높은 수준의 자율차 상용화 앞두고 사이버보안 ‘비상’ 클라우드 기반 암호키, 제어기별 자체 비밀번호 생성 등 기술개발 중인 보험업계, “기존 자동차보험 외 새로운 상품 등 대책 필요”
사진은 본문과 직접 관련이 없는 이미지.[애플경제 이보영 기자]자동차 시스템이 해킹당하면 어떤 일이 벌어질까. 주행 중 엉뚱한 방향으로 달리거나 광란의 질주를 하거나 탑승자가 전혀 상상도 못했던 사고가 일어날 수도 있을 것이다. 이에 국내 보험업계도 이에 대응하는 보험상품을 연구하고 있는 한편 각종 연구기관에서는 자동차 사이버보안을 위한 기술개발에 박차를 가하고 있다.보험연구원은 “자율자동차가 2030년께 대중화될 경우 자율주행 시스템에 전적으로 의존하기 때문에 운행자 운행정보나 개인정보 유출, 해킹 등으로 인한 고의적 사고 유발 등 사이버 위험이 증가할 것”이라고 예상했다. 이에 따르면 사이버 공격자는 자율주행 시스템을 악의적으로 해킹해 진로를 변경하거나 센서 인식을 방해하는 경우에는 동시에 대형 사고가 발생할 수 있다. 이 경우 차량 파손은 물론 대형 인명사고가 발생할 수 있다.아울러 “이를 이용한 대규모 테러가 발생할 가능성도 배제할 수 없다”는 게 보험연구원의 예측이다. 이에 제조업체와 소프트웨어 업체는 안전한 자율운행 차량 운행을 위해 데이터 암호화와 같은 수준 높은 시스템을 설계해야 한다는 지적이다. 특히 스마트폰, PC, 다른 차량, 그리고 인프라 네트워킹이 자율운행 차량의 사이버 안전에 어떻게 영향을 미치는지에 대한 연구에도 힘써야 한다는 지적이다.전문가들에 따르면 자동차 사이버 보안은 크게 두 가지로 분류된다. 즉 차량 내부에서의 보안과 자동차 및 부품업체를 포함한 공급망 측면의 보안이다. 고의석 MDS 인텔리전스 매니저는 “차량 내 보안은 ‘Secure Boot’, ‘Secure Debug’, ‘Secure Flash’ 등이 있으며, 이는 모두 암호에 기반한 방식이므로 암호키가 중요하다”고 밝혔다. 한국지능정보사회진흥원에 기고한 논문을 통해 고 매니저는 “차량 내부에서의 보안은 암호키에 따라 보안 강도가 결정된다”며 “암호키의 보안 강도를 일정 수준 이상 유지하기 위해 자동차 및 부품업체를 포함한 공급망 전체에서의 보안이 필요하다는 것도 확인했다”고 덧붙였다.이에 따르면, 특히 공급망에서 암호키를 잘 관리하는 방법으로는 암호키 관리 시스템, 사설 인증 시스템, 네트워크 분리, 인증받은 프로토콜 등이 필요하다. 또 “자동차 내지 부품업체는 인증받은 프로토콜을 사용하는 암호키 관리 시스템에 사설 인증 시스템이 결합된 체계를 망 분리해 도입하는 것이 가장 이상적인 보안 방법”이라고 결론지었다.라고 매니저가 소개하는 사이버 보안 방식을 보면 그 중 첫 번째는 클라우드 기반 암호키를 통한 주요 데이터 전달 방식이다. 이는 부품업체에 암호키나 주요 데이터를 전달하는 과정에서 클라우드 웹을 통한 배포 방법을 사용한다. 이는 자동차 부품 컨트롤러에 ‘Secure Flash’, ‘Secure Debug’ 등 자동차 내부 보안 기술을 적용하기 위해 배포하는 것이다. 암호키 관리 시스템과 사설 인증 시스템을 기반으로 클라우드 웹을 구성하고 해당 웹을 통해 부품업체가 암호키 및 주요 데이터를 받도록 하는 방식이다. 이때 부품업체도 암호키 관리 시스템과 사설 인증 기능을 반드시 구축하고 이를 활용해 보안을 유지하면서 받도록 한다는 것이다.다음으로 제어기별로 자체 비밀번호를 생성, 관리하는 방식이다. “해외업체의 경우 부품업체에 ‘Secure Debug’를 위해 자체적으로 비밀번호를 생성, 관리하도록 요구한다”는 게 매니저의 설명인 “이때 비밀번호를 생성하는 방식은 NIST(미국 국립표준기술기구)가 승인한 알고리즘 중 (사용자 비밀번호를 기반으로 키(Key) 유도를 위한 함수인) PBKDF2와 자체 보안 테이블을 사용한다”고 설명했다. 즉 PBKDF2에 메인 비밀번호와 디바이스 고유 시리얼번호 등 변수를 넣어 1차 변환키를 유도하는 것이다. 이때 “1차 변환 키는 자동차 완성차 업체의 자체 변환 프로토콜을 통해 최종 암호로 변환된다”는 설명이다.또 부품업체는 이 경우 비밀번호 생성에 필요한 메인 비밀번호는 반드시 비밀번호 키 관리시스템을 통해 보관해야 한다. 때문에 부품 제어기별로 모두 다른 비밀번호를 완성차 업체 요청에 따라 전달할 수 있도록 해야 한다는 조언이다. 이에 “해당 부품사는 제어기 고유값을 자동으로 스캔해 키 생성과 관리 서버인 ‘NeoFSM’에 전달하고, NeoFSM은 다시 고유값에 맞는 비밀번호를 NIST 표준과 해외 자동차 완성차 업체 기준에 맞춰 다시 비밀번호를 만들어 이를 제어기에 주입한다”는 설명이다.기밀 데이터 전송 환경을 구축하는 방식도 있다. 즉, 다른 제조업체와 기밀 데이터를 주고받기 위한 목적으로 기밀 데이터 전송 환경을 조성하는 것이다. 이 때문에, 메이커 마다 구비된 암호키 관리 시스템간의 연동을 추진하기도 한다. 또한 연동을 위해 생성된 암호키 관리와 연계를 위한 프로토콜인 KMIP를 조합한다. 이는 암호키 전달을 위한 시스템 연동을 용이하게 하고 안전한 키 관리를 위한 프로토콜이다.이처럼 자율차 사이버보안은 자율주행 기술이 발전함에 따라 점점 중요성이 높아질 것으로 예상된다. 보험연구원이 인용한 바에 따르면 글로벌 리서치 기업인 마켓샌드마켓은 글로벌 자동차 사이버보안 시장 규모가 2021년 53억달러에서 2026년 20억달러로 증가할 것이라고 전망했다. 또 자동차 사이버 보안 시장이 증가함에 따라 다양한 보안 기술이 추가될 것으로 예상했다.
출처 : 애플경제 http://www.apple-economy.com/ 디지털경제지-애플경제 www.apple-economy.com