다가오는 자동차 사이버 보안 규제, 취약점 관리 자동화 통한 효율적 대응 필요

2021-09-15 10:45
  • 카카오톡
  • url
2022년 7월부터 출시되는 차량은 UNECE WP.29 R155 준수해야
규제에 완벽히 대응한다고 응답한 기업 6%에 불과
업계 담당자, 수동으로 이뤄지는 프로세스와 표준화 프로세스 부재로 관리 어려워


[보안뉴스 이상우 기자] 자동차는 가까운 미래에 새로운 IT 플랫폼으로 자리잡을 전망이다. 이미 자동차는 이동통신망을 기반으로 주변의 주차장이나 매장을 안내하는 등 개인 맞춤형 서비스를 제공하고 있으며, 사용자가 원격에서 스마트폰을 이용해 차량을 제어하는 커넥티드 카 서비스 역시 상용화됐다. 차량 부품 역시 전자화되고 있다. 엔진 컨트롤 유닛(ECU)나 전기차에 쓰이는 EPCU(Electric Power Control Unit) 등 차량 구동에 필요한 주요 기능을 프로세서에 맡기고 있다.


[이미지=utoimage]

자율주행에 관한 연구 역시 이어지고 있다. 완전자율주행은 차량 스스로 상황을 인지 및 판단하고, 비상시에도 운전자의 개입이 불필요한 수준으로, 차량이나 부품뿐만 아니라 ICT, 도로교통 등의 혁신도 필요하다. 이를 위해 차량간 통신(V2V, Vehicle to Vehicle), 나아가 교통과 관련한 모든 시스템과 연결하는 V2X(Vehicle to Everything) 등에 대한 연구도 활발하다.

스마트 자동차는 달리는 컴퓨터다. 스마트 자동차가 IT 분야로 들어오면서, 자동차에 대한 사이버 공격 가능성도 커졌다. 몇 년 전에는 도요타 커넥티드카에 대한 해킹 실험을 통해 엔진이나 브레이크 등 차량의 주요 장치를 임의로 조작하는데 성공했으며, 대표적인 전기차 브랜드인 테슬라 역시 최근 화이트해커에 의해 잠긴 차량의 문을 열고 시동을 걸어 탈취하는 등의 취약점이 발견되기도 했다.

이처럼 자동차에 대한 사이버 공격 위협이 등장하면서, 자동차 사이버 보안에 대한 논의와 규제 역시 등장하고 있다. 대표적인 것이 UN 유럽경제위원회 세계 포럼이 발표한 ‘UNECE WP.29 R155’다. UN 유럽경제위원회는 유럽, 북미, 아시아 등 56개 회원국을 포함하는 조직이며, WP.29 차량 및 부품의 안전성과 성능에 대한 기술규정을 다루는 규제 포럼이다.

UNECE WP.29가 발표한 자동차 사이버 보안 규정에 따라 2022년 7월 이후부터 회원국에 출시되는 ECU 장착 자동차는 사이버 보안에 대한 인증을 받아야 하며, 오는 2024년 7월에는 재고를 포함해 새로 등록되는 모든 차량이 이 규정을 준수해야 한다.

자동차 보안 취약점 평가, 수동 관리로 인해 오래 걸리고 훈련된 보안 전문가 역시 부족
자동차 보안 라이프사이클 관리 분야 선도기업 ‘사이벨리움(Cybellum)’과 자동차 사이버 보안 강화를 위한 솔루션 개발을 지원하는 비영리 단체 ‘ASRG(The Automotive Security Research Group)’는 최근 글로벌 OEM 및 시장 선도 공급업체 50개를 대상으로 설문조사를 실시했다. 이번 조사결과 아직 많은 기업이 자동차 보안 취약점 관리 프로세스를 자동화하지 않았으며, 수동 관리로 인해 보안 평가에 많은 시간이 소요된다고 답했다.


▲오늘날 자동차 관련 기업은 최대 6개의 출처에서 취약점 정보를 수집하고, 최대 10가지 방식으로 취약점을 수동 관리하면서 어려움을 느낀다[자료=쿤텍]

사이벨리움의 국내 파트너사인 쿤텍 김선태 부장은 “자동차 산업을 위협하는 사이버 공격이 지속적으로 보고되고 있는 가운데 체계적인 보안 대응방안을 수립하여 사전에 사이버 보안위협에 대비하는 것이 필수적이다. 한편으로는, 자동차를 구성하는 소프트웨어 공급망이 점점 복잡해지고 각 공급업체가 제공하는 소프트웨어의 소스코드에 접근하는 것에 한계가 있어 기존의 방식으로는 효과적인 보안성 점검이 어려운 것이 현실”이라고 말하며, “이제는 자동차 보안 취약점을 수동으로 관리하는 것이 불가능하다. 자동차 업계의 사이버 보안을 효과적으로 강화하기 위해서는 바이너리 검증이 가능한 자동화 플랫폼을 통해 소스코드 점검의 한계를 극복하는 동시에 까다로운 국제표준의 요구사항을 체계적으로 분석하고 준수 여부를 점검하는 것이 필수적”이라고 말했다.

