만약에 여러분들이 자율주행차를 타게 된다면 뭘 제일 하고 싶으세요? 소비자 조사기관 컨슈머 인사이트에서 4,500명의 운전자를 대상으로 앙케이트를 실시한 결과에 의하면, 「주변 경치 감상」을 가장 즐기고 싶다고 하는 결과가 나왔습니다. 스스로 주행하는 자동 운전 자동차의 등장으로 운전자는 운전에서 자유로워질 것입니다만. 그런데 주행 차량을 믿고 운전대를 맡겼다가 제어 시스템이 해킹당하면 어떻게 대처합니까. 자율주행자동차 해킹 및 보안지침에 대해 SK인포섹이 알려드립니다!
자유로워진 운전자들 ‘자율주행차’ 등장
운전자 없이도 혼자 운행하는 자율주행차(Autonomous Vehicle)는 자동차 스스로 주변 환경을 인식하고 교통상황을 판단하여 차량제어, 목적지까지 주행하는 차량입니다. 과거 상상 속에서만 존재하던 자율주행차는 1977년 쓰쿠바 기계공학연구소에서 처음 제작된 이래 2010년 구글이 자율주행차 개발을 발표하면서 전 세계의 큰 관심을 받았습니다.
2016년부터 국제자동차기술자협회(SAE International)가 분류한 자율주행시스템 단계가 글로벌 기준으로 통용되고 있습니다. 차량 스스로 충돌이나 차선 이탈 위험을 감지해 속도를 줄이는 레벨 1 단계부터 스마트 주차 보조, 고속도로 주행 보조 기능을 넘어 별도의 운전석 없이 운전자가 목적지만 말하면 안전하게 주행이 가능한 레벨 5 단계까지 나뉩니다. 산업통계 전문기업 Statista에 따르면 2030년경에 전 세계 자동차 중 12% 정도가 레벨 4, 5단계의 완전 자율주행차가 될 것으로 예상하고 있습니다. 이런 자율주행차의 가장 큰 핵심은 인간이 운전하는 것보다 더 안전한 운전입니다. 그러나 보안 측면에서 안전을 위협받을 수 있습니다.
자율주행차 ‘달리는 무기’ 되나
지난 몇 년간 커넥티드 카(Connected Car)의 발전과 함께 자동차에 적용되는 다양한 소프트웨어에 기술적인 취약성이 드러났습니다. 미국 도로교통운송국(NHTSA)에 따르면 2015년 미국에서 사이버 보안 문제로 리콜된 차량은 140만 대에 이른다. 2016년 중국에서도 Keen Security Lab 연구원들은 테슬라 모델S를 해킹하여 브레이크, 록, 네비게이션 원격제어를 하는 것을 시연하고 있습니다.
해커가 자율주행차의 취약점을 찾을 수 있는 분야는 다양합니다. 대표적인게클라우드컴퓨팅시스템이죠. 자율주행차는 실시간으로 GPS 위치를 식별하고 차량 흐름을 예측하기 위해 매 초 새로운 데이터를 생성 및 저장합니다. 이때데이터를빠르게검색하고처리하기위해서클라우드컴퓨팅을사용합니다. 만약 여기서 해커가 자동차의 클라우드 데이터베이스에 액세스할 수 있다면 다수의 자동차를 대상으로 안전 장치의 전원 작동을 포함한 많은 기능을 조작할 수 있습니다.
또한 다중 코딩 언어로 구성된 복잡한 부품도 자율주행차의 보안 취약성이 될 수 있습니다. 오늘날 자동차에 사용되는 부품은 세계 각국의 다양한 제조사에서 납품되며, 서로 다른 구성요소끼리 호환되기 위해 다양한 코딩 시스템을 사용합니다. 또한 차량과 인프라, 네트워크 연결을 통해 이용자 편의를 위한 다양한 서비스를 제공하고 있습니다. 그러나 이와 같이 상호작용하는 자동차 부품에는 관련된 변수가 많아 차량과 교통 시스템이 네트워크로 연결됨으로써 차량의 교통 서비스 중 하나라도 보안 위협에 노출되면 교통 서비스 전체의 위협으로 확대될 수 있습니다.
‘자율주행차 보안 공격 이렇게 당한다!’ 보안 리스크별 시나리오
<데이터 손실위협 시나리오, 출처 : 한국인터넷진흥원, 스마트교통사이버보안가이드> 자율주행차에는 다양한 유형의 위협 시나리오가 발생할 수 있습니다. 먼저, 데이터 손실 위협 해킹 시나리오의 경우 해커는 주행 중인 차량 내부 통신 또는 외부 인프라 통신 세션에 접근합니다. 이 때 해커가 세션을 가로채 세션 간 송수신되는 메시지를 분석합니다. 이 과정에서 인증 정보, 개인정보 탈취, 차량의 원격 제어 서비스 권한을 획득하여 허위 데이터를 전송하는 등의 위협이 발생할 수 있습니다. 또한 외부 통신메시지 위변조 시 차량주행정보, 과금데이터 등의 조작이 가능하여 교통사고를 유발하는 원인이 될 수 있습니다.
