래다. POS 개발사, 소매점, 은행 등 여러 참여자 사이에 보안 취약점을 만들지 않기 위해 PCI-DSS 가이드라인에 따라 P2PE(Point to Point Encryption)가 적용된다.

커넥티드 자동차 역시 생태계 차원에서 따를 수 있는 보안 규제와 가이드라인이 필요하다. 최근 IT 보안 업계에서 생태계 차원의 커넥티드 자동차 보안 전략을 짜서 자동차 업계에 러브콜을 보내는 이유도 같은 맥락에서 이해할 수 있다.

너무 많은 시장 참여자

커넥티드 자동차 생태계를 보안 측면에서 단순화시켜 보면 센서와 에큐레이터, 각종 장치, 게이트웨이, 미스터 장치 제공자, 서비스 제공자로 구분할 수 있다. 현재 우리가 타는 자동차만 해도 수백 개 이상의 센서와 장치가 장착된다. 커넥티드 자동차는 수천 개 이상으로 늘 것이 분명하다. 여기에 센서와 장치의 연결 고리 역할을 하는 게이트웨이 그리고 여기서 수집된 정보가 모이는 마스터 장치라는 새로운 유형의 장치도 쓰일 것이다. 다양한 데이터가 수집되고 외부와 통신한다는 것은 다양한 부가 서비스 제공자가 붙는 것을 뜻한다. 앞서 PCI-DSS의 P2PE와 같은 생태계 차원의 가이드라인이 필요하다고 말한 것은 연결의 길이가 길고 대상이 많기 때문이다.

보안의 기본 원칙을 지키는 것이 중요

필자는 최근 사물인터넷(IoT) 관련해 여러 전문 기업 관계자와 보안 관련 논의를 자주 한다. IoT 전문 기업이 보편적으로 느끼는 보안에 대한 우려에 대한 답을 제시할 때 필자는 ‘보안의 기본 원칙’을 강조한다. 커넥티드 자동차 역시 크게 다르지 않다고 본다. 다양한 센서, 장치, 서비스 간 안전한 연결의 기본은 신원을 확인하고 신뢰할 수 있는 대상과도 암호화를 통해 안전하게 정보를 주고받는 것이다. 그리고 모든 연결과 정보 교환에 대한 통제와 감사를 수행하는 것이다. 보안 용어로 말하면 강력한 인증과 암호화를 모든 연결 대상에 적용하고 적절한 수준의 통제와 감사를 수행하는 것이다.

커넥티드 자동차 보안 시장은 누가 주도할 것인가?