과거 사이버 공격 대상은 PC나 서버 등으로 한정됐다. 해커가 외부에서 시스템에 침입하고 악성 행위를 하기 위해서는 정보통신망을 이용해야 하는데, 이에 연결된 대표적인 기기가 PC와 서버이기 때문이다.
하지만 사물인터넷(IoT) 기술이 확산하고, 일상 곳곳에서 지능형 제품이 등장하면서 정보통신망에 연결할 수 있는 기기는 크게 늘었다. 냉장고나 에어컨 같은 가전제품은 물론 가스 차단기 같은 비가전 제품까지 인터넷에 연결되고 있다. 특히 스마트 빌딩, 스마트 시티 등 우리가 살아가는 공간 역시 정보통신망으로 서로 이어져 지능형 서비스를 일상에서 제공한다.
시장조사업체 IoT 애널리틱스가 올해 5월 발표한 조사 결과에 따르면 2022년 현재 전 세계 IoT 기기 수는 지난해보다 18% 증가한 약 14억4000만개에 이르는 것으로 나타났다. 코로나19로 인한 공급망 불안정이 완화되면 2025년에는 270억개로 늘어날 전망이다.
이처럼 사회 전반이 네트워크에 연결됨에 따라 사이버 공격에 대한 우려 역시 확산하고 있다. 이미 미국에서는 송유관 업체 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 미국 동부에 석유 공급이 중단되고, 석유 가격이 폭등한 바 있다. 국내에서도 지난해 아파트 월패드 해킹으로 인해 사생활 영상이 무단으로 촬영·유출되기도 했다. 이러한 위협이 단순한 우려를 넘어 현실로 이어지고 있는 것이다.
하지만 사물인터넷(IoT) 기술이 확산하고, 일상 곳곳에서 지능형 제품이 등장하면서 정보통신망에 연결할 수 있는 기기는 크게 늘었다. 냉장고나 에어컨 같은 가전제품은 물론 가스 차단기 같은 비가전 제품까지 인터넷에 연결되고 있다. 특히 스마트 빌딩, 스마트 시티 등 우리가 살아가는 공간 역시 정보통신망으로 서로 이어져 지능형 서비스를 일상에서 제공한다.
시장조사업체 IoT 애널리틱스가 올해 5월 발표한 조사 결과에 따르면 2022년 현재 전 세계 IoT 기기 수는 지난해보다 18% 증가한 약 14억4000만개에 이르는 것으로 나타났다. 코로나19로 인한 공급망 불안정이 완화되면 2025년에는 270억개로 늘어날 전망이다.
이처럼 사회 전반이 네트워크에 연결됨에 따라 사이버 공격에 대한 우려 역시 확산하고 있다. 이미 미국에서는 송유관 업체 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 미국 동부에 석유 공급이 중단되고, 석유 가격이 폭등한 바 있다. 국내에서도 지난해 아파트 월패드 해킹으로 인해 사생활 영상이 무단으로 촬영·유출되기도 했다. 이러한 위협이 단순한 우려를 넘어 현실로 이어지고 있는 것이다.
전자장비 늘어나는 커넥티드 카, 해킹 위협도 커졌다
자동차 역시 이러한 정보통신망 연결기기로 거듭나고 있다. 자동차에는 이미 전자화된 엔진 제어 장치(ECU)를 비롯해 다양한 전자부품이 탑재되고 있다. 특히 지능형 교통체계와 연결되는 내비게이션, 스마트폰을 이용한 원격 차량 제어 등 다양한 정보통신 기술이 접목되고 있다. 전기차는 모터, 배터리 관리 시스템 등 전자장비 비중이 더 크다.
여기에 향후 자율주행 자동차를 위한 핵심 기술인 '차량-사물 간 통신(V2X·Vehicle to Everything)'이 도입되면 자동차는 상시적으로 정보통신망에 연결된 상태가 된다. '달리는 스마트폰'이라고도 불리는 커넥티드카(Connect Car)는 향후 더 많은 정보통신기술과 접목하면서 새로운 플랫폼으로 자리 잡을 전망이다.
