자동차 사이버보안은 왜 지속적인 고도화가 필요한가
[보안뉴스= 이현정 페스카로 최고기술책임자(CTO)] ‘살아 있는’ 자동차의 시대가 오고 있다. 기존 기능을 개선하거나 새로운 기능을 추가하며, 자동차가 끊임없이 진화하고 있는 것이다. 이를 자동차 업계에서는 소프트웨어 중심 자동차, SDV(Software Defined Vehicle)라 부른다.
[이미지=gettyimagesbank]
그러나 자동차만 소프트웨어 중심으로 개발한다고 해서 SDV 시대를 맞이할 수 있는 것은 아니다. 그 차량을 운영하고 관리하는 방식도 소프트웨어 중심으로 변화해야 SDV와의 시너지를 극대화할 수 있다. 필자는 이를 소프트웨어 중심 운영관리(SDO, Software-Defined Operation)라고 정의했다.
자동차 사이버보안은 특히 SDO의 중요성이 대두되는 분야다. 업무 범위와 복잡도가 타의 추종을 불허하기 때문이다. 자동차 사이버보안이 세계적으로 법제화되면서 자동차 업계는 유럽, 한국, 중국 등 다양한 국가별 규제를 모두 충족해야 한다. 하지만 보안 취약점은 기술 발전과 더불어 계속 진화하기에 단발성 대응으로는 안전성을 보장할 수 없다. 게다가 자동차 사이버보안 업무는 거대한 산업 밸류체인과 평균 15년에 이르는 차량 생애주기 전반에 걸쳐 복잡하게 얽혀 있다.
이러한 도전 과제를 해결하기 위해 차량의 전체 생애주기에 걸친 체계적이고 지속적인 운영관리(SDO) 솔루션이 필요하다. 관련된 실제 사례를 통해 자동차 업계의 사이버보안 고도화 전략을 살펴보고자 한다.
자동차 사이버보안 고도화 전략의 핵심은 ‘효율성 극대화’
1. 완성차 제작사 사례
유럽에서 자동차를 판매하려면 완성차 제작사는 자동차 사이버보안(UN R155) 및 소프트웨어 업데이트(UN R156) 규제를 준수해야 한다. 하지만 차량 개발-생산-출시에 대한 고유의 업무와 새로운 사이버보안 규제 대응 업무가 분리 운영되는 경향이 있으며, 이로 인한 효율성 저하에 대한 고민이 있었다.
이에 필자는 완성차 제작사의 업무 프로세스에 최적화된 IT 인프라를 설계 및 구현해 본래 업무와 사이버보안 규제 대응 업무를 연동해 중복을 최소화했다. 이를 위해 차량 개발부터 필드 운영에 이르는 전체 생애주기에 걸쳐 전방위적으로 일어나는 모든 관련 업무를 전산화했다. 특히 완성차 제작사의 생산설비 및 정비소와도 연계되어 실시간으로 보안이벤트 추적, 원인 분석 및 후속 조치까지 수월하게 만들었다.
또한, 소프트웨어가 변경되면 다른 인증 항목이나 시스템에 영향을 미칠 수 있기 때문에 잠재 부작용에 대한 영향도를 사전에 파악하는 것이 중요하다. 이번 시스템을 통해 완성차 제작사가 소프트웨어 업데이트 타당성을 검토하고, 지속적으로 최신 규제를 준수하며, 필요시에만 업데이트를 진행할 수 있게 했다.
그 결과 상호 복잡하게 연결된 사이버보안 및 소프트웨어 업데이트 규제 대응 업무 간의 유기적 영향도를 체계적으로 추적 및 관리해 피해 확산을 최소화할 수 있게 됐다. 또한, 파생 및 후속 프로젝트까지 시스템에서 일원화 관리할 수 있으니 업무 효율성도 향상됐다.
2. 제어기 개발사 사례
제어기 개발사는 완성차 제작사의 사이버보안 요구사항을 만족해야 한다. 그중 가장 고민이 많은 부분은 제어기 생산 시 모델별로 암호화 키를 다르게 설정하는 것을 넘어 개별 제어기 단위로 패스워드 개인화가 필요하다는 것이다. 제어기 모델별 암호키만 해도 수십에서 수백개에 이르는데, 수십만에서 수백만개에 이르는 제어기 패스워드까지 개인화해야 한다.
필자는 이를 해결하기 위해 차세대 키관리시스템(KMS, Key Management System)을 개발했다. 안전하게 보안 자산을 생성 및 관리하는 것은 기본이고, 제어기 생산설비와 연계해 제어기에 직접 모델별 암호키와 개인화된 패스워드를 주입할 수 있다. 이후 어떤 제어기에 어떤 암호키와 패스워드가 주입됐는지 추적도 쉬워, 생산 이후에 보안 이슈가 발생하더라도 신속하고 수월하게 대응할 수 있다.