이번 조사 결과 응답기업의 63%는 취약점 관리 프로세스를 자동화하지 못했다. 대다수의 응답자는 보안 취약점을 수동으로 관리하고 있으며, 표준화된 프로세스가 없어 OEM 및 공급업체는 서로 다른 CVE 데이터 소스와 취약성 식별 및 분석 기술을 사용하고 있는 상황이다.

보고서는 수동 프로세스는 향후 규정에서 요구하는 엄격한 요구 사항을 충족하기 어렵다고 말한다. 자동차에 쓰이는 개발 코드가 늘어나고, 연결된 장치가 증가함에 따라 사전에 구축된 표준행동절차를 모두 분석해야 하며, 잠재적으로 생명을 위협할 수 있는 취약점은 신속하게 복구돼야 한다. 이 때문에 취약성 평가를 수동으로 수행하면 회사와 고객에게 지속적인 위험과 잠재적 피해를 초래할 수 있는 취약점을 사전에 식별하기 어렵다는 설명이다.

또한, 보고서는 차량 내의 모든 소프트웨어 구성 요소에 취약점이 있는지 노출됐는지 검증해야 한다고 덧붙였다. 이번 설문조사에서 많은 응답자가 취약점 확인을 위해 3~6개의 CVE 데이터 소스를 사용한다고 답했다. 특히, 이러한 위험 평가 프로세스가 저해되는 가장 큰 요인 두 가지를 묻는 질문에 응답자는 수동 관리에 걸리는 많은 시간이 걸리며(43%), 훈련된 보안 전문가 역시 부족하다(38%)고 답했다.

차량을 구성하는 소프트웨어의 새로운 버전이나 보안 업데이트가 출시되고, 새로운 취약점이 등록될 때마다 기업은 이를 업데이트해야 하며, 매번 수동으로 이러한 작업을 수행하는 데는 많은 시간이 든다. 이에 따라 자동화된 취약점 관리 필요성 역시 커지고 있다. 관리 자동화는 취약점을 감지하고 식별하는 데 걸리는 시간을 최소화하며, 특히 수동 점검에서 놓친 위협 요소를 찾아내 잠재적인 보안 위협을 줄일 수 있다.

다가오는 자동차 사이버 보안 규제...완벽히 대비 중인 기업은 6%에 불과
공급망을 따라 모든 협력사 관리하면서 취약점 평가 부실해져

주요 자동차 공급업체와 OEM은 2021년 1월 22일 발표된 ISO/SAE 21434 및 UNECE WP.29 R155, R156에 대해 주목하고 있다. 응답 기업 중 ISO/SAE 21434를 로드맵에 추가한 기업은 72%이며, UNECE WP.29 R155, R156를 추가한 기업은 54%로 나타났다. 하지만, 현재 규제에 완벽히 대응하고 있다고 응답한 기업은 6%에 불과했으며, 29%는 아직 대응을 시작하지 않았다고 답했다.


▲다가오는 규제에 완벽히 대응하고 있다고 답한 기업은 6%에 불과했다[자료=쿤텍]

최신 모델 차량에 더 많은 기술이 내장되면서 수동 프로세스로는 모든 소프트웨어 구성 요소가 안전한지 확인하기 어렵다. 실제로 이번 조사에서 자동차에 사용하는 소프트웨어 개발 코드 수가 지난 2년간 200% 증가한 것으로 나타났다.

사이벨리움은 이에 대비하기 위해 더 많은 팀을 구성하고 직원을 고용하는 것은 효과적인 선택지가 아니라고 설명했다. 2020년 사이버 보안 인력 연구(Cybersecurity Workforce Study)에 따르면 현재 전 세계적으로 300만 개의 사이버 보안 일자리가 있지만, 관련 자동차 임베디드 설계 경험이 있는 사이버 보안 전문가는 여전히 부족한 상황이다. 특히, 자동차 기업은 이러한 사이버 보안 강화를 통한 수익 창출이 명확하지 않은 상황에서 수동 프로세스를 확장하는 것은 경제적으로 의미가 없다고 덧붙였다.