이에 따라 자동차를 노리는 사이버 공격 형태도 다양해진다. 해커가 시스템을 조작해 문을 잠그거나 열고, 시동을 켜고 끌 수 있다. 정차한 상태에서 이러한 공격은 물리적인 도난 정도로 그칠 수 있지만 주행 중인 자동차에 대한 사이버 공격은 큰 인명 피해로 이어질 수 있다. 특히 조향이나 감속·가속까지 시스템에 맡기는 자율주행 자동차 시대에는 발생할 수 있는 피해도 더 커진다.
차량용 인포테인먼트 시스템을 통한 정보 유출도 우려할 수 있다. 자율주행 자동차 시대에 자동차는 단순 이동수단이 아니라 업무 공간이나 문화생활 공간으로 활용될 가능성이 크다. 인포테인먼트 시스템 해킹을 통해 차량 내에서 하는 회의 내용을 엿듣거나 화상회의를 유출할 수 있으며, 블루투스나 와이파이를 이용해 차량 내에 있는 노트북에 접근할 가능성도 있다. 사람 개입이 거의 필요 없는 레벨4 이상인 자율주행이 도입돼야 이뤄질 수 있는 일이지만 위협 가능성이 있는 만큼 대책을 강구해야 한다.
실제로 이러한 해킹 가능성이 화이트해커를 통해 제기되기도 했다. 올해 5월 영국 사이버보안 기업 NCC그룹은 저전력 블루투스(BLE·Bluetooth Low Energy) 기술을 사용하는 수백만 개의 디지털 잠금장치에서 보안 취약점을 발견했다. 이들은 2021년식 테슬라 모델Y 차량의 잠금장치를 해제하는 데 성공했으며, 저전력 블루투스 기술은 자체 취약점 때문에 잠금용으로는 적합하지 않다고 덧붙였다.
2020년에도 테슬라 모델X가 2분 30초 만에 화이트해커 손에 뚫리기도 했다. 해커는 본인 노트북과 자동차 키를 연결해 잠금 해제 코드를 생성하고, 이를 통해 문을 열 수 있었다. 2016년에는 닛산 리프 차량을 제어하는 전용 스마트폰 애플리케이션을 해킹해 자동차 문을 여는 데 성공하기도 했으며, 2015년에도 지프 체로키 차량을 해킹해 조향장치와 제동장치를 원격에서 조종하는 사례가 발견돼 크라이슬러가 차량 140만대를 리콜하기도 했다.
이에 따라 자동차를 노리는 사이버 공격 형태도 다양해진다. 해커가 시스템을 조작해 문을 잠그거나 열고, 시동을 켜고 끌 수 있다. 정차한 상태에서 이러한 공격은 물리적인 도난 정도로 그칠 수 있지만 주행 중인 자동차에 대한 사이버 공격은 큰 인명 피해로 이어질 수 있다. 특히 조향이나 감속·가속까지 시스템에 맡기는 자율주행 자동차 시대에는 발생할 수 있는 피해도 더 커진다.
차량용 인포테인먼트 시스템을 통한 정보 유출도 우려할 수 있다. 자율주행 자동차 시대에 자동차는 단순 이동수단이 아니라 업무 공간이나 문화생활 공간으로 활용될 가능성이 크다. 인포테인먼트 시스템 해킹을 통해 차량 내에서 하는 회의 내용을 엿듣거나 화상회의를 유출할 수 있으며, 블루투스나 와이파이를 이용해 차량 내에 있는 노트북에 접근할 가능성도 있다. 사람 개입이 거의 필요 없는 레벨4 이상인 자율주행이 도입돼야 이뤄질 수 있는 일이지만 위협 가능성이 있는 만큼 대책을 강구해야 한다.
실제로 이러한 해킹 가능성이 화이트해커를 통해 제기되기도 했다. 올해 5월 영국 사이버보안 기업 NCC그룹은 저전력 블루투스(BLE·Bluetooth Low Energy) 기술을 사용하는 수백만 개의 디지털 잠금장치에서 보안 취약점을 발견했다. 이들은 2021년식 테슬라 모델Y 차량의 잠금장치를 해제하는 데 성공했으며, 저전력 블루투스 기술은 자체 취약점 때문에 잠금용으로는 적합하지 않다고 덧붙였다.
