Home > Security

다가오는 자동차 사이버 보안 규제, 취약점 관리 자동화 통한 효율적 대응 필요

  |  입력 : 2021-09-15 10:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2022년 7월부터 출시되는 차량은 UNECE WP.29 R155 준수해야
규제에 완벽히 대응한다고 응답한 기업 6%에 불과
업계 담당자, 수동으로 이뤄지는 프로세스와 표준화 프로세스 부재로 관리 어려워


[보안뉴스 이상우 기자] 자동차는 가까운 미래에 새로운 IT 플랫폼으로 자리잡을 전망이다. 이미 자동차는 이동통신망을 기반으로 주변의 주차장이나 매장을 안내하는 등 개인 맞춤형 서비스를 제공하고 있으며, 사용자가 원격에서 스마트폰을 이용해 차량을 제어하는 커넥티드 카 서비스 역시 상용화됐다. 차량 부품 역시 전자화되고 있다. 엔진 컨트롤 유닛(ECU)나 전기차에 쓰이는 EPCU(Electric Power Control Unit) 등 차량 구동에 필요한 주요 기능을 프로세서에 맡기고 있다.

[이미지=utoimage]


자율주행에 관한 연구 역시 이어지고 있다. 완전자율주행은 차량 스스로 상황을 인지 및 판단하고, 비상시에도 운전자의 개입이 불필요한 수준으로, 차량이나 부품뿐만 아니라 ICT, 도로교통 등의 혁신도 필요하다. 이를 위해 차량간 통신(V2V, Vehicle to Vehicle), 나아가 교통과 관련한 모든 시스템과 연결하는 V2X(Vehicle to Everything) 등에 대한 연구도 활발하다.

스마트 자동차는 달리는 컴퓨터다. 스마트 자동차가 IT 분야로 들어오면서, 자동차에 대한 사이버 공격 가능성도 커졌다. 몇 년 전에는 도요타 커넥티드카에 대한 해킹 실험을 통해 엔진이나 브레이크 등 차량의 주요 장치를 임의로 조작하는데 성공했으며, 대표적인 전기차 브랜드인 테슬라 역시 최근 화이트해커에 의해 잠긴 차량의 문을 열고 시동을 걸어 탈취하는 등의 취약점이 발견되기도 했다.

이처럼 자동차에 대한 사이버 공격 위협이 등장하면서, 자동차 사이버 보안에 대한 논의와 규제 역시 등장하고 있다. 대표적인 것이 UN 유럽경제위원회 세계 포럼이 발표한 ‘UNECE WP.29 R155’다. UN 유럽경제위원회는 유럽, 북미, 아시아 등 56개 회원국을 포함하는 조직이며, WP.29 차량 및 부품의 안전성과 성능에 대한 기술규정을 다루는 규제 포럼이다.

UNECE WP.29가 발표한 자동차 사이버 보안 규정에 따라 2022년 7월 이후부터 회원국에 출시되는 ECU 장착 자동차는 사이버 보안에 대한 인증을 받아야 하며, 오는 2024년 7월에는 재고를 포함해 새로 등록되는 모든 차량이 이 규정을 준수해야 한다.

자동차 보안 취약점 평가, 수동 관리로 인해 오래 걸리고 훈련된 보안 전문가 역시 부족
자동차 보안 라이프사이클 관리 분야 선도기업 ‘사이벨리움(Cybellum)’과 자동차 사이버 보안 강화를 위한 솔루션 개발을 지원하는 비영리 단체 ‘ASRG(The Automotive Security Research Group)’는 최근 글로벌 OEM 및 시장 선도 공급업체 50개를 대상으로 설문조사를 실시했다. 이번 조사결과 아직 많은 기업이 자동차 보안 취약점 관리 프로세스를 자동화하지 않았으며, 수동 관리로 인해 보안 평가에 많은 시간이 소요된다고 답했다.

