자동차 사이버보안 가이드라인 알아보기

2017년 개봉된 "분노의 질주: 더 익스트림" 이란 영화를 아시나요? (모르시는 분은 여기를 참조하세요.)

출처: Youtube

 

이렇게 자동차들이 누군가에 의해 해킹을 당해 원하지 않는 조작을 하게 되면 어찌 될까요?

재산상 피해는 말할 것도 없고, 인명 피해까지 발생할 수 있을 겁니다.

그래서 최근 자동차 업계에서는 이러한 문제를 미연에 방지하기 위해 "Cyber Security" 관련 규정과 법규를 제정하였고요, 국내에서도 이에 대한 가이드라인이 벌써 4년 전 2020년에 나와 있었답니다.

오늘은 2020년 12월에 국토교통부에서 발행된 "자동차 사이버보안 가이드라인"에 대해 간략히 정리해 보고자 합니다.

 

출처: 국토교통부

1. 주요 내용

2020년 12월 국토교통부에서 발간한 "자동차 사이버보안 가이드라인"은 그 배경으로 자동차의 전자제어장치 증가와 통신 연결로 인해 사이버보안 취약점과 위협이 증가하였고, 사이버보안 공격으로 인해 최악의 경우 사망에 이르는 인명 사고로 이어질 수 있어 자동차에서 사이버보안 확보가 필수적이라고 밝히고 있습니다. 따라서 정부차원에서 사이버보안 국제표준을 바탕으로 국내 법체계에 맞게 제도화하여 자동차 제작사들이 사이버보안을 확보 할 수 있도록 지원하는 것을 목적으로 한다고 기술되어 있습니다.

아울러 자동차 사이버 보안 국제표준의 주요 내용을 설명하고 있으며, 대상으로는 승용차, 승합차를 비롯한 화물차까지 망라하여 전자제어 장치가 장착된 트레일러, 자율주행 기능이 장착된 초소형차까지를 대상으로 하며, 제작사는 차량 사이버보안 관리를 위한 체계(CSMS)를 갖추고 차량 형식에 대한 위험평가와 관리를 수행해야 한다고 밝히고 있습니다.

이를 위해 국제표준인 (UNR No.155)를 바탕으로 국내 기준에 대비 할 수 있도록 권고사항 및 승인/시험기관의 역할 등을 제시하고, 위험 평가와 위험관리, 사이버보안 관리체계와 구축 및 운영에 관한 상세한 절차와 요구사항을 설명하고 있습니다.

그밖에 법제화 필요성 및 자동차 보안 지원 및 대응 체계를 위한 시스템 구축 계획까지 밝히고 있습니다.

 

2. 자동차 사이버보안 확보를 위한 권고안

이 가이드 문서에서 가장 중요한 부분이라고 생각됩니다. 바로 자동차 사이버보안 확보를 위한 권고안인데요. 이는 자동차 제작사와 관련 기관들이 사이버보안을 효과적으로 유지할 수 있도록 다양한 조치를 포함하고 있습니다.

사이버보안 관리체계 (CSMS) 구축

• 목적: 제작사와 보안 전담기관이 사이버보안을 효과적으로 관리하기 위한 체계를 갖추도록 권고합니다.
• 주요요소: 보안 위협 식별, 평가, 관리 프로세스; 차량 보안성 시험 프로세스; 보안 위협 모니터링 및 대응 프로세스.

위험 평가 및 관리

• 위험평가: 자동차의 사이버보안 관련 중요 요소를 식별하고, 전반적인 위험평가와 관리를 수행할 것을 권고합니다. 여기에는 시스템 간의 상호작용, 공급망 위협 등을 고려해야 합니다.
• 위험관리: 수용 가능한 위험 수준을 정의하고, 위험을 적절히 관리하도록 합니다. 이는 자동차 내·외부 시스템의 상호작용과 공급망에 존재하는 위협을 포함합니다.

공급망 보안 관리

• 공급망 위험 관리: 부품 및 서비스 공급망에서 발생하는 사이버보안 위험을 관리하며, 공급업체와의 협력을 통해 위험을 최소화합니다.

모니터링 및 대응

• 지속적인 모니터링: 자동차의 라이프사이클 전반에 걸쳐 지속적인 모니터링을 수행하여 사이버 위협, 취약점 및 공격을 탐지하고 분석합니다.
• 데이터 제공 및 분석: 사이버 공격 발생 시, 이에 대한 분석을 지원하기 위해 필요한 데이터를 제공하는 프로세스를 마련합니다.

협력 및 정보 공유

• 상호 협력: 자동차 제작사는 부품사, 보안전담기관 등과 협력하여 사이버 위협에 대한 정보를 공유하고, 신속히 대응할 수 있는 체계를 갖추어야 합니다.
• 보안 대응팀 활성화: 보안사고 발생 시, 전담 대응팀을 활성화하고 대응절차를 체계화합니다.