2020년에도 테슬라 모델X가 2분 30초 만에 화이트해커 손에 뚫리기도 했다. 해커는 본인 노트북과 자동차 키를 연결해 잠금 해제 코드를 생성하고, 이를 통해 문을 열 수 있었다. 2016년에는 닛산 리프 차량을 제어하는 전용 스마트폰 애플리케이션을 해킹해 자동차 문을 여는 데 성공하기도 했으며, 2015년에도 지프 체로키 차량을 해킹해 조향장치와 제동장치를 원격에서 조종하는 사례가 발견돼 크라이슬러가 차량 140만대를 리콜하기도 했다.
해커는 모든 교통 환경 노려···전반적인 보안관리 체계 필요
자동차에 대한 사이버 공격은 차량뿐만 아니라 차량을 둘러싼 환경 전반을 노린다. 가령 카메라 등 광학 정보로 주변 환경을 인식하는 자율주행 자동차는 전기 테이프 몇 장으로 속도를 조작할 수 있다. 보안 기업 맥아피가 2020년 진행한 실험에서 시속 35마일(약 56㎞)로 적힌 표지판을 시속 85마일(약 137㎞)로 바꾼 결과 차량 속도가 치솟았다. 이는 자율주행 자동차 자체적인 위험성은 물론이거니와 자율주행이 본격 도입되기 전까지 해결해야 할 과제가 많음을 시사한다.
도로, 교통체계, 주변 차량 등과 통신하는 V2X 기술 역시 해킹 대상이다. 특히 자동차 산업 특성상 차량은 특정 국가에서만 판매되지 않기 때문에 암호화 통신 등에 대한 표준 규정도 필요하다.
국내에서는 한국도로공사가 V2X 보안인증체계를 실증하기 위한 사업을 2020년부터 추진하고 있다. 여기에는 아우토크립트, 한국전자인증, 한국교통안전공단, 안랩 등이 컨소시엄을 구성해 참여했다. V2X는 교통환경 관련 모든 요소와 정보를 공유하기 때문에 잘못된 정보가 들어오거나 통신 내용이 탈취되지 않도록 보안 환경이 마련돼야 한다. 해당 사업을 통해 통신 메시지 해킹 방지는 물론 보안기술을 검증과 개선점을 도출해 국가 V2X 보안인증 체계 구현 방안을 수립한다는 계획이다.
공급망 역시 위협 대상이다. 자동차 제조사가 차량에 대한 사이버 보안을 철저히 확보하더라도 협력사를 통해 보안 취약점을 갖춘 부품이 탑재될 가능성도 있다. 일반적으로 내연기관으로 작동하는 자동차 한 대에는 반도체가 200~300개 탑재된다. 하이브리드 자동차는 500개 이상, 전기차에는 1000개 이상 쓰이는 것으로 알려져 있다. 특히 각종 센서를 내장한 자율주행 자동차에는 2000개 이상이 쓰일 것으로 전망된다.
이러한 반도체는 차량 내 전자부품이 작동하도록 명령을 내리는 역할을 한다. 이 중 주요 부품 반도체에 하드웨어 백도어가 설치된다면 해커는 이를 통해 차량 내부 시스템에 접근하고 다른 전자부품에 대한 제어권을 획득할 수 있다. 만약 차량 운행과 직접적으로 연관된 부품이라면 운행에 지장을 주는 것은 물론 운전자 목숨을 위협할 수도 있다. 따라서 제조사는 자사의 보안뿐만 아니라 내부에 탑재되는 부품 종류를 파악하고, 공급망 전방에 대한 보안 체계를 확립해야 한다.
향후 자동차는 소프트웨어 중심으로 작동한다. 센서를 통해 수집한 정보를 인공지능으로 처리해 운행하는 자율주행 자동차가 대표적이다. 이러한 소프트웨어는 정기적인 업데이트를 통해 서비스 안정성을 강화하고, 새롭게 발견된 보안 취약점을 보완해야 한다.
현재 자동차 소프트웨어 업그레이드는 이동통신을 이용한 무선 업데이트(OTA·Over The Air) 방식이 도입될 전망이다. OTA는 오늘날 스마트폰 업데이트에 많이 쓰이는 방식이다. 사용자는 제조사에서 배포한 운영체제 최신 버전을 주기적으로 내려받아 스마트폰을 업그레이드한다. 자동차 역시 마찬가지다. 운전자가 정비소를 방문하나 업데이트 파일을 복사해 자동차로 가져가는 일 없이 실시간으로 시스템과 펌웨어를 최신 버전으로 유지해 기능과 보안을 강화할 수 있다.
