차량 제어기 개발사가 KMS를 도입해야 하는 이유
[보안뉴스= 이현정 페스카로 최고기술책임자(CTO)] 센서 및 자율주행 기술, 위치 및 차량 상태 정보, 소프트웨어 업데이트 등 자동차가 처리하는 데이터가 많아지자, 필연적으로 사이버보안에 대한 중요도도 증가하고 있다. 이에 유럽, 한국, 중국 등 다양한 국가에서 자동차 사이버보안을 법제화했다. 완성차 제작사는 이 법규를 준수해야만 차량을 판매할 수 있게 되었다. 그런데 하나의 차량은 수많은 전장 제어기(이하 제어기)로 이루어져 있다. 차량 전반에 대한 보안 강건성을 높이려면 개별 제어기들도 보호되어야 한다는 뜻이다. 완성차 제작사가 제어기 개발사에 시큐어 플래시(Secure Flash), 시큐어 디버그(Secure Debug), SecOC(Secure Onboard Communication) 등의 사이버보안 기능을 요구하는 이유이다.
[이미지=gettyimagesbank]
Secure Flash는 제어기에 업데이트할 펌웨어의 유효성을 전자서명 기반으로 검증해 유효한 펌웨어만 업데이트하는 기능이며, Secure Debug는 디버그 인터페이스 접근을 통제해 인가되지 않은 펌웨어 추출 및 무단 조작 등을 차단하는 기능이다. 또한 SecOC는 제어기간 통신의 무결성을 확인하기 위해 사용한다. 송신자를 구분하기 위해 메시지에 별도 라벨을 부여하는데, 이를 메시지 인증 코드(Message Authentication Code, 이하 MAC)라 한다. MAC을 메시지에 적용한 뒤 송신자를 인증하는 기능이 SecOC이다.
이러한 사이버보안 기능을 구현하려면 암호 키와 패스워드가 있어야 한다. 그런데 사람이 수십에서 수만 개에 달하는 암호 키와 패스워드를 관리하면 정보 유출 위험도가 높고 업무 로드 또한 증가한다. 이를 해결하기 위해 키관리시스템(Key Management System, 이하 KMS) 도입이 확대되고 있다.
차량 제어기에 최적화된 KMS의 조건은?
KMS의 목적은 ①보안 자산(암호 키, 패스워드)을 안전하게 관리하고 제어기에 안전하게 주입하는 것과 ②보안 기능을 제공하는 것이다. KMS는 제어기 모델별로 수십에서 수백 개에 이르는 암호 키를 다르게 설정하고, 개별 제어기 단위로 수십만에서 수백만 개에 이르는 패스워드를 개인화해야 한다. 이 기능은 일반 IT 기업에서 제공하는 KMS에서도 가능하다.
그러나 거대한 자동차 산업 밸류체인과 평균 15년에 이르는 차량 생애주기, 자동차 사이버보안 규제에 대한 이해도가 전제되어야 자동차 환경에 최적화된 KMS를 구축할 수 있다. 자동차 제어기 개발사가 KMS를 구축한다면 다음 두 가지를 추가적으로 고려해야 한다. 첫째, 다양한 완성차 제작사의 사이버보안 요구사항에 효율적인 대응이 가능한지 둘째, KMS가 생산라인과 연계가 가능한지 확인이 필요하다.
먼저, 생산라인과 연계가 가능한지 확인할 때 다음을 고려해야 한다. 제어기에 보안 자산을 주입하는 경로에는 세 개의 파트가 존재한다. KMS, 제어기, 그리고 이 둘 사이를 중계(릴레이)해 주는 생산공장의 진단 프로그램이다. 중요한 점은 제어기 파트와 KMS 파트의 사이버보안 콘셉트가 일치해야 한다는 것이다. KMS에서 암호화된 키를 제어기에 제공했는데, 제어기가 제대로 복호화하지 못해 호환되지 않는다면 KMS 실효성이 떨어지기 때문이다. 그래서 3개의 파트를 면밀하게 분석해 유기적으로 작동할 수 있는 사이버보안 콘셉트를 도출하는 것이 중요하다. 모든 파트를 턴키(Turn Key)로 개발하는 기업과 협업하는 것도 방법인데, 파트 간 시너지를 낼 수 있는 통합보안 전략을 수립할 수 있기 때문이다. 설계 및 개발, 검증까지 한 기업에서 담당해 운영 효율성과 비용 절감 효과도 높일 수 있다.
다음으로 다양한 사이버보안 요구사항에 유연하게 대응할 수 있는지 살펴야 한다. 완성차 제작사마다 보안 요구사항이 다른데, 이를 고려하지 않으면 KMS의 범용성이 떨어질 수 있다. A사를 위한 KMS가 B사의 요구사항을 커버하지 못해 KMS를 추가로 구축하는 일이 발생하는 것이다. 그런데 완성차 제작사들의 포괄적인 사이버보안 요구사항을 사전에 모두 분석해 KMS에 반영해 놓으면, 고객사에 따라 필요한 요구사항만 선택해서 적용할 수 있다. 하나의 KMS로 다양한 완성차 제작사에 대응할 수 있어, 구축 비용 절감 및 프로젝트 관리 효율화를 동시에 실현할 수 있다.
