.gif)
복잡해지는 자동차 시스템, 제3자 앱 사용도 늘어
기능 늘어날수록 보안 취약해지고, 소비자들은 제조사에만 책임 물어
▲ 아니야. 이런 불이 아니야, 20, 30대들아!
[보안뉴스 문가용] 최신 자동차 모델들은 외주 업체에서 만든 제3자 애플리케이션들을 탑재하고 등장한다. 인터넷과의 연결은 기본이다. 그런데 자동차 해킹이라는 것은 대부분 이 외주 애플리케이션들에서 발생한다. 그에 대한 책임은? 자동차 제조사다. 그에 따라 기존 자동차 제조사들 사이에서 사이버 보안 문제가 상당히 큰 압박감을 조성하고 있다는 보고서들이 등장하고 있다. IDC와 베라코드(Veracode) 역시 최근 관련된 주제로, 운전자들을 대상을오 한 설문을 실시했다.
설문 참여자 중 90%가 사이버 보안에 대하여 자동차 제조사가 책임지는 게 맞는다고 대답했다. 사고의 원인이 된 앱이 외주 업체가 제작한 것이든 아니든 말이다. 사이버 보안뿐만이 아니라 자동차와 관련된 안전 문제는 모두 제조사의 것이라는 분위기다.
게다가 해킹을 방지하기 위한 소프트웨어 및 보안 솔루션 역시 자동차 제조업체가 공급해야 한다고 응답한 사람들은 55%였으며, 자동차의 보안에 가장 많은 책임을 가지고 있어야 할 관계자 역시 자동차 제조사라고 답한 사람이 44%였다. 어느 정도 혹은 일부만 책임지면 된다고 답한 이는 33%였다. 심지어 자동차 해킹에 대비한 보험 서비스도 제조사가 제공해야 한다는 응답자가 50%에 달했다.
“외주 파트너가 많아지고 다양한 기능이 추가되면 될수록 보안이 문제가 된다는 게 슬슬 피부로 느껴질 겁니다. 그런데 시장은 다양한 기능도 원하고 튼튼한 보안도 원하니 제조사들로서는 골치가 아프죠. 그렇다고 내부에서 모든 기능을 다 소화할 수도 없어요. 요즘 사물인터넷에 기반을 둔 자동차 치고 엔터테인먼트, 인터넷 연결, OS 없는 거 있나요. 이런 환경에 사용되는 수많은 앱들까지 생각하면... 불가능합니다. 회사를 하나 따로 차려야 할 정도입니다.” 베라코드의 CTO인 크리스 와이소팔(Chris Wysopal)의 설명이다.
와이소팔은 이게 전혀 낯선 현상이 아니라는 걸 강조한다. 이미 여러 업체들과 얽히고설켜 사업을 꾸려나가는 현대 기업환경에서도 계속해서 문제가 되고 있는 외주인력 및 내부자에 의한 사고와, 현대 자동차 제조사들이 겪는 문제가 같은 맥락에 있다는 것.
IDC와 베라코드는 자동차 운전자들 뿐 아니라 보시(Bosh), 델피(Delphi), 피아트크라이슬러(Fiat-Chrysler), 스카니아(Scania), 시트(Seat), ADAC, 독일 자동차 산업 협회 등 유럽의 자동차 제조사들을 대상으로도 설문을 실시했다. 이들은 사이버 보안 위협에 제대로 대응할 수 있기까지 최소 3년이 필요하다고 답했다. 또한 가장 두려운 것으로는 외주 제작 애플리케이션이 자사의 가장 핵심적인 시스템으로 침투하려는 해커들의 발판이 되는 것을 꼽았다. 즉, 여러 해킹 사고 유형 중 운전의 중요 기능이 마비되는 것을 가장 심각하게 생각하고 있다는 뜻이다.
베라코드의 와이소팔은 “3년도 대단히 긍정적인 수치”라고 평한다. 스마트카의 복잡한 구조와 날이 갈수록 무섭게 발전하는 해킹 기법들을 생각했을 때 훨씬 더 오랜 시간이 걸릴 게 분명하다는 것. “게다가 대안이라고 나오는 것들은 ‘엔터테인먼트와 운전 기능의 망을 분리하라’와 같은 조언들인데, 현장에서 이는 불가능에 가까운 이상론입니다.”