▲오늘날 자동차 관련 기업은 최대 6개의 출처에서 취약점 정보를 수집하고, 최대 10가지 방식으로 취약점을 수동 관리하면서 어려움을 느낀다[자료=쿤텍]


사이벨리움의 국내 파트너사인 쿤텍 김선태 부장은 “자동차 산업을 위협하는 사이버 공격이 지속적으로 보고되고 있는 가운데 체계적인 보안 대응방안을 수립하여 사전에 사이버 보안위협에 대비하는 것이 필수적이다. 한편으로는, 자동차를 구성하는 소프트웨어 공급망이 점점 복잡해지고 각 공급업체가 제공하는 소프트웨어의 소스코드에 접근하는 것에 한계가 있어 기존의 방식으로는 효과적인 보안성 점검이 어려운 것이 현실”이라고 말하며, “이제는 자동차 보안 취약점을 수동으로 관리하는 것이 불가능하다. 자동차 업계의 사이버 보안을 효과적으로 강화하기 위해서는 바이너리 검증이 가능한 자동화 플랫폼을 통해 소스코드 점검의 한계를 극복하는 동시에 까다로운 국제표준의 요구사항을 체계적으로 분석하고 준수 여부를 점검하는 것이 필수적”이라고 말했다.

이번 조사 결과 응답기업의 63%는 취약점 관리 프로세스를 자동화하지 못했다. 대다수의 응답자는 보안 취약점을 수동으로 관리하고 있으며, 표준화된 프로세스가 없어 OEM 및 공급업체는 서로 다른 CVE 데이터 소스와 취약성 식별 및 분석 기술을 사용하고 있는 상황이다.

보고서는 수동 프로세스는 향후 규정에서 요구하는 엄격한 요구 사항을 충족하기 어렵다고 말한다. 자동차에 쓰이는 개발 코드가 늘어나고, 연결된 장치가 증가함에 따라 사전에 구축된 표준행동절차를 모두 분석해야 하며, 잠재적으로 생명을 위협할 수 있는 취약점은 신속하게 복구돼야 한다. 이 때문에 취약성 평가를 수동으로 수행하면 회사와 고객에게 지속적인 위험과 잠재적 피해를 초래할 수 있는 취약점을 사전에 식별하기 어렵다는 설명이다.

또한, 보고서는 차량 내의 모든 소프트웨어 구성 요소에 취약점이 있는지 노출됐는지 검증해야 한다고 덧붙였다. 이번 설문조사에서 많은 응답자가 취약점 확인을 위해 3~6개의 CVE 데이터 소스를 사용한다고 답했다. 특히, 이러한 위험 평가 프로세스가 저해되는 가장 큰 요인 두 가지를 묻는 질문에 응답자는 수동 관리에 걸리는 많은 시간이 걸리며(43%), 훈련된 보안 전문가 역시 부족하다(38%)고 답했다.

차량을 구성하는 소프트웨어의 새로운 버전이나 보안 업데이트가 출시되고, 새로운 취약점이 등록될 때마다 기업은 이를 업데이트해야 하며, 매번 수동으로 이러한 작업을 수행하는 데는 많은 시간이 든다. 이에 따라 자동화된 취약점 관리 필요성 역시 커지고 있다. 관리 자동화는 취약점을 감지하고 식별하는 데 걸리는 시간을 최소화하며, 특히 수동 점검에서 놓친 위협 요소를 찾아내 잠재적인 보안 위협을 줄일 수 있다.

다가오는 자동차 사이버 보안 규제...완벽히 대비 중인 기업은 6%에 불과
공급망을 따라 모든 협력사 관리하면서 취약점 평가 부실해져

주요 자동차 공급업체와 OEM은 2021년 1월 22일 발표된 ISO/SAE 21434 및 UNECE WP.29 R155, R156에 대해 주목하고 있다. 응답 기업 중 ISO/SAE 21434를 로드맵에 추가한 기업은 72%이며, UNECE WP.29 R155, R156를 추가한 기업은 54%로 나타났다. 하지만, 현재 규제에 완벽히 대응하고 있다고 응답한 기업은 6%에 불과했으며, 29%는 아직 대응을 시작하지 않았다고 답했다.

▲다가오는 규제에 완벽히 대응하고 있다고 답한 기업은 6%에 불과했다[자료=쿤텍]


최신 모델 차량에 더 많은 기술이 내장되면서 수동 프로세스로는 모든 소프트웨어 구성 요소가 안전한지 확인하기 어렵다. 실제로 이번 조사에서 자동차에 사용하는 소프트웨어 개발 코드 수가 지난 2년간 200% 증가한 것으로 나타났다.

사이벨리움은 이에 대비하기 위해 더 많은 팀을 구성하고 직원을 고용하는 것은 효과적인 선택지가 아니라고 설명했다. 2020년 사이버 보안 인력 연구(Cybersecurity Workforce Study)에 따르면 현재 전 세계적으로 300만 개의 사이버 보안 일자리가 있지만, 관련 자동차 임베디드 설계 경험이 있는 사이버 보안 전문가는 여전히 부족한 상황이다. 특히, 자동차 기업은 이러한 사이버 보안 강화를 통한 수익 창출이 명확하지 않은 상황에서 수동 프로세스를 확장하는 것은 경제적으로 의미가 없다고 덧붙였다.

