데이터 및 통신 보안

들어가기에 앞서

지프 체로키의 자동차 해킹사건

• 2015년 자동차 사이버보안 시장을 여는 거대한 사건으로서 주행 중인 자동차를 원격에서 마음대로 조종하는 해킹 시연 영상이 공개됨
• 차량 해킹으로 자동차에 대한 악의적 조작이 가능하고 이로 인해 목숨이 위협받을 수 있다는 것을 알게 되면서 차량 보안에 대한 관심이 급격히 높아짐
• 기자가 타고 있는 차에 미국 화이트해커 찰리 밀러(Charlie Miller)와 크리스 볼로섹(Chris Valasek)가 해킹에 성공하여 차량을 제어하는 영상

 

Black Hat USA 2015: The full story of how that Jeep was hacked

 

• 차량용 인포테인먼트 시스템 중 하나인 ‘유커넥트’의 취약점을 이용해 원격에서 차량으로 접근한 후, 내부 시스템을 장악해 해킹
• 차량 외부에서 내부로 해킹하기 위해 Wi-Fi 연결을 해킹함. 비밀번호 기반으로 Wi-Fi를 접속하는 통신 특성 상 비밀번호가 유출이 된다면 해커 역시 해당 통신을 할 수 있다는 Wi-Fi 통신의 취약점을 노림.
• 메뉴얼대로 비밀번호는 PBKDF2 등 NIST 승인된 암호키 생성 알고리즘을 통해 생성이 되었으나 비밀번호를 자동 생성하는 방식을 써서, 알고리즘이 작동할 때 입력값으로 들어가는 시드를 무작위성(복잡도를 나타냄, 높을수록 비밀번호 탈취가 어려움)이 매우 낮게 설정됨.
• 이것은 암호키 생성 알고리즘을 쓰지 않은 것과 동일한 효과로서 매우 쉽게 비밀번호를 탈취할 수 있었음. 
• 자동차 사이버보안을 위한 안전한 암호키/인증서/비밀번호 생성 및 관리 솔루션인 NeoFSM 등을 사용할 경우 이러한 암호키 취약성을 해결할 수 있음. 

안전한 암호키 생성을 위한 방법

• 이 사건으로 피아트-크라이슬러는 해당 모델 140만대를 리콜하게 됨
• 이외에도 자동차 보안 관련 이슈가 여러 존재함.
  • 2012년 7월, 영국에서 당시 신형 BMW 자동차가 절도범 3명에게 해킹돼 3분 만에 도난당함. 절도범은 차량의 자가진단장치(OBD-Ⅱ)에 스마트폰과 노트북을 연결해 스마트키를 복제한 후 자동차를 훔침.
  • 2013년, 네덜란드와 영국의 과학자들이 폴크스바겐, 포르쉐, 람보르기니 등 여러 자동차 브랜드를 해킹할 수 있는 방법을 보여주는 학술논문을 발표. 영국 고등법원은 이 논문을 읽어 보면 무선으로 차량을 해킹해 잠금해제하는 방법이 너무 쉽기 때문에, 즉시 이 논문의 추가 출판을 중단하라는 명령함
  • 러시아 모스크바에 본사를 둔 다국적 사이버보안 및 안티바이러스 프로바이더인 카스퍼스키 연구소(Kaspersky Lab)는 BMW 소유 경험(웹, 애플리케이션)에 대한 총체적인 위협 평가를 진행, 차량 개방과 시동 켜기를 포함한 심각한 취약점이 있다는 것을 발견함.
  • 2017년, 현대자동차 블루링크 애플리케이션에 해커가 보안되지 않은 와이파이를 통해 침입, 사용자의 정보를 탈취하고 원격으로 시동을 걸 수 있는 취약성이 포함된 것이 드러남.
  • 스티브 탱글로(Steve Tengler) 수석 기고가는 2020년 미국 포브스에 2002~2020년의 대표적인 자동차 해킹 사례 25가지를 나열하며, 자동차 제조사들에 경각심을 가지라고 강조함.

한국 산업연구원 분석 자료 - 디지털 시대, 차량데이터 관련 이슈와 시사점

차량데이터 시장 전망

• 차량데이터 시장은 2021~2028년 동안 연평균 38.5%의 성장을 통해 2028년에는 약 869억 달러로 대폭 확대될 것으로 예측됨.
• 2022년 31억 달러 규모인 사이버 보안 시장은 2032년까지 연평균 18.15% 성장하여 약 164억 3,000만 달러 규모에 도달할 것으로 전망.
• 특히 사이버 보안 관련 소프트웨어 개발 분야는 사이버 보안 시장의 성장을 주도할 것으로 예상됨.
• 디지털 전환이 가속화되면서 제조 시장 중심이던 자동차산업은 OTA(Over-The-Air) 등을 통한 소프트웨어 업그레이드 및 라이다(LiDAR), 레이더 등의 센서를 포함한 데이터 처리가 요구 되는 미래차 통합솔루션 시장, 차량 운행을 위한 데이터 보안 시장으로 이동중
• 구글, 마이크로소프트 등 IT 기업의 주행 서비스 개발 참여가 이루어지고 있는 현황을 살펴 볼 때, 향후 IT 기업과 미래차 기업 간 협력이 더욱 확대될 것으로 예상됨

