보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 인터뷰

[테크칼럼] 자동차 사이버보안 인증 ② VTA를 아무나 못 하는 이유

입력 : 2023-11-15 10:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2022년 7월부터 유럽에 출시되는 모든 신규 차종과 2024년 7월부터 모든 신차는 VTA 충족해야
VTA(형식승인), UN의 사이버보안 관리체계 인증을 차량에 반영했는지 검증하는 것


[보안뉴스= 구성서 페스카로 글로벌사업개발본부 이사] 자동차 사이버보안 규제 등장은 더이상 새로운 뉴스가 아니다. 이제는 ‘무엇을 해야 하느냐’가 아닌 ‘어떻게 해야 하느냐’가 관건이다. 완성차 제작사(OEM)와 제어기 개발사(Tier)는 보안기술 전문기업과 협력해 관련 규제에 대응하고 있다.

[이미지=gettyimagesbank]


‘페스카로’는 자동차 사이버보안 전문기업으로서 관련 주요 인증(CSMS, ISO/SAE 21434, VTA, SUMS)을 모두 최전선에서 경험하며 ‘국내 유일 자동차 사이버보안 인증 컨설팅 그랜드슬램’을 달성했다. 그 성공 사례를 공유하기 위해 자동차 사이버보안 규제 대응 전략 중 두 번째 단계인 ‘VTA(Vehicle Type Approval)’를 소개한다. VTA의 개념과 요구사항 및 유의사항에 대해 중점적으로 설명한다.

자동차 사이버보안 인증 칼럼의 연재는 ① CSMS와 ISO/SAE 21434의 핵심, ② VTA를 아무나 못 하는 이유, ③ SDV를 위한 필수 전제 조건, SUMS 순으로 진행된다.

1. SDV를 대비하는 사이버보안 규제
소프트웨어를 중심으로 차량이 진화하는 SDV(Software-Defined Vehicle) 시대가 도래하며 사이버보안의 중요성이 날로 커지고 있다. 2020년 6월 UNECE WP.29(유엔 유럽경제 위원회 산하 국제 자동차 기준 조화 회의체)가 UN Regulation No. 155(이하 UN R155)를 제정한 것이 그 방증이다.

UN R155의 요지는 완성차 제작사가 CSMS(사이버보안 관리체계, Cybersecurity Management System) 인증을 획득한 후, 이를 반영해 차량을 개발했는지 VTA(형식승인, Vehicle Type Approval)로 검증하는 것이다. 유럽연합(EU) 27개 회원국이 이 규제를 채택하면서 2022년 7월부터 유럽에 출시되는 모든 신규 차종이 동 규제를 충족해야 하며, 2024년 7월부터 모든 신차로 확대 적용된다. 즉, 유럽 시장에 진출한 완성차 제작사에게 CSMS 인증과 VTA는 ‘필수 요소’이다.

2. VTA의 목적과 요구사항
지난 칼럼에서 소개했듯, CSMS는 자동차의 사이버위협과 리스크를 관리하고, 사이버공격으로부터 차량을 보호하기 위한 조직적인 프로세스와 관리시스템을 의미한다. 시험기관(TS, Technical Service)은 CSMS를 검증해 이상이 없으면 관련 내용을 인증기관(AA, Approval Authority)에 제출하며, 인증기관은 내용 검토 후 이상이 없으면 CSMS 인증서를 발급한다. 이후 차량이 출시될 때마다 해당 차량이 CSMS를 통해 기획·설계·제작·검증되었는지 그리고 차량 내에 적절한 보안 조치나 대책이 반영되었는지 VTA로 확인한다. 이를 위해 시험기관은 완성차 제작사로부터 전달받은 관련 기술 문서를 검토하고 실차 대상 테스트로 검증한다. 시험기관의 검증 결과는 인증기관에 제출되는데, 최종 검토를 거쳐 문제가 없을 경우 해당 차량 형식을 최종 승인한다. 검증 단계에서 진행되는 실차 대상 테스트는 시험기관과 인증기관이 자체적으로 진행하거나 완성차 제작사와 협력하여 진행한다.

▲UN R155 승인 과정[자료=페스카로]


VTA를 위해서는 차량의 위험 평가 및 보안 조치, 충분한 검증시험 등을 수행해야 한다. 차량에 발생할 수 있는 위험을 식별하고, 그 위험을 어떻게 평가하여 어떤 조치를 취했는지 입증해야 하는 것이다. 여기서 ‘조치’는 위험을 제거하거나, 완화하거나, 피하거나, 수용하는 것 중 적절히 판단해야 한다. 아울러 제거 또는 완화 조치를 취할 경우 어떤 보안 기능이 필요한지 분석 후 해당 기능을 적용하고, 보안테스트를 통해 유효성을 검증하는 절차가 필요하다.