나무를 넘어 숲을 보는 전략이 필요하다
완성차 제작사는 이미 제어기 개발사에 Secure Debug, Secure Flash, SecOC 등의 보안 기능을 지원하는 KMS를 요구하고 있어, 당사에도 KMS 관련 문의가 점차 늘어나고 있다. 자동차 사이버보안 법규가 본격화될수록 KMS 도입 요구는 더욱 강화될 것이다. 따라서 제어기 개발사는 어떤 KMS를 도입해야 우리 회사에 중장기적으로 이익이 될지 다방면으로 검토가 필요하다.
당사는 자동차와 사이버보안에 대한 전문성을 기반으로, 보안 자산을 주입할 때 필요한 KMS·제어기·생산공장 진단프로그램 파트를 모두 직접 개발했다. 전 파트에 대한 일관된 보안 정책하에 생산라인과 연계되므로 상호 운용성과 안정성을 향상했다. KMS와 함께 자체 개발한 보안 기능도 공급할 수 있으며, 미국 국립표준기술연구소(NIST) FIPS 140-2 암호 알고리즘 인증을 받아 국제적인 신뢰성도 갖췄다. 또한 확장성 있는 구조로 완성차 제작사와 제어기 라인업이 늘어도 유연하게 프로젝트를 관리할 수 있어 효율성도 극대화된다. 이렇게 고객사의 실질적인 니즈를 반영한 결과 국내 유수 완성차 제작사와 제어기 개발사에서 당사 KMS를 각각 도입하며, 실효성을 인정받았다.
필자는 KMS 도입 시 핵심 고려 사항으로 안정성, 효율성, 확장성을 꼽는다. 이 세 가지 요소를 균형 있게 갖춘 KMS를 도입하면 지속적으로 고도화되는 사이버보안에 대한 제어기 개발사의 자체 대응력과 경쟁력을 강화할 수 있을 것이다. 다양한 나무를 잘 길러내 울창한 숲을 가꾸는데 KMS가 기여할 것으로 기대한다.
[글_ 이현정 페스카로 최고기술책임자(CTO)(sales@fescaro.com)]
[보안뉴스= 이현정 페스카로 최고기술책임자(CTO)] 센서 및 자율주행 기술, 위치 및 차량 상태 정보, 소프트웨어 업데이트 등 자동차가 처리하는 데이터가 많아지자, 필연적으로 사이버보안에 대한 중요도도 증가하고 있다. 이에 유럽, 한국, 중국 등 다양한 국가에서 자동차 사이버보안을 법제화했다. 완성차 제작사는 이 법규를 준수해야만 차량을 판매할 수 있게 되었다. 그런데 하나의 차량은 수많은 전장 제어기(이하 제어기)로 이루어져 있다. 차량 전반에 대한 보안 강건성을 높이려면 개별 제어기들도 보호되어야 한다는 뜻이다. 완성차 제작사가 제어기 개발사에 시큐어 플래시(Secure Flash), 시큐어 디버그(Secure Debug), SecOC(Secure Onboard Communication) 등의 사이버보안 기능을 요구하는 이유이다.
[이미지=gettyimagesbank]
Secure Flash는 제어기에 업데이트할 펌웨어의 유효성을 전자서명 기반으로 검증해 유효한 펌웨어만 업데이트하는 기능이며, Secure Debug는 디버그 인터페이스 접근을 통제해 인가되지 않은 펌웨어 추출 및 무단 조작 등을 차단하는 기능이다. 또한 SecOC는 제어기간 통신의 무결성을 확인하기 위해 사용한다. 송신자를 구분하기 위해 메시지에 별도 라벨을 부여하는데, 이를 메시지 인증 코드(Message Authentication Code, 이하 MAC)라 한다. MAC을 메시지에 적용한 뒤 송신자를 인증하는 기능이 SecOC이다.
이러한 사이버보안 기능을 구현하려면 암호 키와 패스워드가 있어야 한다. 그런데 사람이 수십에서 수만 개에 달하는 암호 키와 패스워드를 관리하면 정보 유출 위험도가 높고 업무 로드 또한 증가한다. 이를 해결하기 위해 키관리시스템(Key Management System, 이하 KMS) 도입이 확대되고 있다.
차량 제어기에 최적화된 KMS의 조건은?