글로벌 자동차 사이버 보안 시장 규모 및 부문별 전망

주요국 정책 및 제도

• 주요국은 경제적 중요성이 점증하고 있는 미래차 분야에서 차량데이터 관련 제도 및 미래차 발전을 위한 정책을 적극적으로 도입중.
  • 미래차와 연관되는 차량데이터의 접근 권한 확대를 통한 활용 및 사이버 보안 규제가 적극적으로 고려.
  • 그간 자동차 제조사가 독점해 온 차량데이터 접근 권한을 차량 소유자·독립 정비업자·보험사 등이 공유하도록 확장
  • EU ‘데이터법(Data Act)’: 2022년 2월 자동차 제조사에게 차량데이터를 차량 소유자의 요구에 따라 제 3자(경쟁자 포함, 독립수리·정비업자, 자동차 보험사 등)에게 이전할 의무를 부과
  • ‘자동차 분야 경쟁법 일괄 면제 규정(MVBER, Motor Vehicle Block Exemption Regulation)' 개정안: 2023년 6월부터 2028년 6월까지 차량데이터 접근성 보장을 예정
  • 미국 매사추세츠주의 ‘차량데이터 접근법(Vehicle Data Access Law)’: EU의 '데이터법'과 유사하게 차량데이터 공유 대상을 차량 소유자, 독립 수리·정비업자 등으로 확장한 것과 동일한 양상을 보임.
• 차량데이터 법제에서 공통이 되는 핵심 조항은 데이터의 공유 의무. 이에 따라 EU 및 미국으로 수출할 자동차는 사용자, 제3자 서비스 기업 및 정부의 데이터 공유 요청에 대한 대비가 되어있어야함.
  • EU의 경우 데이터 보유자인 자동차 제조기업들은 데이터법의 도입을 표면적으로 환영하는 발표에도 불구하고 데이터법의 문제점을 지적하며 개선을 요구.
  • 반면 데이터를 이전 받을 수 있게 되는 서비스 업종의 기업들은 빠른 도입을 촉구
  • 국내 자동차제조기업 역시 EU의 데이터법 및 미국의 차량 데이터 공유 의무 도입에 대비하여 보안 강화와 데이터법 및 관련 법의 규정에 맞는 시스템의 도입을 준비해야 함

수집한 차량데이터의 관리 및 활용을 위한 데이터 처리 기술

• 에지(edge) 컴퓨팅 방식: 기존에 클라우드 방식으로 데이터를 전송 및 수신하는 과정을 생략함으로써 주행환경에서의 빠른 판단을 가능하게 하는 신기술로서 현재 자율주행차의 데이터 처리 방식으로 논의되는 중. 안전한 자율주행을 가능하게 함
• 안전한 자율주행을 가능하게 하며 실시간 컴퓨팅을 보장하여 대기시간을 감소시키며 보안 위험을 일부 차단하는 효과도 있음
• 통신이 끊기는 상황에서도 데이터를 분석 및 처리함으로써 사고 발생 위험을 감소시키며 자동차의 사이버 보안을 강화하기 위한 방법으로 제시됨.

에지 컴퓨팅 기반 차량데이터 처리 과정 (출처: 3DInCites(2021), https://www.3dincites.com/2021/07/auton omous-vehiclesdrive-ai-advances-for-edge-computing/(검색일: 2023. 6. 3).)

 