사이버보안 대책 요건 및 평가 방법과 관련된 조항은 UN R155의 제5조 승인(Approval)과 제7조 세부 사항(Specifications)에 해당한다. 특히 5조 1항 2호에는 ‘인증기관과 시험기관은 완성차 제작사가 문서화한 사이버보안 조치들이 적용되었는지 해당 차량을 테스트해 확인해야 한다’고 언급되어 있으며, 제7조 3항 6호에는 ‘완성차 제작사는 차량 VTA를 위한 검증시험 이전에 적절하고 충분한 자체 테스트를 통해 보안 조치가 효과적으로 구현됐는지 확인해야 한다’고 명시되어 있다. 결국 인증기관, 시험기관, 완성차 제작사는 보안 테스트를 수행해야 하는데, 어떤 테스트를 수행해야 하는지는 자동차 사이버보안 엔지니어링 국제 표준인 ISO/SAE 21434에 제시되어 있다.

3. VTA를 위한 보안테스트, 무엇을 어떻게 할까?
ISO/SAE 21434에 언급된 자동차 사이버보안 유효성 검증 테스트는 크게 네 가지로 분류한다. 바로 기능 테스트(functional testing), 취약점 스캐닝(vulnerability scanning), 퍼징 테스트(fuzzing testing), 침투 테스트(penetration testing)다.

먼저 ‘기능 테스트’는 제어기에 적용된 사이버보안 기능이 올바르게 구현됐는지 검증하는 것이다. ‘취약점 스캐닝’은 제어기의 소프트웨어나 하드웨어에 알려진 취약점을 찾아 보완하는 것으로, 특히 오픈소스에 대한 취약점을 주로 확인한다. ‘퍼징 테스트’는 제어기나 차량의 외부 접점에 데이터를 무작위로 주입해 소프트웨어나 하드웨어의 취약점을 발견하는 테스트다. 마지막으로 ‘침투 테스트’는 흔히 모의해킹이라 불리며, 해커 관점에서 차량 시스템을 공격해 적용된 사이버보안 조치가 충분한지 판단하는 것이다. 다양한 해킹 기법으로 알려지지 않은 잠재적 취약점을 찾는 것이 또 다른 목적이기도 하다.

완성차 제작사는 VTA를 위해 제어기 개발사에도 보안 강건성을 요구하고 있다. 그렇다면 모든 제어기에 소개된 보안테스트를 전부 수행해야 할까? ISO/SAE 21434 별첨 E에는 CAL(Cybersecurity Assurance Level)에 따른 테스트 방법이 소개되어 있다. 제어기의 CAL은 TARA(Threat Analysis and Risk Assessment)를 수행하여 결정되며, CAL 1에 해당하는 제어기는 기능 테스트와 취약점 스캐닝까지, CAL 2는 퍼징 테스트까지, CAL 3과 4는 침투 테스트까지 수행해야 한다.

VTA를 위해서는 이렇게 제어기와 차량에 적용된 사이버보안 대책이 효과적이라는 것을 적절하고 충분한 테스트로 소명해야 한다.

▲Cybersecurity Assurance Level[자료=ISO/SAE 21434 별첨 E]


* T1 : 요구사항에 기반한 기능 테스트, 무작위 입력 퍼징 테스트, 아이템의 일반적인 지식을 가정한 침투 테스트
* T2 : 요구사항과 컴포넌트 상호작용에 기반한 기능 테스트, 적응형 입력을 통한 퍼징 테스트, 아이템의 전문 지식이 요구되는 침투 테스트


4. VTA 준비 시 유의사항
VTA를 준비할 때 다음 두 가지 사항에 유의해야 한다. 첫째는 테스트를 통해 모든 것을 최종 소명해야 하므로, 제어기 및 차량 대상의 보안테스트 적절성을 충분히 입증할 수 있는 테스트 환경, 기법, 시나리오 등을 준비해야 한다. 둘째는 CSMS가 제대로 구축되어 개발-생산-생산 이후 등 차량 전 라이프사이클에 유기적으로 연동되는지 입체적으로 소명하는 것이다.