이번 설문조사에서 응답자의 42%는 제조업체와 공급업체 간의 조정 부족으로 인해 시기적절한 취약점 평가가 이뤄지기 어렵다고 답했다. 제조업체는 보안 위협 완화를 위해 취약한 공급업체를 식별할 때까지 공급망을 따라 취약점을 탐지해야 한다. 특히, 보안팀은 보완 요청을 처리하는 사람과 처리 방법 및 시기를 맞추기 위해 내부 및 공급업체 개발 팀과 협력하며, 위협 요소가 식별된 후에도 우선순위 지정 및 버그 수정이 늦춰질 수 있다. 이러한 조정 부족으로 인해 시간과 자원이 낭비되는 경우가 많으며, 결국 제조업체는 생산을 앞두고 특정 취약점을 완화하지 않기로 결정할 수 있다.

보안팀이 공개적으로 보고된 새로운 취약점을 평가하고 이를 보완하는 것은 시급한 문제다. 이번 설문조사에서 응답자의 10% 미만이 새로운 취약점을 발견한 후 24시간 이내에 위험 평가를 수행하는 반면, 무려 58%의 응답자는 2~4주 가량 소요된다고 답했다. 특히, 15%는 취약점 보완에 특정한 기한을 정해두지 않는다고 답했다. 공개된 취약점을 빠르게 제거하지 않으면, 사이버 공격자는 해당 취약점을 학습하고, ‘n데이’ 취약점을 통한 익스플로잇이 가능하다. 자동차 제조업체의 경우 공개된 취약점을 빠르게 보완하지 않으면, 도로에서 달리는 자동차가 보안 위협에 노출되는 셈이다.

▲취약점 제거에 걸리는 시간이 24시간 미만인 기업은 10%에 불과했다[자료=쿤텍]


이러한 상황에서 자동화한 취약점 관리 프로세스는 제조업체의 사이버 보안 기술 부족, 시기 적절한 취약성 평가 및 완화 프로세스, 증가하는 차량 내 소프트웨어 등 오늘날 환경에 대응하기 위한 해결책이다. 하지만, 오늘날 모든 취약점 관리 솔루션이 동일한 형태로 운영되지 않고 있으며, 특히, 대다수의 응답자(74%)는 제품 출시 이후 지속적인 모니터링 등을 지원하는 관리 솔루션을 요구했다. 이는 UNECE WP.29 R155 규정과도 맥락이 같으며, 스마트 자동차가 출시 이후에도 안전하게 유지되도록 제조업체의 책임을 요구한다.

응답자의 52%는 자산관리 기능 역시 요구했다. 효과적인 자산 관리를 통해 업계 관계자는 주어진 모델에 내장된 모든 ECU, 라이선스 및 소프트웨어 구성을 빠르고 쉽게 식별하고 해당 정보를 시간이 지남에 따라 업데이트할 수 있다. 또한, 자산 관리를 통해 물리적 위치, 사업부, 개발 프로그램 등 다양한 속성별로 자산을 분할 수 있으며, 제품 개발 중 혹은 사후에 전체 자산 인벤토리에서 취약성을 자동으로 감지해 익스플로잇이 발생하기 전에 이를 수정할 수 있다.

또한, 맥락 인식 기반 필터링 역시 응답자가 원하는 자동화 솔루션의 상위 3가지 기능 중 하나로 나타났다. 대다수의 응답자(51%)는 자동화된 취약성 관리 솔루션의 중요한 기능으로 정확한 구성을 기반으로 취약성을 필터링하는 기능을 우선시했다. 맥락 인식을 통해 취약성의 잠재적 영향, 특히 가장 시급한 문제에 따라 중재 노력의 우선순위를 지정할 수 있다. 컨텍스트 기반 필터링은 주어진 모델 내의 정확한 구성을 기반으로 관련 없는 취약점을 제거한다. 취약성 관리 솔루션의 일부인 맥락 인식 기반 필터링을 통해 제품 보안팀은 노력의 우선순위를 지정하고 보안 격차를 신속하게 제거해 취약점 우선순위 지정 및 제거 속도를 높일 수 있기 때문이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)