데이터 관련 통상 규범

• 미래차가 수집하게 되는 데이터와 관련된 주요 통상 이슈는 크게 두 부분으로 나누어서 살펴볼 수 있음.
• 개인정보의 국경 간 이전과 관련한 국가 간 디지털 통상협정
  • 개인정보의 국외 이전이 문제가 되는 이유: 커넥티드카, 자율주행차 등 미래차가 획득하는 정보 중 상당수가 개인정보와 관련이 있기 때문
  • 개별국의 규제와 최근 체결되고 있는 디지털 통상협정 내 관련 규제는 지속적으로 모니터링하고 대응할 필요 존재
  • CPTPP와 USMCA, 미일 무역협정: 데이터의 지역화가 무역장벽으로 작용한다고 판단하여 의무 조항으로 국경 간 데이터 이전 제한 및 데이터 현지화 금지를 규정
    • 개인정보를 포함한 국경 간 정보 이동의 허용을 강제화함으로써 차량데이터에 포함되는 다량의 개인정보가 이동 할 수 있는 단초가 됨.
    • CPTPP(Comprehensive and Progressive Agreement for Trans-Pacific Partnership):  아시아·태평양 11개국이 2018년 3월 칠레에서 결성한, 태평양에 접해 있는 국가 간 관세 철폐와 경제 통합을 목표로 한 메가 자유무역협정(FTA). (호주, 캐나다, 일본, 멕시코, 뉴질랜드, 싱가포르, 베트남, 페루, 말레이시아, 칠레, 브루나이)
    • USMCA(United States–Mexico–Canada Agreement): 미국, 캐나다, 멕시코간 북미자유무역협정(FTA). 2018년 NAFTA를 개정한 USMCA에는 미국의 강요로 중국과의 자유무역협정을 금지한다는 조항이 명시적으로 삽입된것이 특징.
  • RCEP(Regional Comprehensive Economic Partnership): 15개 국가가 참여하는 세계 최대 다자무역협정. 국외 이전 대상 규정에서 ‘이전 행위를 금지하지 않을 의무’를 부여함으로써 CPTPP와 달리 법적 강제력을 나타내지 않음
  • 중국의 데이터법: 강력한 데이터 현지화 요건의 적용을 기반으로 데이터의 국외이전 통제 및 관리에 중점을 두고 있음. 또한 데이터 보호 정책을 높은 수준으로 수립하고 이를 역외(extra-territorial) 적용함으로써 자국 내 데이터를 보호하는 방향으로 수립되는 중. 이는 차량데이터 활용의 제한을 야기할 수 있음. 
  • DEPA(Digital Economic Partnership Agreement): 디지털 무역을 촉진하고 디지털 경제를 위한 프레임 워크를 만들기 위한 새로운 유형의 디지털 경제 동반자 협정. 칠레, 뉴질랜드 및 싱가포르의 공동 이익에서 탄생. 
    • 개인정보의 국외 이전에 필수적인 보안 관련 데이터 이외에는 개별국들이 자체적인 규제 요건을 적용할 수 있도록 규정됨.
  • 미래차 시장이 성장함에 따라 지속적으로 증가될 것으로 예상되는 차량데이터의 원활한 국경 간 이전을 위해서는 개별국의 데이터 및 개인 정보보호 관련 법이 국제기준에서 통용되는 수준으로 제정되어야 함!
• 사물인터넷(IoT)으로 수집된 정보의 제3자 및 국외 이전 문제에 관한 개별국의 데이터 법 및 개인정보보호법
  • 개별국가에서 제정한 개인정보보호법의 데이터 보호 및 활용 수준에 따라 이전이 제한되는 문제가 발생할 수 있음

 

차량 데이터 및 통신 보안 기술

암호에 기반을 둔 차량 내부 보안

암호화 기술

자동차 내에서 전송되는 데이터는 암호화를 통해 보호. 이 암호화 기술은 차량 내 시스템 간의 통신, 예를 들어 엔진 제어 장치(ECU)와 센서 간의 통신을 암호화하여 외부에서 이를 해독할 수 없도록 함. 또한, 차량과 외부 장치(예: 스마트폰, 원격 서버) 간의 데이터 전송 시에도 암호화가 적용됨. **AES(Advanced Encryption Standard)**와 같은 강력한 암호화 알고리즘이 많이 사용됨.

 

[암호화 기술 조사 내용]

사이버 보안 및 암호화 기술

보안 부팅 (Secure Boot)

보안 부팅은 차량의 전자 제어 장치(ECU)에서 사용하는 소프트웨어가 안전하고 무결한지 확인하는 기술. 시스템의 초기 부팅 과정에서 실행되는 코드의 무결성을 확인하는 보안 메커니즘을 갖고 있음. 자동차 부품 제어기에 들어가는 소프트웨어가 주입 전에 변경되어 있다면, 자동차 주행 시 문제가 발생할 위험성이 높음. 부팅 과정에서 메모리에 소프트웨어를 로드하는 동안 무결성을 검증해야 함. 

 즉, 차량이 부팅될 때, ECU는 소프트웨어의 디지털 서명을 확인하여 인증된 소프트웨어만 실행되도록 보장. 이를 통해 악성 소프트웨어가 차량의 시스템에 침투하는 것을 방지.

목표는 부팅 과정에서 승인되지 않은 코드(예: 악성 소프트웨어나 변조된 코드)가 실행되지 않도록 하는 것.

• 작동 방식: Secure Boot는 부팅 시 실행되는 각 소프트웨어 컴포넌트의 디지털 서명을 검증함. 부트로더, 커널, 운영 체제 등을 포함한 부팅 단계에서 다음 단계로 넘어가기 전에, 현재 단계의 소프트웨어가 신뢰할 수 있는 서명으로 서명되었는지 확인함.
• 원리: 소프트웨어 로드 과정에서 무결성을 검증하는 방법으로는 공개키 암호 기반의 전자서명과 해시 함수 같은 암호학적 방법이 사용됨. 부팅 과정에서 메모리에 소프트웨어를 로드할 때, 해당 소프트웨어의 해시값과 인증서를 공개키로 복호화하여 나온 값이 같다면 로드를 하고 아니라면 로드를 하지 않음
• 핵심 요소: Secure Boot의 핵심 요소는 신뢰할 수 있는 루트(Root of Trust)임. 이 루트는 하드웨어(ROM)에 내장된 키를 사용하여 첫 번째 부팅 코드의 무결성을 확인함.
• 장점: 승인되지 않은 소프트웨어가 실행되지 않도록 하여 시스템의 보안을 강화함.