사용자 인터페이스를 분산시키는 게 전혀 소비자에게 매력적이지 않을 것이기 때문에 소프트웨어는 필연적으로 서로 연결되고 섞이기 마련이라고 그는 망 분리의 불가능성을 제기한다. “즉 앱 하나하나의 실험과 점검을 더 철저히 하는 수밖에 없습니다. 어떤 식으로 인증하고, 어떤 기관의 인증을 믿을 것인가도 고민해야겠죠. 그리고 과연 이 앱이 자동차의 주행 기능과 어떤 식으로 연결되어 있는지, 그 연결이 꼭 필요한 것인지도 검토해야 합니다.”
한편 내부적으로 보안 내실을 키워가는 과제 외에, 외부적으로 ‘보안이 훌륭하다’는 이미지도 구축해야 하는 부담감도 있다. 제너럴 모터스(General Motors)는 버그바운티를 곧 시작할 예정이며, 보안 전문가도 영입할 계획이다. “영리한 움직임이라고 봅니다. 이는 결국 제너럴 모터스조차 소프트웨어 기업으로서의 기능을 수행해야 한다는, ‘모든 기업이 소프트웨어 기업이 되고 있다’는 방향과 일치합니다. 이제 사업과 보안은 소프트웨어를 중심으로 생각해야 합니다.”
하지만 앞으로 3년간은 내부적으로 취약점을 찾아내고 해결하는 일에 집중해야 할 것이라고 와이소팔은 강조한다. “태생이 생산자이기 때문에 기존 자동차 제조사들은 애플리케이션 및 전체 시스템 보안을 완벽히 이해할 수 없을 겁니다. 무슨 말이냐면, 자동차의 기능성이 보안성보다 항상 우위에 있는 고려사항이 될 거라는 것이죠. 그러니 취약점을 찾는 것이 곧 기능을 향상시키는 것이라는 체험을 좀 더 누적시킬 필요가 있습니다. 한 마디로 체질 개선을 위한 준비단계가 필요한 것이죠. 그게 최소 3년은 될 거라고 보고요.”
하지만 2, 30대들 사이에서 자동차 해킹은 그다지 큰 문제가 아닌 것으로 나타나고 있다. 자동차 해킹 문제가 앞으로 더 자주 발생할 거라는 인식은 있지만 그게 그리 치명적인 사회문제로 발전할 것 같지는 않다는 전망이 대부분인 것이다. 해당 설문을 연령별로 분류한 결과 50%가 ‘자주 발생할 것’이라고 예상했지만 70%가 ‘심각한 문제는 아닐 것’으로 답했다.
[국제부 문가용 기자(globoan@boannews.com)]
기능 늘어날수록 보안 취약해지고, 소비자들은 제조사에만 책임 물어
▲ 아니야. 이런 불이 아니야, 20, 30대들아!
[보안뉴스 문가용] 최신 자동차 모델들은 외주 업체에서 만든 제3자 애플리케이션들을 탑재하고 등장한다. 인터넷과의 연결은 기본이다. 그런데 자동차 해킹이라는 것은 대부분 이 외주 애플리케이션들에서 발생한다. 그에 대한 책임은? 자동차 제조사다. 그에 따라 기존 자동차 제조사들 사이에서 사이버 보안 문제가 상당히 큰 압박감을 조성하고 있다는 보고서들이 등장하고 있다. IDC와 베라코드(Veracode) 역시 최근 관련된 주제로, 운전자들을 대상을오 한 설문을 실시했다.
설문 참여자 중 90%가 사이버 보안에 대하여 자동차 제조사가 책임지는 게 맞는다고 대답했다. 사고의 원인이 된 앱이 외주 업체가 제작한 것이든 아니든 말이다. 사이버 보안뿐만이 아니라 자동차와 관련된 안전 문제는 모두 제조사의 것이라는 분위기다.
게다가 해킹을 방지하기 위한 소프트웨어 및 보안 솔루션 역시 자동차 제조업체가 공급해야 한다고 응답한 사람들은 55%였으며, 자동차의 보안에 가장 많은 책임을 가지고 있어야 할 관계자 역시 자동차 제조사라고 답한 사람이 44%였다. 어느 정도 혹은 일부만 책임지면 된다고 답한 이는 33%였다. 심지어 자동차 해킹에 대비한 보험 서비스도 제조사가 제공해야 한다는 응답자가 50%에 달했다.
“외주 파트너가 많아지고 다양한 기능이 추가되면 될수록 보안이 문제가 된다는 게 슬슬 피부로 느껴질 겁니다. 그런데 시장은 다양한 기능도 원하고 튼튼한 보안도 원하니 제조사들로서는 골치가 아프죠. 그렇다고 내부에서 모든 기능을 다 소화할 수도 없어요. 요즘 사물인터넷에 기반을 둔 자동차 치고 엔터테인먼트, 인터넷 연결, OS 없는 거 있나요. 이런 환경에 사용되는 수많은 앱들까지 생각하면... 불가능합니다. 회사를 하나 따로 차려야 할 정도입니다.” 베라코드의 CTO인 크리스 와이소팔(Chris Wysopal)의 설명이다.