KMS의 목적은 ①보안 자산(암호 키, 패스워드)을 안전하게 관리하고 제어기에 안전하게 주입하는 것과 ②보안 기능을 제공하는 것이다. KMS는 제어기 모델별로 수십에서 수백 개에 이르는 암호 키를 다르게 설정하고, 개별 제어기 단위로 수십만에서 수백만 개에 이르는 패스워드를 개인화해야 한다. 이 기능은 일반 IT 기업에서 제공하는 KMS에서도 가능하다.
그러나 거대한 자동차 산업 밸류체인과 평균 15년에 이르는 차량 생애주기, 자동차 사이버보안 규제에 대한 이해도가 전제되어야 자동차 환경에 최적화된 KMS를 구축할 수 있다. 자동차 제어기 개발사가 KMS를 구축한다면 다음 두 가지를 추가적으로 고려해야 한다. 첫째, 다양한 완성차 제작사의 사이버보안 요구사항에 효율적인 대응이 가능한지 둘째, KMS가 생산라인과 연계가 가능한지 확인이 필요하다.
먼저, 생산라인과 연계가 가능한지 확인할 때 다음을 고려해야 한다. 제어기에 보안 자산을 주입하는 경로에는 세 개의 파트가 존재한다. KMS, 제어기, 그리고 이 둘 사이를 중계(릴레이)해 주는 생산공장의 진단 프로그램이다. 중요한 점은 제어기 파트와 KMS 파트의 사이버보안 콘셉트가 일치해야 한다는 것이다. KMS에서 암호화된 키를 제어기에 제공했는데, 제어기가 제대로 복호화하지 못해 호환되지 않는다면 KMS 실효성이 떨어지기 때문이다. 그래서 3개의 파트를 면밀하게 분석해 유기적으로 작동할 수 있는 사이버보안 콘셉트를 도출하는 것이 중요하다. 모든 파트를 턴키(Turn Key)로 개발하는 기업과 협업하는 것도 방법인데, 파트 간 시너지를 낼 수 있는 통합보안 전략을 수립할 수 있기 때문이다. 설계 및 개발, 검증까지 한 기업에서 담당해 운영 효율성과 비용 절감 효과도 높일 수 있다.
다음으로 다양한 사이버보안 요구사항에 유연하게 대응할 수 있는지 살펴야 한다. 완성차 제작사마다 보안 요구사항이 다른데, 이를 고려하지 않으면 KMS의 범용성이 떨어질 수 있다. A사를 위한 KMS가 B사의 요구사항을 커버하지 못해 KMS를 추가로 구축하는 일이 발생하는 것이다. 그런데 완성차 제작사들의 포괄적인 사이버보안 요구사항을 사전에 모두 분석해 KMS에 반영해 놓으면, 고객사에 따라 필요한 요구사항만 선택해서 적용할 수 있다. 하나의 KMS로 다양한 완성차 제작사에 대응할 수 있어, 구축 비용 절감 및 프로젝트 관리 효율화를 동시에 실현할 수 있다.
나무를 넘어 숲을 보는 전략이 필요하다
완성차 제작사는 이미 제어기 개발사에 Secure Debug, Secure Flash, SecOC 등의 보안 기능을 지원하는 KMS를 요구하고 있어, 당사에도 KMS 관련 문의가 점차 늘어나고 있다. 자동차 사이버보안 법규가 본격화될수록 KMS 도입 요구는 더욱 강화될 것이다. 따라서 제어기 개발사는 어떤 KMS를 도입해야 우리 회사에 중장기적으로 이익이 될지 다방면으로 검토가 필요하다.
당사는 자동차와 사이버보안에 대한 전문성을 기반으로, 보안 자산을 주입할 때 필요한 KMS·제어기·생산공장 진단프로그램 파트를 모두 직접 개발했다. 전 파트에 대한 일관된 보안 정책하에 생산라인과 연계되므로 상호 운용성과 안정성을 향상했다. KMS와 함께 자체 개발한 보안 기능도 공급할 수 있으며, 미국 국립표준기술연구소(NIST) FIPS 140-2 암호 알고리즘 인증을 받아 국제적인 신뢰성도 갖췄다. 또한 확장성 있는 구조로 완성차 제작사와 제어기 라인업이 늘어도 유연하게 프로젝트를 관리할 수 있어 효율성도 극대화된다. 이렇게 고객사의 실질적인 니즈를 반영한 결과 국내 유수 완성차 제작사와 제어기 개발사에서 당사 KMS를 각각 도입하며, 실효성을 인정받았다.
필자는 KMS 도입 시 핵심 고려 사항으로 안정성, 효율성, 확장성을 꼽는다. 이 세 가지 요소를 균형 있게 갖춘 KMS를 도입하면 지속적으로 고도화되는 사이버보안에 대한 제어기 개발사의 자체 대응력과 경쟁력을 강화할 수 있을 것이다. 다양한 나무를 잘 길러내 울창한 숲을 가꾸는데 KMS가 기여할 것으로 기대한다.
[글_ 이현정 페스카로 최고기술책임자(CTO)(sales@fescaro.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