Secure Debug 시나리오 도식화 (출처: Backer, D. Hely, and R. Karri, “Secure and Flexible Trace-Based Debugging of Systems-on-Chip,” ACM Transactions on Design Automation of Electronic Systems, Vol.22, No.2, Article 31, 2016, pp.9-15.)

보안 디버그(Secure Debug)

Secure Debug는 개발 및 유지보수 과정에서 디버깅 인터페이스의 보안을 강화하고 자동차 부품 제어기에 존재하는 디버그 포트를 암호 키, 비밀번호 등의 방법으로 막는 보안 대응 방안. 디버깅 인터페이스가 악용되어 시스템의 민감한 정보에 접근하거나 악성 행위를 실행할 수 있는 위험을 방지하는 것이 목적. 해커가 디버그 포트를 통해 부품 제어기에 접근한다면 악의적 리버싱, 코드 변조 등 다양한 공격이 시도될 수 있으므로 인증을 받은 사용자 혹은 장비만이 자동차 부품 제어기에 접근할 수 있어야 함.

• 작동 방식: Secure Debug는 디버깅 기능에 대한 접근을 제한하거나 인증을 요구할 수 있음. 인증의 방식은 암호 키 혹은 비밀번호를 사용하여 제어기 내부에 있는 암호 키 혹은 비밀번호와 동일한 값을 제시하도록 하여 안전성을 제공함. 예를 들어, 특정 하드웨어 키나 인증 토큰이 있어야만 디버깅 인터페이스에 접근할 수 있도록 설정할 수 있음. 
• 디버깅 모드 제어: Secure Debug는 보안 설정에 따라 디버깅 모드를 활성화하거나 비활성화할 수 있음. 보안 디버깅 모드에서는 민감한 메모리 영역에 접근이 제한되며, 디버그 로그도 암호화될 수 있음.
• 장점: 인증된 사용자가 아닌 경우 디버깅 인터페이스를 통해 시스템을 조작하는 것을 방지.
• 키관리: 제어기 내부의 암호 키 혹은 비밀번호는 부품 제어기 내부에 양산 시 주입되어야 하며, 부품 제조사 및 자동차 완성차 제조업체는 이를 보관해야 함.
• 보안성을 결정하는 요소: 암호 키 혹은 비밀번호로 KISA의 “암호 키 관리 안내서”, NIST SP 800-132 등에 적합하게 생성 및 관리되어야 함.

Secure Flash 시나리오 도식화 (출처: K. Lemke, C. Paar, and M. Wolf, “Embedded Security in Cars: Securing Current and Future Automotive IT Applications,” Springer, Springer-Verlag Berlin Heidelberg, 2006, p.6 내용 도식화)

보안 플래시(Secure Flash)

Secure Flash는 플래시 메모리에 저장된 데이터의 무결성과 기밀성을 보호하는 보안 기술로서 자동차 부품 제어기의 소프트웨어 업데이트가 필요한 경우, 업데이트 예정인 소프트웨어가 승인받은 소프트웨어인지 확인 후 반영하는 보안 대응 방안. 차량의 ECU와 같은 임베디드 시스템에서는 펌웨어와 중요한 데이터를 플래시 메모리에 저장하는 경우가 많기 때문. 

• 작동 방식: Secure Flash는 업데이트 예정인 소프트웨어를 확인하기 위해서는 공개키 암호 기반의 전자 서명과 해시 함수 같은 암호학적으로 안전한 방법이 사용됨.
  • 자동차 소프트웨어 생산업체에서 업데이트 예정인 소프트웨어에 개인키를 사용한 전자서명을 하고, 제어기에서는 사전에 주입된 공개키를 이용하여 전달받은 소프트웨어의 출처를 확인하며, 해시 함수를 사용하여 해당 소프트웨어가 변경되지 않았는지 확인함. 이를 통해 변경되지 않은 소프트웨어가 정상적인 발송처로부터 온 것을 확인한 후 해당 소프트웨어를 반영함
• 무결성 검사: 데이터를 플래시 메모리에 쓸 때와 읽을 때 모두 해시 값을 사용하여 무결성 검사를 수행. 이를 통해 변조된 데이터가 플래시 메모리에 쓰이거나 읽히는 것을 방지.
• 장점: 펌웨어 업데이트 시 승인되지 않은 변경이 이루어지지 않도록 보장하며, 플래시 메모리에 저장된 중요한 데이터가 유출되거나 변조되지 않도록 보호.
• 키 관리: Secure Flash를 위해서는 자동차 부품 제어기에는 자동차 소프트웨어 생산업체의 공개키가 양산 전 탑재되어야 함. 공개키는 해당 값이 공개되어도 상관없지만 변조되는 경우 정상적인 Secure Flash 동작이 불가함. 따라서 정상적인 Secure Flash를 위해서는 공급 망 전 과정에서의 공개키의 무결성이 필요함.