또한, 제어기 개발사는 완성차 제작사별 사이버보안 요구사항이 다르기 때문에 효과적으로 대응하는 데 어려움을 겪는다. 이에 대해 다양한 고객사 및 제어기별 프로젝트를 효과적으로 관리할 수 있도록 유연한 사용 환경을 제공한다. 고객사나 제어기 라인업 확대 시에도 운영관리가 수월해진다. 이로써 제어기 품질과 안정성 확보는 물론, 업무 효율 향상에까지 기여했다는 평가를 받고 있다.
3. 전기차 충전기 제조사 사례
충전 인프라가 전기차 대중화의 주요 요소로 꼽히는 가운데, 전기차 충전기에 대한 고장 및 장애 등 품질 문제가 지속적으로 발생하고 있다. 전기차 충전기가 원거리에 분포되어 있다 보니 사람이 직접 점검 및 유지 보수를 하는 데 물리적인 어려움이 있다.
필자는 위치와 관계없이 다수의 충전기를 원격으로 일괄 관리할 수 있는 통합 운영관리 시스템을 개발해 이 문제를 해결했다. 충전기 모델 및 구성품별 상태를 실시간으로 모니터링하고, 현재 상태뿐만 아니라 과거부터 지금까지 소프트웨어가 변경된 이력을 모두 확인할 수 있게 했다. 충전기 에러 발생 시 원인을 분석할 수 있으며 원격 설정 및 리셋, 로그 수집도 가능하다. 또한 무선 소프트웨어 업데이트(OTA)가 가능해 운영 이슈 발생 시 즉시 인지하고 사무실에서도 신속하게 대응할 수 있어 피해를 최소화할 수 있다.
해당 시스템은 업무 효율 증대를 통한 비용 절감뿐만 아니라, 효과적인 예방 정비까지 가능하게 함으로써 전기차 충전 인프라의 안정성과 신뢰성을 크게 향상시킨다는 평가를 받고 있다. 충전기가 과열되거나 배터리에 문제가 발생하면 화재로 이어질 수 있기에 이상 징후를 신속하게 파악 및 조치하는 것이 매우 중요하기 때문이다.
미래 경쟁력, 일원화·추상화·자동화가 관건
끊임없이 변화하는 환경과 새로운 사이버위협에 효과적으로 대응하기 위해서는 지속적인 사이버보안 고도화가 중요하며, 그 경쟁력을 좌우하는 핵심은 운영관리 효율성이다. 필자는 기존의 소프트웨어 중심 운영관리(SDO) 솔루션 성공 사례에 기반해 더욱 고도화된 포털(portal) 형태의 솔루션을 개발 중이다. 사이버보안 업무 관리를 일원화(Integration)하고, 사용자에 최적화된 추상화(Abstraction) 및 오케스트레이션 자동화(Orchestration) 기술을 통해 더 쉽고 간편하게 만든 것이 특징이다.
완성차 제작사는 사이버보안 규제를 준수하려면 취약점 분석, 보안 솔루션 적용, 보안테스트 수행 등이 필요하다. 이것들을 각 전문 업체와 개별적으로 진행하는 대신, 포털에서 버튼 몇 개만 클릭하면 빠르게 수행하고 결과 확인까지 가능해진다. 또한 국가별 규제 준수를 증명하기 위해 차종마다 수백 건의 문서를 제출해야 하는데, 이 방대한 자료를 사람이 일일이 관리하기에는 공수가 많이 드는 것뿐만 아니라 자료 유출의 위험성도 있다. 앞으로는 전산화된 포털 시스템을 통해 완성차 제작사, 제어기 개발사, 인증기관 등 모든 이해관계자가 전 과정을 편리하게 모니터링하고 산출물도 안전하게 관리할 수 있다. 또한 소프트웨어 변경으로 인한 유기적인 영향도를 선제적으로 파악하고 대응해 운영관리 리소스를 최적화할 수 있다.
포털 시스템을 통해 이렇게 차량 전 생애주기에 걸쳐 신뢰할 수 있는 보안성을 확보하는 동시에 생산성도 획기적으로 높일 수 있다. 지난 10월 말 글로벌 자동차 사이버보안 협의체 ‘오토아이삭(Auto-ISAC) 서밋’에서 해당 콘셉트를 미리 선보였으며, 글로벌 유수의 완성차 제작사 및 인증기관 등 고위 관계자들로부터 호평을 받았다. 페스카로는 2025년, 자동차가 ‘안전하게’ 진화할 수 있는 환경을 선사할 것이다.
