운전자, 엔진 시동… 이제 차에서 편히 앉아서 즐길 수 있을까?
UL의 차량 사이버 보안 팀은 커넥티드 차량과 자율주행차의 기능이 보안 시스템의 지원을 받을 수 있도록 돕기 위해 일하고 있다.
과거 차량용 엔터테인먼트 옵션을 선택할 때 CD 플레이어나 6개짜리 디스크 체인저를 선택할지 여부가 차량 구매자의 가장 큰 선택이었다면, 요즘의 차량은 움직이는 스마트폰과 흡사할 정도로 다양한 기능을 구현하고 있다. 자동차 업계에서 운전자와 탑승자의 경험을 향상시키기 위해 혁신적인 인포테인먼트 시스템을 비롯해 최신 소비자 기술을 통합하기 때문이다. 대시보드 맵, 엔터테인먼트 앱, 차량 내 Wifi 핫스팟, 영상 통화는 최신 자동차 모델에서 제공하는 인포테인먼트 기능의 일부분일 뿐이다.
하지만 이러한 기능들에 사용되는 커넥티드 기술은 차량 시스템에 접근하는 사이버 범죄의 창구가 될 수 있기 때문에 해킹에 대한 취약점을 증가시킨다.
UL 소비자 기술 부문 매니저이자 UL 차량 사이버 보안팀의 곤다 램버링크(Gonda Lamberink)는 자동차에 대한 사이버 해킹 위험과 더 나은 보안시스템의 필요성에 대해 주장하고 있다.
램버링크는 “커넥티드 카에 대해 생각해 보면 오늘날의 인포테인먼트 시스템은 외부 세계와 대부분 연결되어 있어 많이 노출된 시스템 중 하나입니다.”라며 “예를 들어 앱 스토어를 통해 다운로드 하거나 구매한 앱의 경우 항상 사이버 위험이 있습니다. 모바일 기기에서 실행되는 앱은 이제 대시보드 헤드 유닛을 통해 작동되고 사이버 공격에 대한 차량의 취약점을 증가시키는 포털을 사용할 수 있게 합니다.”라고 말했다.
블루투스 또는 USB 사용을 통해 차량의 대시보드와 스마트폰 앱을 페어링하는 등의 위협은 더 큰 문제를 야기할 수 있다. 인포테인먼트 시스템은 버스 및 다른 내부 차량 네트워크를 통해 다른 차량 시스템과 인터페이스로 연결되기 때문에 사이버 범죄자는 차량의 오디오, 온도 조절 또는 브레이크까지도 통제할 수 있다.
캘리포니아 프리몬트와 네덜란드 라이덴에 있는 UL 연구팀은 테스트를 수행하고 고객과 협력하여 커넥티드 카 기술에 내재된 잠재적인 사이버 보안 위험을 알아내고 있다. 다양한 인포테인먼트와 커넥티드 카 시스템에 대한 취약성 분석과 퍼징테스트(fuzz testing)뿐 아니라 모의 해킹을 사용하여 팀은 위협 모델링과 위험 분석을 통해 보안 테스트에 접근하는 최고의 방법에 대해 협업하고 긴밀히 공조한다. 그리고 팀에서는 고객이 잠재적 위험을 이해하도록 돕기 위해 중요한 조사 결과를 제시한다.
램버링크는 “업계는 보안 위험의 심각성을 깨닫게 되었습니다.”라며 “차량 내 엔터테인먼트는 외부 노출 때문에 사이버보안의 핵심 영역이 되었으며 전반적으로 차량 제조사는 엔터테인먼트 기능 증가로 인해 초래된 잠재적 취약점을 해결하기 위해 차량 보안 전문가 팀을 구성했습니다.”라고 말했다.
자동차 업계의 미래를 향해
차량 엔터테인먼트와 마찬가지로 자율 주행은 그 자체로 사이버 및 물리적 보안 위험을 제기한다. 이 같은 위험이 있다고 해서 새로운 기술을 출시하기 위한 치열한 경쟁이 멈추지 않는다. 정부 기관은 위험을 완화하기 위해 사이버 보안 규정을 논의하고 있다.
미국의 국회의원들은 무인 자동차 기술을 다루는 최초의 연방 법안을 통과시키기 위해 노력하고 있다. 의회에는 “각 주에서 특정 무인 자동차 규칙을 설정하지 못하게 하고 제조사가 기존의 자동차 안전 표준을 충족하지 않고 연간 최대 10만 대의 자율주행차를 사용하는 것을 허용하는” 법안이 있다. 한편, 영국 교통부는 제품이 해킹 당할 경우 커넥티드 카를 판매한 회사의 이사회에서 직접 책임져야 한다는 것을 강조하면서 “해킹 없는 설계”를 제조사에 촉구했다.
램버링크는 “해킹 위험은 현실입니다. 움직이는 모바일폰으로 진화하는 오늘날의 차량 트렌드가 보안과 안전 문제를 제기할 경우, 미래의 자율 주행 기능과 지능형 교통 생태계로의 이동은 더 큰 문제가 될 것입니다.”라며 “차량은 가까운 미래에 더욱 더 연결될 것이고 산업이 보안 위험에 뒤쳐지지 않는 것이 매우 중요합니다.”라고 말했다.
UL은 커넥티드 카와 자율주행차를 구동하는 소프트웨어의 안전을 설계하는데 필요한 까다로운 질문을 하고 답하기 위해 주요 이해관계자와 협력하여 차량 사이버보안에서 앞서나가도록 지원한다. 램버링크에 따르면 문제가 발생했을 때 대응하는 것 보다 사이버 취약점을 선제적으로 테스트하는 것이 자동차 제조사가 차량 출시 전 수행하는 표준 테스트의 일부여야 한다고 밝혔다. 그렇게 하면 커넥티트 카와 자율주행차에 대해 더 높은 수준의 사이버 보안을 보장하고 운전자를 안심시킬 수 있다.