[우리문화신문=김영조 기자] 자동차 인포테인먼트(Infotainment, 정보 오락 프로그램) 시스템이 등장함에 따라, 자동차는 이제 한 대의 거대한 컴퓨터라고 해도 지나친 말이 아니다. 이에 따라 자동차의 데이터 처리 능력이 향상되고 네트워크 연결성이 높아져 자동차 기능과 오락(엔터테인먼트) 측면에서 편의성이 훨씬 더 개선됐다. 하지만 정보보호 관점의 위험에 대한 우려는 전보다 커졌다. 따라서 기존에는 주로 슬기말틀(스마트폰)이나 컴퓨터에 적용하던 정보보호 개념을 자동차에도 한 단계 더 강화된 수준으로 도입해야만 한다. 국내에서 자동차 사이버보안을 위해 어떤 노력을 기울이고 있는지 간단히 살펴보자.
자동차 인포테인먼트는 자동차가 제공하는 정보통신(IT) 정보와 오락을 결합한 시스템으로, 운전자와 승객이 주행 또는 정차 중에 다양한 서비스를 이용할 수 있도록 하는 기술이다. 이 시스템은 위치 확인 시스템(GPS) 기반 길찾게(내비게이션)부터 음악과 라디오, 인터넷 실시간 재생(스트리밍)을 제공하는 멀티미디어, 핸즈프리 통화 또는 음성 제어, 자동차 상태와 센서 정보를 점검하고 표시하는 차량정보시스템, 슬기말틀 연락처와 메시지 연동 등을 포함한다. 인포테인먼트가 적용된 자동차는 도로 위의 ‘달리는 슬기말틀’이나 다름없는 셈이다.
이처럼 자동차가 슬기말틀과 비슷한 기능을 제공하는 형태로 진화하면서, 자동차에 적용되는 인터넷 개념도 등장했다. 자동차 인포테인먼트도 이런 개념들 가운데 하나로, 탑승자에게 다양한 기능과 안전성을 지원한다. 하지만 다른 한편으로는, 자동차 인포테인먼트로 인해 자동차의 연결가능성(Connectivity)이 확장되면서 외부의 공격을 받을 위험도 크다.
테슬라나 현대자동차 등 글로벌 완성차 업체가 커넥티드카(무선 통신망에 연결된 자동차), 자율주행차와 같은 '소프트웨어 중심의 자동차(Software Defined Vehicle, SDV)'로의 전환을 가속하면서 사이버 공격자의 표적이 될 가능성도 있다. 이는 자동차의 전자제어장치가 증가하고, 외부 통신과 연결돼 무선 업데이트(Over-the-air programming, OTA)되면서 차량에 접근할 수 있는 방식이 늘어났기 때문이다. 특히 자율주행차가 수집하는 데이터의 상당 부분이 개인정보에 해당해 그 중요성이 크다.
자동차 자율주행을 위해 인지, 판단, 제어에 사용될 각종 센서와 카메라의 성능이 고도화되면서 처리해야 할 데이터의 양이 급격하게 늘었고 이들 데이터를 빠르게 처리하기 위한 기존의 전자제어유닛(Electronic Control Unit, ECU)은 컴퓨터의 중앙처리장치(CPU)와 그래픽 처리장치(GPU)를 기반으로 업그레이드됐다.
따라서 자동차에는 슬기말틀이나 컴퓨터보다 더 강력한 보안이 적용돼야 한다. 유엔 유럽경제위원회(UNECE)가 제정한 사이버보안 관련 및 사이버보안 관리 시스템에 대한 규제 제 155조(UN Regulation No.155: Cyber Security Management System)와 소프트웨어 업데이트 관리 시스템에 관한 규제 제156조(UN Regulation No.156: Software Update Management System)를 비롯해 ISO/SAE 21434에서 만든 자동차 네트워크 연결과 개인정보가 처리되는 아이템 또는 컴포넌트에 대한 사이버보안 관리 체계(Cyber Security Management System, CSMS) 구축 등이 대표적인 사례다.
유엔 유럽경제위원회의 국제 자동차 기준 회의체는 지난 2021년부터 사이버보안 국제기준을 채택하고 있다. 현재는 UNECE 협약국에서 새차를 팔려면 CSMS 인증을 받아야 한다. 내년 7월부터는 인증 기준이 모든 차종에 적용된다.
