만약 여러분이 자율주행차를 타게 된다면 무엇을 가장 하고 싶으세요? 소비자조사기관 컨슈머인사이트에서 4500명의 운전자를 대상으로 설문한 결과에 따르면 ‘주변 경치 감상’을 가장 하고 싶은 것으로 나타났습니다. 스스로 주행하는 자율주행차의 등장으로 운전자는 운전에서 자유로워질 텐데요. 그런데 주행차를 믿고 운전대를 맡기다 제어시스템이 해킹당하면 어떻게 대처합니까? 자율주행차 해킹 및 보안 가이드라인에 대해 SK인포섹이 알려드립니다!
자유로워진 운전자 자율주행차 등장
운전자 없이도 혼자 운행하는 자율주행자동차(Autonomous Vehicle)는 자동차 스스로 주변 환경을 인식하고 교통 상황을 판단해 차량 제어, 목적지까지 주행하는 차량입니다. 과거 상상 속에만 존재하던 자율주행차는 1977년 일본 쓰쿠바 기계공학연구소에서 처음 제작된 이후 2010년 구글에서 자율주행차 개발을 발표해 세계적으로 큰 관심을 모았습니다.
2016년부터 국제자동차기술자협회(SAE International)에서 분류된 자율주행 시스템 단계가 글로벌 기준으로 통용되고 있습니다. 차량 스스로 충돌이나 차선이탈 위험을 감지해 속도를 줄이는 ‘레벨 1’ 단계부터 스마트 주차 보조, 고속도로 주행 보조 기능을 넘어 별도의 운전석 없이 운전자가 목적지만 말하면 안전하게 주행할 수 있는 ‘레벨 5’ 단계까지 나뉩니다. 산업통계 전문기업 Statista에 따르면 2030년께 세계 자동차 중 12%가량이 레벨 4, 5단계 완전 자율주행차가 될 것으로 전망했습니다. 이런 자율주행차의 가장 큰 핵심은 ‘인간이 운전하는 것보다 안전한 운전’입니다. 그러나 보안면에서 안전이 위협받을 수 있습니다.
자율주행차 달리는 무기 될까
최근 수년간 커넥티드카(Connected Car) 발전과 함께 자동차에 적용되는 다양한 소프트웨어에 기술적 취약성이 드러났습니다. 미국 도로교통운송국(NHTSA)에 따르면 2015년 미국에서 사이버 보안 문제로 리콜된 차량은 140만 대에 달하는데요. 지난 2016년 중국에서도 ‘킨 시큐리티 랩(Keen Security Lab)’ 연구원은 테슬라 모델S를 해킹해 브레이크, 잠금장치, 내비게이션을 원격 제어하는 것을 시연했습니다.
해커들이 자율주행차의 약점을 찾을 수 있는 분야는 다양합니다. 대표적으로는 클라우드 컴퓨팅 시스템이 있습니다. 자율주행차는 실시간으로 GPS 위치를 식별하고 차량 흐름을 예측하기 위해 초당 새로운 데이터를 생성하고 저장합니다. 이때 데이터를 빠르게 검색하고 처리하기 위해 클라우드 컴퓨팅을 사용합니다. 만약 여기서 해커가 자동차 클라우드 데이터베이스에 접근할 수 있다면 다수의 자동차를 대상으로 안전장치 전원 작동을 포함한 많은 기능을 조작할 수 있습니다.
또 다중 코딩 언어로 구성된 복잡한 부품도 자율주행차의 보안 취약점이 될 수 있습니다. 오늘날 자동차에 사용되는 부품은 세계 각국의 여러 업체에서 납품받으며 서로 다른 구성요소끼리 호환하기 위해 다양한 코딩 시스템을 사용하고 있습니다. 더불어 차량과 인프라 및 네트워크 연결을 통해 사용자 편의를 위한 다양한 서비스를 제공하고 있습니다. 하지만 이렇게 상호작용하는 자동차 부품에는 관련된 변수가 너무 많아 차량과 교통 시스템이 네트워크에 연결됨에 따라 차량의 교통 서비스 중 하나라도 보안 위협에 노출될 경우 교통 서비스 전체의 위협으로 확대될 수 있습니다.