보안접근(secure Access)

Secure Access는 인증 받은 진단기만 자동차에 장착될 수 있도록 하는 보안 대응 방안. 접근 권한을 제한함으로써 시스템을 악의적인 행위로부터 보호하는 것이 목적. Secure Debug가 적용되어 있어도 해커는 진단기를 통해 자동차 부품 제어기에 접근할 수 있기 때문에 이를 제어 하기 위해 진단기에 대해 인증을 수행함.

• 작동 방식: Secure Access의 인증은 Secure Debug와 유사한 방법으로 진행됨. 시스템의 각 구성 요소에 대해 접근 제어 목록(ACL)을 설정하여, 특정 자원에 대해 접근 권한이 있는지 확인. 접근 권한이 없는 경우 해당 자원에 접근하려는 시도는 거부됨.
• 역할 기반 접근 제어: Secure Access는 종종 역할 기반 접근 제어(RBAC)를 사용하여 사용자나 프로세스가 시스템 내에서 수행할 수 있는 작업을 정의. 이를 통해 중요한 자원에 대한 접근을 최소한의 권한만 가진 주체로 제한할 수 있음.
• 장점: 민감한 자원에 대한 비인가 접근을 방지하여 시스템의 안전성을 강화함.
• 선행조건: 보안 기술에 적용되는 암호 키, 비밀번호 등 기밀 데이터가 자동차 완성차 제조업체 및 부품 제조사에 안전하게 생성/관리/전달/폐기가 되어야 함. 

인증 및 접근 제어

차량 시스템에 접근하려는 모든 사용자나 장치는 반드시 인증 과정을 거쳐야함. 예를 들어, 차량의 엔터테인먼트 시스템에 스마트폰을 연결하려면 블루투스 페어링이나 PIN 코드 입력 등의 인증 절차가 필요함. 또한, 차량의 중요한 기능에 접근하려면 다단계 인증이 요구될 수 있음.

그 외 차량 내부 보안 기술

침입 탐지 및 방지 시스템 (IDS/IPS)

• 자동차의 네트워크와 시스템을 보호하기 위해 **침입 탐지 시스템(IDS)**과 **침입 방지 시스템(IPS)**이 사용됨.
• IDS는 네트워크에서 이상한 활동을 모니터링하고 감지하여 관리자에게 알리는 역할
• IPS는 이러한 활동을 사전에 차단하는 역할.
• 이를 통해 해커가 차량 시스템에 침입하거나 데이터를 탈취하려는 시도를 효과적으로 방지할 수 있음.

 

 

현대자동차 IDS 시스템

• 실제로 차량 환경에서 발생하는 사이버 공격들을 어떻게 찾는지에 대한 고민에서 침입탐지 시스템(IDS)을 사용함.
• 공격을 탐지하는데 꼭 써야하는 건 아니지만 외부에서 들어오는 공격을 탐지할 수 있는 가장 기초적이고 효과적인 솔루션.
•  차량이 돌아다니는 환경에서 네트워크들을 모니터링하고 모니터링의 결과로 이상 패턴이 발견되면 보고 싶은 데이터만 기록하게 됨. 이 내용들을 다시 서버로 리포트함.

• 이에 따라 서버사이드도 필요함. 그 서버를 VSOC라고 부름. 클라우드 서버라고 생각하면 됨. IDS에서 만들어진 Alert들을 서버로 올려서 차량보다 성능이 뛰어난 서버 환경에서 분석을 해서 분석의 결과를 다시 차량에 내려주는 순환식 알고리즘을 갖고 있음
• IDS가 신기술은 아니고 IT쪽에서는 이미 많이 쓰던 기술이지만 차량 환경에 어떻게 집어 넣어야 되냐는 문제가 존재함.
• Constrained Resource Network라고 불리는 임베디드 시스템은 컴퓨팅 파워가 좋지 않음. 서버 환경에 비해 퍼포먼스가 낮은 차량환경에서 IDS를 돌려서 나온 결과를 서버로 올리고 서버에서 다시 그 결과를 주는 사이클을 만드는데 집중 하는중.
• 차량에서 Detection한 결과를 서버 안에서 최대한 의미있는 정보로 바꿔서 다시 새로운 보안 매저를 만드는 피드백 사이클에 심혈을 기울임
• 차량에 Detecting 해야할 내용이 너무 많아서 무엇을 봐야하는지 정하는 것이 매우 중요함.
• 컴퓨터 디바이스들이 하는 모든 소프트웨어 라인을 다 볼수는 없기 때문에 네트워크를 보는것으로 첫번째로 접근함.
• 첫번째로 접근한 네트워크는 가장 대표적인 프로토콜인 CAN 프로토콜임. 아주 오래된 프로토콜이라 메시지를 그냥 버스에 흘려넣으면 메시지를 듣겠다고 정한 컴퓨팅 유닛이 받아와서 들을수 있음.
• CAN에서 생성된 메시지는 공격자가 자신이 원하는 아무 내용이나 집어 넣으면 그냥 어떤 컴퓨팅 유닛이든 들을수 있음.
  • Ex) 핸들을 오른쪽으로 돌리는 메시지보다 공격자가 왼쪽으로 돌리는 메시지를 더 빠르게 많이 보내게 되면 받는 유닛이 헷갈리면서 핸들이 왼쪽으로 돌려질수도 있음.
• 따라서 컴퓨팅 유닛이 정의하지 않은 메시지가 네트워크상에 흘러다는 것을 찾아보자는 것이 첫번째 어프로치임.