우리나라에서도 국토교통부(아래 국토부)가 한국교통안전공단과 함께 지침을 제작해 발표했다. 이 지침은 의무가 아닌 권고 수준에 불과하지만, 자동차 사이버보안의 유일한 기준이자 세계 기준인 ‘UN 규제 제155회’를 바탕으로 마련됐기 때문에 앞으로 제정될 국내 기준에 대비해 제조사들의 권고 사항과 승인ᆞ시험 기관 등의 역할을 제시하고 있다. 또한, 정부는 이 지침을 기반으로 자동차 사이버보안센터 설립도 추진 중이다.
자동차 사이버보안 지침은 자동차 제조업체와 자동차 보안전담기관 등에 권고되는 사항을 규정하고 있으며, 자동차 수명(라이프사이클)에 참여하는 자동차 부품업체, 서비스 제공업체, 협력업체 등도 참고할 만한 내용을 포함한다. 특히 전기ᆞ전자적 설계 요소가 존재하는 모든 자동차는 사이버 공격 대상이 될 수 있어 보안에 유의해야 한다. 이 밖에, 자율주행차와 통신 연결 기능을 탑재한 자동차도 보안이 필수다.
작년 12월, 정동만 의원이 사이버보안 및 소프트웨어 업데이트 관리 체계 마련을 골자로 한 자동차관리법 일부개정법률안을 발의했지만, 여전히 국토교통위원회에서 계류 중이다. 국회에서는 연내 법안 개정을 목표로 추진하겠다는 태도다. 아울러, 국토부는 법 개정에 발맞춰 내년 경기도 화성에 완공 예정인 사이버보안센터가 사이버보안과 소프트웨어 업데이트 관련 인증, 데이터 관리 업무를 담당할 것이라고 밝혔다.
자동차 보안 시장에 합류한 안랩
안랩은 작년 말부터 자동차 보안 시장에 적극적으로 참가하고 있다. 작년 12월, 자동차 보안 및 소프트웨어 전문기업 페스카로(FESCARO)와 ‘자동차 사이버보안 분야 협력을 위한 전략적 제휴 협약(MOU)’을 맺었다.
2016년 설립된 페스카로는 자동차 전자제어장치(Electronic Control Unit, ECU) 개발자와 화이트해커 출신의 보안 연구원들로 구성된 미래차 소프트웨어 전문기업이다. 페스카로는 ▲자동차 사이버보안 ▲보안 게이트웨이 제어기 ▲V2X(Vehicle to Everything) 보안 ▲SDV(Software Defined Vehicle) 솔루션 등 자동차 환경에 특화된 소프트웨어를 공급한다.
안랩은 페스카로와의 업무협약을 통해 차량 내 소프트웨어 도입 증가와 내외부 통신 확대 등에 따른 자동차 보안 위협 증가에 공동으로 대응한다는 방침이다. 안랩과 페스카로는 ▲자동차 내부 통신과 전자제어장치 보안 사업 ▲자율주행/자율협력주행 분야 보안 사업 ▲자동차 분야 외 기타 사물인터넷(IoT, Internet of Things)과 산업용 사물인터넷(IIoT, Industrial Internet of Things) 분야 보안 사업 등에서 협력한다.
두 회사는 안랩의 정보통신(IT)ㆍ기업 운영기술(OT) 분야 통합 보안 전문성과 페스카로의 자동차 보안 및 소프트웨어 개발 역량 등 각 업체가 보유한 역량과 자원을 결합해 교통수단(모빌리티) 융합보안 분야 연구와 사업기회 발굴을 진행하고 있다. 이를 위해 안랩은 물리적 장치(엔드포인트) 및 네트워크 보안 위협 대응 기술, 보안 컨설팅 및 보안관제 서비스 등 보안 전문성과 위협 대응 비법을 페스카로에 제공한다. 페스카로는 차량 내외부와 통신하는 각종 전자제어장치와 시스템 등을 보호하는 자동차 보안 및 소프트웨어 전문 기술을 안랩과 공유할 예정이다.
AhnLab 콘텐츠기획팀 제공