이번 설문조사에서 응답자의 42%는 제조업체와 공급업체 간의 조정 부족으로 인해 시기적절한 취약점 평가가 이뤄지기 어렵다고 답했다. 제조업체는 보안 위협 완화를 위해 취약한 공급업체를 식별할 때까지 공급망을 따라 취약점을 탐지해야 한다. 특히, 보안팀은 보완 요청을 처리하는 사람과 처리 방법 및 시기를 맞추기 위해 내부 및 공급업체 개발 팀과 협력하며, 위협 요소가 식별된 후에도 우선순위 지정 및 버그 수정이 늦춰질 수 있다. 이러한 조정 부족으로 인해 시간과 자원이 낭비되는 경우가 많으며, 결국 제조업체는 생산을 앞두고 특정 취약점을 완화하지 않기로 결정할 수 있다.

보안팀이 공개적으로 보고된 새로운 취약점을 평가하고 이를 보완하는 것은 시급한 문제다. 이번 설문조사에서 응답자의 10% 미만이 새로운 취약점을 발견한 후 24시간 이내에 위험 평가를 수행하는 반면, 무려 58%의 응답자는 2~4주 가량 소요된다고 답했다. 특히, 15%는 취약점 보완에 특정한 기한을 정해두지 않는다고 답했다. 공개된 취약점을 빠르게 제거하지 않으면, 사이버 공격자는 해당 취약점을 학습하고, ‘n데이’ 취약점을 통한 익스플로잇이 가능하다. 자동차 제조업체의 경우 공개된 취약점을 빠르게 보완하지 않으면, 도로에서 달리는 자동차가 보안 위협에 노출되는 셈이다.


▲취약점 제거에 걸리는 시간이 24시간 미만인 기업은 10%에 불과했다[자료=쿤텍]

이러한 상황에서 자동화한 취약점 관리 프로세스는 제조업체의 사이버 보안 기술 부족, 시기 적절한 취약성 평가 및 완화 프로세스, 증가하는 차량 내 소프트웨어 등 오늘날 환경에 대응하기 위한 해결책이다. 하지만, 오늘날 모든 취약점 관리 솔루션이 동일한 형태로 운영되지 않고 있으며, 특히, 대다수의 응답자(74%)는 제품 출시 이후 지속적인 모니터링 등을 지원하는 관리 솔루션을 요구했다. 이는 UNECE WP.29 R155 규정과도 맥락이 같으며, 스마트 자동차가 출시 이후에도 안전하게 유지되도록 제조업체의 책임을 요구한다.

응답자의 52%는 자산관리 기능 역시 요구했다. 효과적인 자산 관리를 통해 업계 관계자는 주어진 모델에 내장된 모든 ECU, 라이선스 및 소프트웨어 구성을 빠르고 쉽게 식별하고 해당 정보를 시간이 지남에 따라 업데이트할 수 있다. 또한, 자산 관리를 통해 물리적 위치, 사업부, 개발 프로그램 등 다양한 속성별로 자산을 분할 수 있으며, 제품 개발 중 혹은 사후에 전체 자산 인벤토리에서 취약성을 자동으로 감지해 익스플로잇이 발생하기 전에 이를 수정할 수 있다.

또한, 맥락 인식 기반 필터링 역시 응답자가 원하는 자동화 솔루션의 상위 3가지 기능 중 하나로 나타났다. 대다수의 응답자(51%)는 자동화된 취약성 관리 솔루션의 중요한 기능으로 정확한 구성을 기반으로 취약성을 필터링하는 기능을 우선시했다. 맥락 인식을 통해 취약성의 잠재적 영향, 특히 가장 시급한 문제에 따라 중재 노력의 우선순위를 지정할 수 있다. 컨텍스트 기반 필터링은 주어진 모델 내의 정확한 구성을 기반으로 관련 없는 취약점을 제거한다. 취약성 관리 솔루션의 일부인 맥락 인식 기반 필터링을 통해 제품 보안팀은 노력의 우선순위를 지정하고 보안 격차를 신속하게 제거해 취약점 우선순위 지정 및 제거 속도를 높일 수 있기 때문이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 이노뎁

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 아이브스

    • 아이디스

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 주식회사 비앤에스

    • 이화트론

    • 코맥스

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • CVT

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 비전정보통신

    • 씨엠아이텍

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 아이쓰리시스템(주)

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • (주)투윈스컴

    • A3시큐리티

    • 유니뷰코리아

    • AIS테크놀러지

    • 한국씨텍(주)

    • 이오씨

    • (주)포딕스시스템

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • UHDPRO

    • (주)지와이네트웍스

    • 옵텍스코리아

    • (주)넥스트림

    • 화이트박스로보틱스

    • 신우테크
      팬틸드 / 하우징

    • (주)네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 이후커뮤니케이션

    • (주)디지탈센스

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)모스타

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • (주)에프에스네트웍스

    • 지엘에스이

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • 수퍼락
      출입통제시스템

    • 글로넥스
      카드리더 / 데드볼트

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기