국제표준 준수

• UNR No.155 표준: 국제표준(UN Regulation No.155)에 따라 사이버보안 관리체계를 갖추고 인증서를 발급받아야 하며, 이를 기반으로 차량 형식에 대한 보안 조치를 수행합니다.

 

3. 위협 및 보안 조치 목록

위협(Threat)	위협 예시	보안 조치
백엔드 서버에 대한 위협	• 서버에 대한 무단 인터넷 액세스 (백도어, 패치되지 않은 시스템 소프트웨어 취약점, SQL 공격 등) • 서버에 대한 물리적인 무단 액세스 (USB 스틱 등으로 수행) • 백엔드 서버에 대한 공격으로 서버 기능 정지 및 데이터 유출	• 강력한 접근 통제와 모니터링 시스템 구축 • 정기적인 보안 패치와 업데이트 적용 • 서버에 대한 물리적 보안 강화
통신 채널을 이용한 위협	• 많은 양의 쓰레기 데이터를 자동차 정보 시스템으로 전송하여 서비스 거부(DoS) 공격 • 악의적인 V2X 메시지 전송 (I2V 메시지 또는 V2V 메시지) • 블랙홀 공격을 통한 통신 교란	• 데이터 무결성과 신뢰성을 확인하는 프로토콜 사용 • 통신 채널에 대한 실시간 모니터링 및 침입 탐지 시스템 적용 • 공격 탐지 시 즉각적인 대응을 위한 자동화된 대응 시스템 구축
업데이트 절차에 대한 위협	• 무선 소프트웨어 업데이트(OTA) 절차의 손상 (조작된 시스템 업데이트 프로그램 또는 펌웨어 포함) • 로컬/물리적 소프트웨어 업데이트 절차의 손상 • 업데이트 서버 또는 네트워크에 대한 서비스 거부 공격	• 소프트웨어 업데이트 전 암호화 및 무결성 검증 • 안전한 업데이트 전달을 위한 보안 채널 사용 • 업데이트 후 시스템 검증 및 테스트 절차 강화
내부자 위협 및 권한 남용	• 내부자가 권한을 남용하여 시스템을 공격하거나 데이터를 유출 • 정의된 보안 절차를 따르지 않음	• 엄격한 권한 관리 및 접근 통제 시스템 구축 • 내부자 행동 모니터링 및 이상 탐지 시스템 적용 • 정기적인 보안 교육 및 훈련
외부 인터페이스를 통합 위협	• USB 포트, OBD 포트 등을 통한 시스템 공격 • 바이러스에 감염된 매체가 자동차 시스템에 연결	• 외부 인터페이스에 대한 접근 통제 및 모니터링 • 연결된 장치의 보안 검증 및 승인 절차 강화 • 시스템 데이터/코드 보호를 위한 암호화 및 무결성 보장 기술 적용
자동차 데이터 및 코드에 대한 위협	• 소유자 개인정보 정보에 대한 무단 액세스 (개인 신상정보, 결제 계좌 정보 등) • 암호키 추출 및 데이터 변조	• 데이터 보호를 위한 강력한 암호화 기술 사용 • 접근 제어 기술과 설계를 통해 허가받지 않은 접근 방지 • 데이터 무결성 및 기밀성을 보장하기 위한 보안 통제 적용

 

마치며

이 가이드라인은 자동차 사이버보안의 중요성을 강조하며, 국제표준을 바탕으로 국내 자동차 제작사들이 사이버보안을 효과적으로 관리하고 유지할 수 있도록 다양한 권고사항과 정책 방향을 제시하고 있습니다. 주요 내용으로는 사이버보안 관리체계(CSMS) 구축, 위험 평가 및 관리, 공급망 보안 관리, 지속적인 모니터링과 대응, 협력 및 정보 공유, 그리고 국제표준 준수가 포함됩니다. 이를 통해 자동차 사이버보안을 강화하고, 다양한 사이버 공격으로부터 자동차 시스템을 보호하여 안전한 운행을 보장하는 것을 목적으로 합니다.

이제는 해외 여러나라에서 법규화되어 있기 때문에 자동차 판매를 위해서는 필수적인 항목이 된 만큼, 많은 관심이 필요한 분야라고 생각합니다.

 

---

이 글은 국토교통부가 2020년 12월에 발행한 "자동차 사이버보안 가이드라인"을 기반으로 작성되었습니다.

https://www.molit.go.kr/USR/policyData/m_34681/dtl.jsp?search=&srch_dept_nm=&srch_dept_id=&srch_usr_nm=&srch_usr_titl=Y&srch_usr_ctnt=&search_regdate_s=&search_regdate_e=&psize=10&s_category=&p_category=&lcmspage=1&id=4507

 

 

2024.07.28 - [Automotive] - 2024년 지능형교통체계(ITS) 시행계획 정리

2024년 지능형교통체계(ITS) 시행계획 정리

 

2024.07.27 - [System & Software Engineering] - 해외 AI 안전연구소 추진 현황과 시사점

해외 AI 안전연구소 추진 현황과 시사점