• 두번째로 접근한 네트워크는 보안과 성능이 더 뛰어난 이더넷 프로토콜임. 다른 프로토콜이기 때문에 IDS를 개발하는 어프로치가 CAN과는 다름. 

• 세번째로는 트레이드 오프 방식으로 접근함. IT 환경에서는 이미 많이 사용되고 있는 기술이기 때문에 IT에서 사용되는 오픈소스 IDS를 차량에 임포팅해봄. 차량 환경에서는 IDS가 작동을 안하는것을 넘어 차량의 기본기능에까지 악영향을 줄만큼 퍼포먼스가 안좋음.
• 결국 경량화된(Light-Weight) IDS를 만들어야 한다는 결론에 다다름.
• 차량에 있는 수많은 컴퓨팅 유닛 중에 그나마 선능이 가장 좋은 유닛에 IDS를 집어넣고 별도로 코어도 할당하면서 와전히 IDS만을 위해서 전적인 지지를 해줄 수 있도록 세팅함.
• 어떤 것을 Detecting할지를 정하는 룰셋을 최적화하는, 즉 아무거나 잡지 말고 정말 필요한 것만 Detect 할수있게 정함. 패킷같은 메시지를 첫번째로 가져오게 함

• CAN IDS 나 Ethernet IDS나 IDS 구조는 동일함. 
  • 네트워크 메시지(데이터), 메시지 패킷들을 모아서 전처리를 거친 후 공격탐지하는 엔진에 집어넣음.
  • 엔진에서 공격이라고 판단한 기록(Alert)을 VSOC서버로 보내고 서버에서 분석결과를 분석한 후 그 결과를 어떤 룰셋의 형태로 차량에 집어넣음으로서 똑같은 패턴이 발견되면 차량이 대응할 수 있도록함

• 제네시스 gb60, jw차종, 아이오닉6에 이미 적용됨. VSOC인 클라우드 서버도 잘 운영중임.
• 유럽 인증도 IDS로 잘 인증을 해서 인증을 받는데 성공함.
• 이더넷 IDS와 네크워크 뿐만 아니라 호스트 기반 IDS도 개발중임.
• 아직은 Detection이라는 한계가 존재함. IPS로 바로 전환하게 되면 차량환경의 경우 Protection을 함부러 함으로서 오탐이 발생할 경우 큰 문제가 될수 있음. 
• 즉, 오탐에 의해 핸들을 정상적으로 오른쪽으로 돌렸음에도 그 정상 메시지를 공격인줄 알고 메시지를 잘라버릴 경우 사고로 이어질 우려가 존재함.
• 따라서 Protection을 굉장히 조심스럽게 접근을 하는중임. 

•  Anomaly Detection: 룰셋의 경우 알려지지 않은 패턴을 기반으로 차량이 알아서 판단하여 공격일수도 있는 패턴을 알려주어 바로바로 탐지할 수 있는기능
• Realtime Feedback: 현재의 시스템은 실시간이 아니지만 만약 서버에서 대규모 공격이 일어날 경우 빨리 패치시킬 수 있도록 하는 시스템

하드웨어 보안 모듈 (HSM)

하드웨어 보안 모듈(HSM)은 차량 내의 중요한 데이터를 보호하기 위해 사용. HSM은 암호화 키 관리, 인증, 서명 등의 작업을 하드웨어 수준에서 처리하여 소프트웨어적 공격으로부터 데이터를 안전하게 보호. 이 모듈은 특히 중요한 차량의 기능, 예를 들어 자율 주행 시스템과 관련된 데이터 보호에 필수적임.

무선 업데이트 (OTA, Over-the-Air) 보안

현대의 자동차는 소프트웨어 업데이트를 무선으로 수신할 수 있는 OTA 기능을 갖추고 있기 때문에 OTA 업데이트는 차량 시스템의 보안 패치나 기능 개선에 사용되지만, 해킹에 노출될 가능성도 있음. 따라서 OTA 업데이트는 암호화된 채널을 통해 전송되며, 업데이트 파일의 무결성을 확인하기 위한 디지털 서명도 적용됨.

네트워크 분할 (Network Segmentation)

자동차 내 네트워크는 기능적으로 분할되어 있음. 예를 들어, 엔터테인먼트 시스템과 중요한 제어 시스템(예: 제동 시스템)은 서로 다른 네트워크에 배치되어 있어, 한 네트워크에 문제가 생겨도 다른 네트워크가 영향을 받지 않도록 함. 이는 해킹 시도를 차단하고, 공격이 확산되는 것을 방지함.