사이버보안 시너지를 위해서는 제어기의 취약점을 분석하고 위험을 평가하는 TARA, 계층적 방어로 제어기와 차량을 보호하는 보안솔루션, 보안 기능 및 잠재적인 취약점을 검증하는 보안테스트, 보안 이벤트 발생 시 실시간 대응을 위한 보안 관제시스템 등을 구축해야 한다. 이것들이 모두 유기적으로 연결되어야 하며, 심사 시 실제 차량에서의 유효성을 입증해야 한다.

따라서 사전에 다양한 테스트를 수행하며 다각도로 보안 강건성을 검증하는 것이 중요하다. 예를 들어, 제어기는 CAN 네트워크에 연결되어 있는데 제어기 단품 테스트 시 기능이 활성화되지 않는 경우가 있어 실차 환경 테스트로 보완이 필요하다.

심지어 실차 테스트의 경우에도 정차 및 주행 환경에 따라 테스트 결과가 상이한 사례가 있다. 자동차 사이버보안 전문기업 페스카로는 최근 글로벌 완성차 제작사의 VTA 시연을 앞두고 모의 평가를 수행했다. 차량 정차 시 E-PT(전기차 파워트레인 구동계)에 비정상 메시지를 주입했을 때는 미세한 통신 지연 외에는 영향도를 확인할 수 없었으나, 주행 시 구동이 멈추고 가속 페달이 동작하지 않는 문제가 발생했다. 페스카로 레드팀은 완성차 제작사와 제어기 개발사에 취약점 보고서를 공유했고, 기술 논의를 거쳐 VTA 심사 이전에 보안 패치를 적용했다.

이처럼 성공적인 VTA를 위해서는 보안테스트를 전문적으로 수행할 수 있는 레드팀이 있는지, 다각도 검증이 가능하고 인증 요구사항을 충족하는 테스트케이스를 균형 있게 보유하고 있는지, 레퍼런스를 지속적으로 강화 및 신규 개발하는지 등을 고려해 협력 업체를 선정하는 것이 좋다.

아직 VTA 수행 전인 완성차 제작사와 제어기 개발사가 참고할 수 있도록 페스카로가 참여한 VTA 획득 과정을 공유한다. ① 완성차 제작사 관점에서 TARA 및 컨셉과 보안 사양서, 그리고 보안 성적서 작성을 지원하고, ② 보안 기능에 이상이 없는지 사전에 충분한 테스트로 제어기의 보안성을 향상했다. ③ 또한 실차 대상 테스트를 수십회 수행하고, ④ VTA 심사와 관련된 체크리스트를 개발하여 체계적인 사전 검토 및 점검 사항별 조치 방안을 수립했으며, ⑤ 심사 현장에서 심사관들에게 차량의 보안테스트 및 IT인프라 연동을 시연하였다. 이후 최종 승인 단계까지 밀착 관리하여 완성차 제작사가 VTA를 수월하게 획득하는 데 기여했다.

5. VTA를 관통하는 핵심
CSMS 구축과 VTA 사전 준비 포함, 약 3년간의 준비 과정을 통해 느낀 VTA의 핵심은 ‘철저한 검증 활동(Verification & Validation)’이다. 보안 취약점 완화 및 사이버위협 예방이 전제되어야 양산 이후 발생하는 보안 이벤트 확산을 최소화할 수 있다. 이에 단순히 사이버보안 기능을 적용하는 것을 넘어, 해당 차량에 적용된 사이버보안 조치가 얼마나 강건한지 그리고 보안 신뢰성을 얼마나 지속적으로 유지할 수 있는지 증명해야 한다.

UN R155에는 실차를 대상으로 검증해야 한다고 명시되어 있는데, 앞서 살펴본 것과 같이 정차 및 주행 환경 모두를 고려해야 취약점 교차 검증이 가능하다. 성공적인 VTA를 위해서는 ①다방면의 전문 테스트로 사이버보안 실효성을 검증하여 객관적이고 논리적인 결과 도출이 가능해야 하고, ②심사 체크리스트 조항 및 기술 요구사항에 대한 실무 노하우가 중요하며, ③차량의 전체 수명주기(개발-생산-생산 이후)에 걸친 종합적이고 유기적인 사이버보안 접근이 필요하다. 이것이 VTA를 아무나 못 하는 이유다.

UN R155의 VTA도 획득했다면 마지막 관문인 SUMS 인증이 남았다. 다음 편에서는 SUMS 인증을 획득하기 위한 준비 사항을 살펴볼 예정이다.
[글_ 구성서 페스카로 글로벌사업개발본부 이사(sales@fescaro.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)