자율주행차 보안 공격 이렇게 당한다! 보안 위협별 시나리오
<데이터 손실 위협 시나리오, 출처 : 한국인터넷진흥원, 스마트 교통 사이버 보안 가이드 > 자율주행차는 다양한 유형의 위협 시나리오가 발생할 수 있습니다. 먼저 데이터 손실 위협 해킹 시나리오의 경우 해커는 주행 중인 차량 내 통신 또는 외부 인프라 통신 세션에 액세스합니다. 이때 해커가 세션을 가로채 세션 간에 송수신되는 메시지를 분석합니다. 이 과정에서 인증 정보, 개인정보 탈취, 차량 원격 제어 서비스 권한을 획득하고 허위 데이터를 전송하는 등의 위협이 발생할 수 있습니다. 또한 외부 통신 메시지를 위·변조할 경우에는 차량 주행 정보, 과금 데이터 등의 조작이 가능해 교통사고를 유발하는 원인이 될 수 있습니다.
<중간자 공격의 위협 시나리오, 출처 : 한국인터넷진흥원, 스마트 교통 사이버 보안 가이드> 두 번째 시나리오 ‘중간자 공격’은 전송되는 데이터를 가로채 위조된 정보를 통해 백앤서버 또는 스마트카에 공격하는 행위를 말합니다. 실제 2017년 중국 해커들이 단돈 20달러(2만3천원)의 장비로 스마트카 신호를 증폭해 차 문을 열고 시동을 걸기도 했습니다. 현대에 운용되는 대부분의 차량이 스마트폰 앱, 블루투스와 연동된 다양한 커넥티비티(Connectivity) 기능을 탑재하고 있는 만큼 자동차의 안전성이 이제는 ‘사이버 보안’의 손에 달려 있다고 해도 과언이 아닙니다.
자율주행차 새 안전벨트 윤리·보안·안전 가이드라인
이에 맞춰 사이버 보안 관련 규제를 확립하려는 국내외 움직임도 활발합니다. 지난달 12월 국토교통부는 자율주행차 사이버보안, 윤리, 안전 각 분야에 대한 가이드라인 3종을 발표했습니다. 이 가이드라인은 의무가 아니라 권고적 성격을 띠고 있지만 자율주행차 보안 관련 간과해서는 안 될 중요한 이야기를 담고 있습니다.
우선 윤리 가이드라인에는 자율주행차가 인명보호를 최우선으로 하도록 설계, 제작돼야 한다는 원칙을 제시했습니다. 사이버보안 가이드라인에서는 자동차 제작에 대한 권고안을 주요 내용으로 제작사가 사이버보안 관리체계를 갖추고 그 체계에 따라 자동차 사이버보안을 관리해야 한다는 내용을 담고 있습니다. 마지막으로 레벨4 자율주행차 제작 및 안전 가이드라인에는 ‘시스템 안전’, ‘주행 안전’, ‘안전 교육 및 윤리적 고려’를 포함한 13가지 안전품목으로 구성돼 있습니다. 각 안전분야에서 필수사항에 대한 권고안을 제시하여 안전한 기술개발을 촉진할 계획입니다.
한편 사이버 보안 관련 규제를 확립하려는 국제사회의 움직임도 활발한데요. 유엔 유럽경제위원회(UNECE)는 자동차 사이버보안 규제 분야의 국제적인 기준을 마련하기 위해 2016년부터 월드포럼을 통한 논의를 추진하고 있으며 2020년 6월에는 자동차 사이버보안 및 소프트웨어 업데이트에 관한 2가지 새로운 규제를 발표했습니다. 일명 ‘1958 협약’으로 불리는 이 규정은 자동차의 사이버 공격에 대처할 수 있는 시스템을 자동차에 탑재하는 것을 의무화하고 있습니다. 자동차 사이버 보안 분야 최초로 국제적인 구속력을 갖는 규칙이 될 전망입니다.
자율주행차의 사이버 보안 위협은 운전자 또는 보행자의 생명과 직결되는 문제입니다. 자율주행차 시대에는 물리적 안전을 위한 안전벨트뿐 아니라 사이버 보안 공격에 대비하기 위한 소프트웨어 안전벨트도 필수입니다. 최근 개정된 국내 권고안을 중심으로 엄격한 사이버 보안 기준을 충족한 자율주행차만 도로 위를 달리길 간절히 바랍니다. 이상 SK인포섹이었습니다!
[참고] – 자율주행차 운전 안 하면 어떡해? (20.04.24/컨슈머인사이트)-사이버보안,자동차의 새로운 안전벨트가 되다(2020.11.30/해외시장뉴스 권선영무역관)-자율주행차 사이버보안은 어떤 기준에 맞춰야 하나(2020.12.15/보안뉴스 이상우 기자)-“자율주행차, 인명보호 최우선시”…정부, 가이드라인 제시(2020.12.15/대한민국 정책브리핑 국토교통부)-국토교통부, 자율주행차 윤리, 보안, 안전방향 가이드라인 3종 발표(2020.12.15/로봇신문 조상협 기자)