블록체인 기술

블록체인 기술은 데이터의 투명성과 무결성을 보장하기 위해 일부 자동차 데이터 보안 솔루션에 도입되고 있는중임. 블록체인은 데이터가 변경되지 않았음을 확인하는 데 사용될 수 있으며, 특히 탈 중앙집중화하고 공개하는 방식을 사용하기 때문에 차량 간 통신(V2V)에서 데이터의 신뢰성을 확보하는 데 유용할 수 있음.

자동차 산업에 침투하는 ′블록체인′

 

공급망에 대한 보안 기술

자동차 내부에서 보안 기술이 적용되더라도 부품 제조사에서 기밀 데이터가 유출되거나 자동차 완성차 제조업체가 암호 키를 제대로 관리하지 못한다면, 보안 기술의 적용이 무의미 해지기 때문에 ISO 27001 기반의 공급망에 대한 보안 기술이 적용되어야 함! 대표적 공급망에 적용될 수 있는 보안 기술은 다음과 같음.

암호 키 관리 시스템

• 자동차 사이버보안의 핵심인 암호 키 및 비밀 데이터를 생성 및 관리함으로서 보안을 제공하는 시스템.
• 자동차 부품 제어기에 보안 기술을 적용하기 위해서 제어기의 양산 과정에서 암호 키 및 비밀번호가 주입되기 때문에 가장 먼저 적용해야 할 시스템.
• 주입되는 암호 키 및 비밀번호는 생성, 전달, 보관, 갱신, 폐기 등 전 과정에 걸쳐 안전하게 관리됨. 이를 위해 암호 키는 반드시 개발 및 양산 시스템과 물리적으로 분리된 안전한 공간에 보관해야 하며, NIST SP 800-57, NIST SP 800-130 등 암호 키 관련 표준을 준수해야 함.
• 특히, 암호 키를 전달할 때는 암호 키에 대한 표준 프로토콜인 KMIP(Key Management Interoperability Protocol)을 준수해서 전달하는 것이 중요하다.
• KMIP란?
  • OASIS 표준화 기구에서 2010년에 처음 공개된 KMIP(Key Management Interoperability Protocol)은 키 관리를 위한 보안 국제 표준 프로토콜로, 암호화 키와 관련된 정보를 교환하고 효과적으로 관리하기 위한 목적으로 설계되어 다양한 보안 시스템 및 애플리케이션 간에 키를 안전하게 교환하고 관리하는데 사용
  • 암호화 키의 중앙관리, 안전한 전달, 접근통제 및 키의 수명주기 관리를 할 수 있게 하며, KMIP를 준용한 솔루션들은 단일화된 표준 프로토콜로 상호 운용성을 보장함으로 기업들의 유연한 통합관리 및 보안 인프라를 강화함
  • Google, Amazon, HP, Dell 등 수많은 글로벌 기업에서 채택하여 시스템과 서비스를 운용하고 있으며 국내에서도 카카오, 토스, 현대자동차 등이 도입하여 운용중임

사설 인증 시스템

• 자동차 완성차 제조업체와 자동차 부품 제조사, 2차 부품 제조사 등 자동차 공급망 전 과정에 상호 인증을 통해 보안을 제공하는 시스템.
• 암호 키 관리 시스템은 단독 구성 시, 사용하는 업체에 대해서만 안전한 관리가 된다는 한계가 존재하기에 이러한 한계를 극복하기 위해 사설 인증 시스템이 필요.
• 인증 시스템은 암호 키를 전달한 업체에 대한 정보와 암호 키의 무결성 정보 등을 담은 인증서를 기반으로 안전하게 암호 키를 공유할 수 있는 환경을 제공.
• 사설 인증 시스템과 암호 키 관리 시스템을 결합하면, 자동차 공급 망 전 과정에 안전한 암호 키 및 기밀 데이터 공유가 가능

분리 기법

• 주요 정보에 접근할 수 있는 인원 및 시스템을 최소화하여 보안을 제공하는 기법.
• 방화벽과 같은 망 분리나 비밀 취급 인가 등급에 따른 정보 접근 등의 방법을 통해 분리 기법 적용이 가능.
• 자동차 생산 환경에서는 암호 키를 기준으로 분리해야 함.
• 자동차 사이버보안에서 암호 키는 통상 개발용 암호 키와 양산용 암호 키로 나누어지고 개발 망과 양산/운영 망을 분리하여 개발용 암호 키와 양산용 암호 키가 혼용을 막고, 개발자와 양산 담당자 등 각 담당자들이 해당하는 암호 키만 가져갈 수 있게 하는 것으로 분리 기법을 적용할 수 있음

자동차 보안 기술 적용 동향

클라우드 기반의 암호 키 및 주요 데이터 전달

클라우드를 통한 암호 키 및 주요 데이터 전달 과정 (출처:고의석, 고객사 구축 사례 도식화, MDS 인텔리전스, 2022.)