‘중간자 공격 위협 시나리오 출처: 한국인터넷진흥원, 스마트 교통 사이버 보안 가이드’의 두 번째 시나리오 ‘중간자 공격’은 전송되는 데이터를 가로채 위조된 정보를 통해 백앤서버 또는 스마트카에 공격하는 행위입니다. 실제로 2017년에는 중국 해커들이 단돈 20달러(2만3천원) 장치로 스마트 카 신호를 증폭해 차 문을 열고 닫으며 시동을 걸기도 했습니다. 현대에 운용되는 대부분의 차량이 스마트폰 앱, 블루투스와 연동된 다양한 커넥티비티 기능을 탑재하고 있는 만큼 자동차의 안전성은 이제 사이버보안에 달려있다고 해도 과언이 아닙니다.
자율주행 새 안전벨트 윤리 보안 안전지침
이에 맞추어 사이버 보안에 관한 규제의 확립을 위한 국내외 활동도 활발해지고 있습니다. 지난 달 12월 국토 교통부는 자동 운전 차의 사이버 보안, 윤리, 안전의 각 분야에 관한 3가지 가이드 라인을 발표했습니다. 이 가이드 라인은 의무가 없는 권고적 성격을 띠고 있지만, 자동 운전 보안에 관한 간과해서는 안 될 중요한 내용을 담고 있습니다.
우선 윤리 가이드 라인에는 자율 주행 자동차가 인명 보호를 최우선으로 삼도록 설계, 제작되야 한다는 원칙을 제시하고 있습니다. 사이버 보안 가이드 라인에서는 자동차 제작에 관한 권고안을 주요 내용으로 하는 제작 회사가 사이버 보안 관리 체계를 갖추고 그 체계에 따라서 자동차 사이버 보안을 관리해야 한다는 내용을 담고 있습니다. 마지막에 레벨 4의 자동 운전 차 제작 및 안전 가이드 라인에서는 “시스템 안전”,”주행 안전”,”안전 교육 및 윤리적 고려”을 포함한 13안전 항목으로 구성되어 있습니다. 안전 분야에서 필수 사항의 권고안을 제시하고 안전한 기술 개발을 촉진할 계획입니다.
한편 사이버 보안과 관련된 규제를 확립하려는 국제 사회 움직임도 활발하지만 UN유럽 경제 위원회(UNECE)는 자동차 사이버 보안 규제 분야의 국제적 기준을 마련하기 위해서, 2016년부터 월드 포럼을 통한 논의를 추진했으며 2020년 6월에는 자동차 사이버 보안 및 소프트웨어 업데이트에 관한 2개의 새로운 규제를 발표했습니다. 일명”1958협약”으로 불리는 이 규정은 자동차의 사이버 공격에 대처할 수 있는 시스템을 자동차에 탑재할 것을 의무화하고 있습니다. 자동차 사이버 보안 분야에 처음으로 국제적인 구속력을 지니는 규칙에 될 전망입니다.
자동 운전 차의 사이버 보안 위협은 운전자 또는 보행자의 생명과 직결할 수 있는 문제입니다. 자동 운전 차 시대에는 물리적 안전을 위한 안전 벨트만 아니라 사이버 보안 공격에 대비하기 위한 소프트웨어 안전 벨트도 필수입니다. 최근 개정된 권고안을 중심으로 엄격한 사이버 보안 기준을 충족한 자동 운전 차만 노상을 달리기를 간절히 바라고 있습니다. 이상 SK인포 셋킀습니다!
[참고]자동 운전 차 운전하지 않으면 뭐 할래? (2020.04.24/컨슈머 인사이트)-사이버 보안, 자동차의 새로운 안전 벨트(2020.11.30/해외 시장 뉴스 권·선영 무역관)-자동 주행 차 사이버 보안은 어떤 기준에 맞춰야(2020.12.15/보안 뉴 수위·상우 기자)-“자동 주행 차, 인명 보호 최우선”…정부 가이드 라인 제시(2020.12.15/대한민국 정책 브리핑 국토 교통부)-국토부, 자율 주행 차 윤리 보안 보안 안전 안전 방향 지침 3종 발표(2020.12.15/로봇 신문 조상 협회 기자)