와이소팔은 이게 전혀 낯선 현상이 아니라는 걸 강조한다. 이미 여러 업체들과 얽히고설켜 사업을 꾸려나가는 현대 기업환경에서도 계속해서 문제가 되고 있는 외주인력 및 내부자에 의한 사고와, 현대 자동차 제조사들이 겪는 문제가 같은 맥락에 있다는 것.
IDC와 베라코드는 자동차 운전자들 뿐 아니라 보시(Bosh), 델피(Delphi), 피아트크라이슬러(Fiat-Chrysler), 스카니아(Scania), 시트(Seat), ADAC, 독일 자동차 산업 협회 등 유럽의 자동차 제조사들을 대상으로도 설문을 실시했다. 이들은 사이버 보안 위협에 제대로 대응할 수 있기까지 최소 3년이 필요하다고 답했다. 또한 가장 두려운 것으로는 외주 제작 애플리케이션이 자사의 가장 핵심적인 시스템으로 침투하려는 해커들의 발판이 되는 것을 꼽았다. 즉, 여러 해킹 사고 유형 중 운전의 중요 기능이 마비되는 것을 가장 심각하게 생각하고 있다는 뜻이다.
베라코드의 와이소팔은 “3년도 대단히 긍정적인 수치”라고 평한다. 스마트카의 복잡한 구조와 날이 갈수록 무섭게 발전하는 해킹 기법들을 생각했을 때 훨씬 더 오랜 시간이 걸릴 게 분명하다는 것. “게다가 대안이라고 나오는 것들은 ‘엔터테인먼트와 운전 기능의 망을 분리하라’와 같은 조언들인데, 현장에서 이는 불가능에 가까운 이상론입니다.”
사용자 인터페이스를 분산시키는 게 전혀 소비자에게 매력적이지 않을 것이기 때문에 소프트웨어는 필연적으로 서로 연결되고 섞이기 마련이라고 그는 망 분리의 불가능성을 제기한다. “즉 앱 하나하나의 실험과 점검을 더 철저히 하는 수밖에 없습니다. 어떤 식으로 인증하고, 어떤 기관의 인증을 믿을 것인가도 고민해야겠죠. 그리고 과연 이 앱이 자동차의 주행 기능과 어떤 식으로 연결되어 있는지, 그 연결이 꼭 필요한 것인지도 검토해야 합니다.”
한편 내부적으로 보안 내실을 키워가는 과제 외에, 외부적으로 ‘보안이 훌륭하다’는 이미지도 구축해야 하는 부담감도 있다. 제너럴 모터스(General Motors)는 버그바운티를 곧 시작할 예정이며, 보안 전문가도 영입할 계획이다. “영리한 움직임이라고 봅니다. 이는 결국 제너럴 모터스조차 소프트웨어 기업으로서의 기능을 수행해야 한다는, ‘모든 기업이 소프트웨어 기업이 되고 있다’는 방향과 일치합니다. 이제 사업과 보안은 소프트웨어를 중심으로 생각해야 합니다.”
하지만 앞으로 3년간은 내부적으로 취약점을 찾아내고 해결하는 일에 집중해야 할 것이라고 와이소팔은 강조한다. “태생이 생산자이기 때문에 기존 자동차 제조사들은 애플리케이션 및 전체 시스템 보안을 완벽히 이해할 수 없을 겁니다. 무슨 말이냐면, 자동차의 기능성이 보안성보다 항상 우위에 있는 고려사항이 될 거라는 것이죠. 그러니 취약점을 찾는 것이 곧 기능을 향상시키는 것이라는 체험을 좀 더 누적시킬 필요가 있습니다. 한 마디로 체질 개선을 위한 준비단계가 필요한 것이죠. 그게 최소 3년은 될 거라고 보고요.”
하지만 2, 30대들 사이에서 자동차 해킹은 그다지 큰 문제가 아닌 것으로 나타나고 있다. 자동차 해킹 문제가 앞으로 더 자주 발생할 거라는 인식은 있지만 그게 그리 치명적인 사회문제로 발전할 것 같지는 않다는 전망이 대부분인 것이다. 해당 설문을 연령별로 분류한 결과 50%가 ‘자주 발생할 것’이라고 예상했지만 70%가 ‘심각한 문제는 아닐 것’으로 답했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