• 해외 한 자동차 완성차 제조업체의 경우, 부품 제조사에 암호 키 및 주요 데이터를 전달하는 과정에 클라우드 웹을 통한 배포 방법을 사용함.
• 자동차 부품 제어기에 Secure Flash, Secure Debug 등 자동차 내부의 보안 기술 적용을 위해 배포하며, 방식은 암호 키 관리 시스템과 사설 인증 체계를 기반으로 클라우드 웹을 구성하고 해당 웹을 통해 부품 제조사가 암호 키 및 주요 데이터를 받아가도록 함.
• 이때 부품 제조사 또한 암호 키 관리 시스템과 사설 인증 기능을 반드시 구축하고 이를 활용하여 보안을 유지하며 받아가도록 요구함.
• 위 그림은 해외 자동차 완성차 제조업체의 보안 요구사항 중 클라우드 기반의 암호 키 전달 체계를 도식화한 내용.
• 위 그림을 보면, 자동차 부품 제조업체(도식도 상 Tier) 암호 키 관리 시스템은 자동차 완성차 제조업체(도식도 상 Original Equipment Manufacturer: OEM)의 클라우드 키 관리 서비스와 연동되어 암호 키가 필요할 때 받아가도록 구성되어 있음.
• 자동차 완성차 제조업체의 암호 키 관리 시스템은 부품 제조사의 암호 키 관리 시스템에 인증서를 확인하고 전달. 이 과정에서 인증서가 사용되기 때문에 사설 인증 기능이 있는 암호 키 관리 시스템을 사용하고 있음

제어기별 자체 비밀번호 생성/관리

Secure Debug를 위한 제어기별 비밀번호 생성/주입/관리 사례 도식화 (출처: 이동재, 박성진, “NeoFSM을 활용한 CSMS 암호키/인증서 관리 방안”, 한컴인텔리전스, Automotive SW Conference, 2022, p.6. )

• 해외 업체의 경우, 부품 제조사에 Secure Debug를 위해 자체적으로 비밀번호를 생성/관리하도록 요구.
• 이때 비밀번호를 생성하는 방식은 NIST 승인 알고리즘 중 PBKDF2와 자체 보안 테이블을 사용.
• PBKDF2에 메인 비밀번호와 디바이스 고유 시리얼 번호 등 변수들을 집어넣고 1차 변환 키를 유도하고, 이 1차 변환 키는 자동차 완성차 업체의 자체 변환 프로토콜을 통해 최종 비밀번호로 변환됨.
• 이때 부품 제조사는 비밀번호 생성에 필요 한 메인 비밀번호는 반드시 암호 키 관리 시스템을 통해 보관해야 하며, 부품 제어기별로 모두 다른 비밀번호를 완성차 제조업체의 요청에 따라 전달할 수 있도록 해야 한다
• 위 그림은 해외 자동차 완성차 제조업체의 보안 규격에 맞춰 자동차 부품 제조업체가 Secure Debug를 적용한 방안임.
• 해당 부품 제조업체는 제어기의 고유값을 자동으로 스캔하여 키 생성/관리 서버인 NeoFSM에 전달. NeoFSM은 고유값에 맞는 비밀번호를 NIST 표준과 해외 자동차 완성차 업체의 기준에 맞춰 만들어진 비밀번호는 제어기에 주입되어 Secure Debug를 위해 사용됨.

기밀 데이터 전송 환경 구축

기밀 데이터 전송 환경 도식화 (출처:이동재, 박성진, “NeoFSM을 활용한 CSMS 암호키/인증서 관리 방안”, 한컴인텔리전스, Automotive SW Conference, 2022, p.8.)

• 또 다른 업체의 경우, 타 업체와 기밀 데이터를 주고받기 위한 목적으로 기밀 데이터 전송 환경 구축을 시도하는 중. 이를 위해, 업체별 암호 키 관리 시스템 간의 연동을 추진하고 있고, 연동을 위한 프로토콜로는 KMIP를 선정함.
• KMIP는 암호 키 전달을 위한 시스템 연동을 편하게 하는 것과 더불어 안전한 키 관리에 내용을 포함하는 프로토콜이기 때문에 해당 프로토콜을 선정함.
• 안전한 기밀 데이터가 공유 가능한 환경은 위 그림과 같음. 위의 그림은 국내외 자동차 완성차 제조업체의 보안 정책 문서를 기반으로 구성한 환경. 트리 구조의 암호 키 관리 체계를 통해 각 참여 업체별 관리는 물론 자동차 완성차 제조업체의 통합 관리 기능까지 제공가능.

Reference 사이트 및 논문

[NeoKeyManager-AUTO] 암호키 관리 관점에서 보는 2015 지프 체로키 해킹 사건 (1)

 

Black Hat USA 2015: The full story of how that Jeep was hacked

 

[미래차 사이버보안-1] 자동차 해킹 사례와 미래차의 보안위협 유형 분석