다만 무선 네트워크로 업데이트를 진행할 때 해커가 개입할 가능성이 커진다. 해커가 제조사 서버를 해킹해 악성 기능을 포함한 변조 업데이트 파일을 배포할 수 있고, 통신 내용을 가로채는 하이재킹(Hijacking) 기법을 통해 해커가 마련한 가짜 서버로 유도하는 것도 가능하다. 이러한 상황에서 차량 보안을 위해 자동차 제조사 역시 소프트웨어 공급망 보안 체계를 마련해야 한다는 목소리도 커지고 있다.
도로, 교통체계, 주변 차량 등과 통신하는 V2X 기술 역시 해킹 대상이다. 특히 자동차 산업 특성상 차량은 특정 국가에서만 판매되지 않기 때문에 암호화 통신 등에 대한 표준 규정도 필요하다.
국내에서는 한국도로공사가 V2X 보안인증체계를 실증하기 위한 사업을 2020년부터 추진하고 있다. 여기에는 아우토크립트, 한국전자인증, 한국교통안전공단, 안랩 등이 컨소시엄을 구성해 참여했다. V2X는 교통환경 관련 모든 요소와 정보를 공유하기 때문에 잘못된 정보가 들어오거나 통신 내용이 탈취되지 않도록 보안 환경이 마련돼야 한다. 해당 사업을 통해 통신 메시지 해킹 방지는 물론 보안기술을 검증과 개선점을 도출해 국가 V2X 보안인증 체계 구현 방안을 수립한다는 계획이다.
공급망 역시 위협 대상이다. 자동차 제조사가 차량에 대한 사이버 보안을 철저히 확보하더라도 협력사를 통해 보안 취약점을 갖춘 부품이 탑재될 가능성도 있다. 일반적으로 내연기관으로 작동하는 자동차 한 대에는 반도체가 200~300개 탑재된다. 하이브리드 자동차는 500개 이상, 전기차에는 1000개 이상 쓰이는 것으로 알려져 있다. 특히 각종 센서를 내장한 자율주행 자동차에는 2000개 이상이 쓰일 것으로 전망된다.
이러한 반도체는 차량 내 전자부품이 작동하도록 명령을 내리는 역할을 한다. 이 중 주요 부품 반도체에 하드웨어 백도어가 설치된다면 해커는 이를 통해 차량 내부 시스템에 접근하고 다른 전자부품에 대한 제어권을 획득할 수 있다. 만약 차량 운행과 직접적으로 연관된 부품이라면 운행에 지장을 주는 것은 물론 운전자 목숨을 위협할 수도 있다. 따라서 제조사는 자사의 보안뿐만 아니라 내부에 탑재되는 부품 종류를 파악하고, 공급망 전방에 대한 보안 체계를 확립해야 한다.
향후 자동차는 소프트웨어 중심으로 작동한다. 센서를 통해 수집한 정보를 인공지능으로 처리해 운행하는 자율주행 자동차가 대표적이다. 이러한 소프트웨어는 정기적인 업데이트를 통해 서비스 안정성을 강화하고, 새롭게 발견된 보안 취약점을 보완해야 한다.
현재 자동차 소프트웨어 업그레이드는 이동통신을 이용한 무선 업데이트(OTA·Over The Air) 방식이 도입될 전망이다. OTA는 오늘날 스마트폰 업데이트에 많이 쓰이는 방식이다. 사용자는 제조사에서 배포한 운영체제 최신 버전을 주기적으로 내려받아 스마트폰을 업그레이드한다. 자동차 역시 마찬가지다. 운전자가 정비소를 방문하나 업데이트 파일을 복사해 자동차로 가져가는 일 없이 실시간으로 시스템과 펌웨어를 최신 버전으로 유지해 기능과 보안을 강화할 수 있다.
다만 무선 네트워크로 업데이트를 진행할 때 해커가 개입할 가능성이 커진다. 해커가 제조사 서버를 해킹해 악성 기능을 포함한 변조 업데이트 파일을 배포할 수 있고, 통신 내용을 가로채는 하이재킹(Hijacking) 기법을 통해 해커가 마련한 가짜 서버로 유도하는 것도 가능하다. 이러한 상황에서 차량 보안을 위해 자동차 제조사 역시 소프트웨어 공급망 보안 체계를 마련해야 한다는 목소리도 커지고 있다.