[기고] 자동차 사이버 보안 법제화, ‘위험성 평가 플랫폼’으로 준비해야

다양한 산업 분야가 서로 융합되는 ICT 사회의 도래로 이전에는 경험할 수 없었던 스마트카, 자율주행과 같은 신기술이 등장하면서 자동차의 보안 취약점을 노리는 다양한 사이버 보안 위협이 사회적인 문제가 되고 있다.

2015년에는 크라이슬러가 출시한 SUV 모델인 ‘지프 체로키’의 전자제어장치(ECU, Electronic Control Unit)에 대한 해킹 시연이 이뤄진 바 있으며, 같은 해 일본 히로시마의 한 대학교에서는 자동차를 해킹한 후 자체 개발한 애플리케이션으로 차량을 무선 조작하는 실험에 성공하기도 했다.

이런 해킹 공격 외에도 자기진단장치(OBD) 해킹을 통한 CAN(Controller Area Network) 명령 공격, 네트워크 패킷을 탈취하는 '스니핑'을 통한 스마트카 정보 탈취 공격, 스마트폰이나 모바일 앱을 통한 신종 사이버 공격도 이뤄질 수 있다.

특히 자동차를 대상으로 이뤄지는 사이버 보안 위협은 운전자 또는 보행자의 생명과 직결될 수 있기 때문에 체계적으로 보안 취약점을 점검해 사이버 공격 발생을 사전에 예방하는 것이 중요하다.

■자동차 사이버 보안 점검의 어려움

자동차의 사이버 보안 위협을 효율적으로 방어하기 위해서는 자동차를 구성하는 모든 소프트웨어와 하드웨어 구성 요소에 대한 전체적인 점검을 기반으로 종합적이고 근본적인 보안 대책 마련이 필수적으로 선행돼야 한다.

그러나 오늘날의 자동차는 일반적으로 1억개 이상의 코드 라인으로 구동되는 100개 이상의 소프트웨어 구성요소, 150개 이상의 전자제어장치(ECU)가 탑재되는 등 이미 단순한 운송 수단의 개념을 넘어서고 있다. 다양한 공급업체가 개발한 소프트웨어로 차량이 구성된다. 이런 각각의 소프트웨어는 타사 소프트웨어와의 호환성을 확보하기 위해 대규모 코드베이스를 사용하기 때문에 필연적으로 사이버 보안 리스크를 가지고 있을 수밖에 없다.

자동차의 모든 구성요소에 대한 사이버 보안 위협을 방어하기 위해서는 사전에 철저한 소프트웨어 취약점 점검이 진행돼야 하지만 자동차 설계 및 개발에 참여하는 각각의 공급업체들은 자사의 소프트웨어에 사용된 소스코드를 공개하지 않는다. 타사 소프트웨어의 소스코드에 접근해 취약점을 분석하는 것은 사실상 불가능하며, 수동 점검 및 수동 모니터링에 의존할 수밖에 없는 것이 현실이다. 스마트카, 자율주행 기술과 같은 고도 기술의 개발에 따라 자동차를 구성하는 소프트웨어는 더욱 복잡해지고 고도화되고 있는 상황에서 이러한 수동 테스트를 수행하는 것에 한계가 있을 수밖에 없다.

■자동차 보안 강화를 위한 국제 표준의 법제화

자동차에 대한 사이버 보안 대책 마련의 중요성이 커지면서 자동차 보안을 위협하는 각종 사이버 보안 위협에 대비하기 위해 이미 세계 각국에서는 정부 차원의 자동차 사이버 보안 규정 법제화가 진행되고 있다.

커넥티드카 및 자율주행 차량에 대한 사이버 보안을 주제로 다룬 최초의 국제 규정인 자동차 사이버 보안 국제 표준 'ISO/SAE 21434'이 제정돼 올해 시행을 앞두고 있다. UN 산하 유럽경제위원회 ‘자동차 기준 국제조화포럼’ WP.29 역시 사이버 보안 및 커넥티드 차량의 소프트웨어 업데이트에 대한 규정 중 하나인 '사이버 보안 관리 시스템(CSMS)'을 채택한다고 지난 6월 밝혔다. 이에 따라 오는 2022년 7월 이후 해당 지역 내에서 생산되는 모든 자동차 모델은 국제표준의 인증을 받아야만 제품 출시가 가능할 것으로 예상된다.

특히 CSMS는 차량에 대한 사이버 보안을 위협하는 각종 위험 사항을 정의하고 이를 통해 차량을 사이버 공격으로부터 안전하게 보호할 수 있도록 하는 거버넌스를 구축할 것을 명시하고 있다. 이를 준수하기 위해서는 차량의 개발, 생산, 운행, 폐기 등 차량의 전체 라이프 사이클에 사이버 보안 프로세스를 적용하고 문서화해야 한다.

우리나라 역시 해당 표준의 단계적인 도입을 검토하고 있는 것으로 알려졌으며, 지난 1월에는 세계 최초로 ‘레벨3’ 수준의 자율주행 차량 안전기준을 제정해 지난달부터 레벨3에 해당하는 부분 자율주행 차량의 제작 및 판매가 가능해졌다.

자동차 보안에 대한 국제표준은 사이버 공격을 사전에 탐지하고 해커의 공격으로 인한 차량 운행 등의 탈취를 방지할 수 있는 수단을 강구하기 위해 사이버 위협에 대처할 수 있는 보안 시스템을 차량에 의무적으로 탑재하고, 해당 내용을 문서화할 것을 요구하고 있다. 때문에 자동차 보안 강화를 위한 각종 국제표준을 준수하기 위해서는 ISO/SAE 21434 및 UNECE WP.29 CSMS의 세부적인 요구사항을 명확하게 분석하고 이를 차량의 사이버 보안 프로세스에 체계적으로 적용할 수 있어야 한다.

그러나 국제 표준의 각 요구사항 분석 및 프로세스에 대한 이행을 수동으로 수행해 전체적인 차량의 사이버 보안 프로세서를 운영하는 것에는 한계가 있다. 국제 표준에 대한 전문적인 이해를 바탕으로 표준 준수 감사를 지원할 수 있는 전문 도구를 통해 국제 표준을 준수하는 것이 필수적이다.

■스마트 시대의 차량 보안을 위한 체계적인 국제표준 준수 지원의 필요성

스마트카 자체에 대한 기술은 물론 스마트카를 활용한 자율주행 관련 기술은 5G와 통합돼 급격한 속도로 발전하고 있으며, 각종 IoT 기기와 스마트카가 융합되면서 스마트카의 활용 범위는 더욱 확장되고 있다. 이에 차량 운행의 기반이 되는 하드웨어는 물론이고 자동차를 구성하는 소프트웨어는 더욱 복잡해지고, 자동차를 대상으로 하는 사이버 보안 위협 역시 지속적으로 증가할 것으로 전망된다.

자동차 제조사와 부품 공급사에서 자동차에 대한 사이버 보안 위협을 중요한 과제로 인식하고 이에 대비하기 위한 다양한 대응 방안을 마련하고 있기는 하나, 여기에는 상당한 시간과 비용이 필요하다. 이런 문제를 보다 신속하고 효과적인 성공의 결과로 이끌어 낼 수 있는 것이 바로 자동차 국제 표준인 ISO/SAE 21434 및 UNECE WP.29의 규정 법제화다.