[글_ 이현정 페스카로 최고기술책임자(CTO)(sales@fescaro.com)]
[보안뉴스= 이현정 페스카로 최고기술책임자(CTO)] ‘살아 있는’ 자동차의 시대가 오고 있다. 기존 기능을 개선하거나 새로운 기능을 추가하며, 자동차가 끊임없이 진화하고 있는 것이다. 이를 자동차 업계에서는 소프트웨어 중심 자동차, SDV(Software Defined Vehicle)라 부른다.
[이미지=gettyimagesbank]
그러나 자동차만 소프트웨어 중심으로 개발한다고 해서 SDV 시대를 맞이할 수 있는 것은 아니다. 그 차량을 운영하고 관리하는 방식도 소프트웨어 중심으로 변화해야 SDV와의 시너지를 극대화할 수 있다. 필자는 이를 소프트웨어 중심 운영관리(SDO, Software-Defined Operation)라고 정의했다.
자동차 사이버보안은 특히 SDO의 중요성이 대두되는 분야다. 업무 범위와 복잡도가 타의 추종을 불허하기 때문이다. 자동차 사이버보안이 세계적으로 법제화되면서 자동차 업계는 유럽, 한국, 중국 등 다양한 국가별 규제를 모두 충족해야 한다. 하지만 보안 취약점은 기술 발전과 더불어 계속 진화하기에 단발성 대응으로는 안전성을 보장할 수 없다. 게다가 자동차 사이버보안 업무는 거대한 산업 밸류체인과 평균 15년에 이르는 차량 생애주기 전반에 걸쳐 복잡하게 얽혀 있다.
이러한 도전 과제를 해결하기 위해 차량의 전체 생애주기에 걸친 체계적이고 지속적인 운영관리(SDO) 솔루션이 필요하다. 관련된 실제 사례를 통해 자동차 업계의 사이버보안 고도화 전략을 살펴보고자 한다.
자동차 사이버보안 고도화 전략의 핵심은 ‘효율성 극대화’
1. 완성차 제작사 사례
유럽에서 자동차를 판매하려면 완성차 제작사는 자동차 사이버보안(UN R155) 및 소프트웨어 업데이트(UN R156) 규제를 준수해야 한다. 하지만 차량 개발-생산-출시에 대한 고유의 업무와 새로운 사이버보안 규제 대응 업무가 분리 운영되는 경향이 있으며, 이로 인한 효율성 저하에 대한 고민이 있었다.
이에 필자는 완성차 제작사의 업무 프로세스에 최적화된 IT 인프라를 설계 및 구현해 본래 업무와 사이버보안 규제 대응 업무를 연동해 중복을 최소화했다. 이를 위해 차량 개발부터 필드 운영에 이르는 전체 생애주기에 걸쳐 전방위적으로 일어나는 모든 관련 업무를 전산화했다. 특히 완성차 제작사의 생산설비 및 정비소와도 연계되어 실시간으로 보안이벤트 추적, 원인 분석 및 후속 조치까지 수월하게 만들었다.
또한, 소프트웨어가 변경되면 다른 인증 항목이나 시스템에 영향을 미칠 수 있기 때문에 잠재 부작용에 대한 영향도를 사전에 파악하는 것이 중요하다. 이번 시스템을 통해 완성차 제작사가 소프트웨어 업데이트 타당성을 검토하고, 지속적으로 최신 규제를 준수하며, 필요시에만 업데이트를 진행할 수 있게 했다.
그 결과 상호 복잡하게 연결된 사이버보안 및 소프트웨어 업데이트 규제 대응 업무 간의 유기적 영향도를 체계적으로 추적 및 관리해 피해 확산을 최소화할 수 있게 됐다. 또한, 파생 및 후속 프로젝트까지 시스템에서 일원화 관리할 수 있으니 업무 효율성도 향상됐다.
2. 제어기 개발사 사례
제어기 개발사는 완성차 제작사의 사이버보안 요구사항을 만족해야 한다. 그중 가장 고민이 많은 부분은 제어기 생산 시 모델별로 암호화 키를 다르게 설정하는 것을 넘어 개별 제어기 단위로 패스워드 개인화가 필요하다는 것이다. 제어기 모델별 암호키만 해도 수십에서 수백개에 이르는데, 수십만에서 수백만개에 이르는 제어기 패스워드까지 개인화해야 한다.
필자는 이를 해결하기 위해 차세대 키관리시스템(KMS, Key Management System)을 개발했다. 안전하게 보안 자산을 생성 및 관리하는 것은 기본이고, 제어기 생산설비와 연계해 제어기에 직접 모델별 암호키와 개인화된 패스워드를 주입할 수 있다. 이후 어떤 제어기에 어떤 암호키와 패스워드가 주입됐는지 추적도 쉬워, 생산 이후에 보안 이슈가 발생하더라도 신속하고 수월하게 대응할 수 있다.
또한, 제어기 개발사는 완성차 제작사별 사이버보안 요구사항이 다르기 때문에 효과적으로 대응하는 데 어려움을 겪는다. 이에 대해 다양한 고객사 및 제어기별 프로젝트를 효과적으로 관리할 수 있도록 유연한 사용 환경을 제공한다. 고객사나 제어기 라인업 확대 시에도 운영관리가 수월해진다. 이로써 제어기 품질과 안정성 확보는 물론, 업무 효율 향상에까지 기여했다는 평가를 받고 있다.
3. 전기차 충전기 제조사 사례
충전 인프라가 전기차 대중화의 주요 요소로 꼽히는 가운데, 전기차 충전기에 대한 고장 및 장애 등 품질 문제가 지속적으로 발생하고 있다. 전기차 충전기가 원거리에 분포되어 있다 보니 사람이 직접 점검 및 유지 보수를 하는 데 물리적인 어려움이 있다.
필자는 위치와 관계없이 다수의 충전기를 원격으로 일괄 관리할 수 있는 통합 운영관리 시스템을 개발해 이 문제를 해결했다. 충전기 모델 및 구성품별 상태를 실시간으로 모니터링하고, 현재 상태뿐만 아니라 과거부터 지금까지 소프트웨어가 변경된 이력을 모두 확인할 수 있게 했다. 충전기 에러 발생 시 원인을 분석할 수 있으며 원격 설정 및 리셋, 로그 수집도 가능하다. 또한 무선 소프트웨어 업데이트(OTA)가 가능해 운영 이슈 발생 시 즉시 인지하고 사무실에서도 신속하게 대응할 수 있어 피해를 최소화할 수 있다.
해당 시스템은 업무 효율 증대를 통한 비용 절감뿐만 아니라, 효과적인 예방 정비까지 가능하게 함으로써 전기차 충전 인프라의 안정성과 신뢰성을 크게 향상시킨다는 평가를 받고 있다. 충전기가 과열되거나 배터리에 문제가 발생하면 화재로 이어질 수 있기에 이상 징후를 신속하게 파악 및 조치하는 것이 매우 중요하기 때문이다.
미래 경쟁력, 일원화·추상화·자동화가 관건
끊임없이 변화하는 환경과 새로운 사이버위협에 효과적으로 대응하기 위해서는 지속적인 사이버보안 고도화가 중요하며, 그 경쟁력을 좌우하는 핵심은 운영관리 효율성이다. 필자는 기존의 소프트웨어 중심 운영관리(SDO) 솔루션 성공 사례에 기반해 더욱 고도화된 포털(portal) 형태의 솔루션을 개발 중이다. 사이버보안 업무 관리를 일원화(Integration)하고, 사용자에 최적화된 추상화(Abstraction) 및 오케스트레이션 자동화(Orchestration) 기술을 통해 더 쉽고 간편하게 만든 것이 특징이다.
완성차 제작사는 사이버보안 규제를 준수하려면 취약점 분석, 보안 솔루션 적용, 보안테스트 수행 등이 필요하다. 이것들을 각 전문 업체와 개별적으로 진행하는 대신, 포털에서 버튼 몇 개만 클릭하면 빠르게 수행하고 결과 확인까지 가능해진다. 또한 국가별 규제 준수를 증명하기 위해 차종마다 수백 건의 문서를 제출해야 하는데, 이 방대한 자료를 사람이 일일이 관리하기에는 공수가 많이 드는 것뿐만 아니라 자료 유출의 위험성도 있다. 앞으로는 전산화된 포털 시스템을 통해 완성차 제작사, 제어기 개발사, 인증기관 등 모든 이해관계자가 전 과정을 편리하게 모니터링하고 산출물도 안전하게 관리할 수 있다. 또한 소프트웨어 변경으로 인한 유기적인 영향도를 선제적으로 파악하고 대응해 운영관리 리소스를 최적화할 수 있다.
포털 시스템을 통해 이렇게 차량 전 생애주기에 걸쳐 신뢰할 수 있는 보안성을 확보하는 동시에 생산성도 획기적으로 높일 수 있다. 지난 10월 말 글로벌 자동차 사이버보안 협의체 ‘오토아이삭(Auto-ISAC) 서밋’에서 해당 콘셉트를 미리 선보였으며, 글로벌 유수의 완성차 제작사 및 인증기관 등 고위 관계자들로부터 호평을 받았다. 페스카로는 2025년, 자동차가 ‘안전하게’ 진화할 수 있는 환경을 선사할 것이다.
[글_ 이현정 페스카로 최고기술책임자(CTO)(sales@fescaro.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
