중기 자동차 사이버 보안 과제

전기차의 등장으로 자동차 산업에 거대한 변화가 일어났습니다. 더 이상 단순한 과거의 기계가 아닌 자동차는 이제 바퀴 달린 복잡한 컴퓨터 시스템과 같아졌으며, 점점 더 고도로 자율적인 로봇적 존재로 변모하고 있습니다. 이 기사에서는 현대 차량의 복잡한 세계를 탐구하며, 첨단 센서, 방대한 계산 능력, 그리고 연결성과 독립성을 뒷받침하는 수많은 코드 라인을 조사합니다.

이러한 발전으로 인해 기능적 안전 위험과 사이버 공격으로부터 방어할 수 있는 신뢰할 수 있고 강화된 시스템이 절실히 요구되고 있습니다.

2023년을 넘어서는 시점에서 주요 자동차 제조업체들은 차량 디자인과 충전소에서 교통 인프라, 공급망에 이르기까지 모든 운영 측면에 사이버 보안 고려사항을 통합해야 할 필요성에 대해 깊은 우려를 표하고 있습니다. 이 전략은 점점 더 디지털화되는 세상에서 살아남는 데 매우 중요합니다.

컴퓨팅 기술의 발전 덕분에 자동차 산업이 혁신되었습니다. 차량은 이제 제조업체, 소유자 및 운전자와 원활하게 연결되며, 이는 정보 기술과 혁신적이고 협력적이며 다재다능한 스마트 차량의 결합 덕분에 가능해졌습니다. 예를 들어, 사고 시 활성화되는 긴급 호출 또는 GPS를 통한 차량 위치 확인 등이 있습니다. 그러나 차량 연결성이 증가함에 따라 사이버 공격에 대한 취약성도 증가하고 있습니다.

운전자 지원 차량 프로토타입이 빠르게 발전하고 있는 세계에서, 일부는 이미 유럽 및 일본 시장에 데뷔했습니다. 테슬라와 구글 같은 산업 거대 기업들은 이 신흥 분야에 자원을 투입하며 사이버 보안의 중요성을 완전히 이해하고 있습니다. 그들은 첨단 기술이 제공하는 매력적인 전망이 표적 사이버 공격과 같은 위험을 동반한다는 점을 인식하고 있습니다. 따라서 지능형 차량 분야에서 사이버 보안 위험을 해결하는 것이 매우 중요합니다.

전산화된 차량의 약점

자동차 사이버 범죄자들은 차량의 전자 시스템에 영향을 미쳐 차량의 제어권을 장악하려고 하며, 이는 탑승자의 안전에 영향을 미치거나 충돌 시 도로의 다른 차량이나 교통 인프라 자체에 영향을 미칠 수 있는 사고를 일으킬 수 있습니다. 유명 제조업체의 스마트 차량에 대한 사이버 공격 기록이 있습니다.

내용을 변경하지 않고: 텔레매틱스 제어 장치와 중앙 게이트웨이 모듈에 대한 사이버 공격이 가장 일반적입니다. 공격 방식은 차량의 외부와 연결된 다양한 인터페이스를 통한 물리적 접근을 통해 이루어집니다. 온보드 진단 시스템, USB 메모리 또는 셀룰러 네트워크를 통해 차량 전체 네트워크에 접근할 수 있으며, 조향이나 제동과 같은 중요한 기능을 조작할 수 있습니다.

이러한 측면에서 제조업체들은 견고하고 신뢰할 수 있는 사이버 보안 시스템에 대해 열심히 작업하고 있습니다. 2023년에는 사이버 보안 전문가들이 “도로 차량 사이버 보안 엔지니어링” 표준(ISO/SAE CD 21434)의 사용을 권장하며, 이는 잘 알려진 SAE J3061 “Cybersecurity Guidebook for CyberPhysical Vehicle Systems” 표준을 기반으로 하여 차량에 대한 사이버 공격으로 인한 위험을 최소화하려고 합니다.

지능형 차량을 사이버 공격하는 이유

교통량이 많은 고속도로에서 운행 중인 차량을 사이버 공격하여 사고를 유발하는 것은 사이버 테러의 한 예입니다. 자동차 차량과 운송 수단이 테러의 표적으로 간주되는 이유는 이 부문에 대한 공격은 수많은 사용자에게 부정적인 영향을 미치기 때문입니다. 차량을 사이버 공격하는 또 다른 이유는 암시장에서 부품 판매를 촉진하는 차량 도난 협박을 통해 운전자로부터 금품을 갈취하거나, 몸값이 충족되지 않을 경우 납치 또는 살인을 위해 차량의 위치, 내비게이션, 주변 정보, 심지어 운전자와 승객에 대한 정보와 같은 실시간 데이터에 액세스하기 위해서입니다.

데이터 보호 및 개인정보 보호법은 차량 판매 시 차량 판매점이 차량을 구매하는 사람의 신용 카드 정보를 포함한 많은 개인 데이터를 처리할 수 있기 때문에 차량 소유자를 보호하는 데 중요한 역할을 합니다.

소비자 데이터가 노출되어 사이버 범죄자의 손에 넘어가면, 데이터를 판매하거나 다른 유형의 물리적 범죄 행위를 저지르거나 차량의 기능 중 하나에 랜섬웨어를 실행하여 그 기능이 복구될 때까지 사용을 방해하는 심각한 피해가 발생할 수 있음을 말할 필요도 없습니다.

자동차 사이버 보안의 과제

사이버 보안은 자동차 산업 체인에서 다양한 연결 고리들이 공급자로서 참여할 것을 제안합니다: 제조업체, 공급업체, 딜러, 애프터 서비스 워크숍, 충전소 제조업체 및 관리자, 교통 인프라 소유자, 운송업체 및 운전자를 포함하여 사이버 보안 요구 사항을 준수하는 계획에 참여합니다.

유럽은 사이버 보안 분야의 법안, 법률 시행, 규제 이행 측면에서 가장 큰 참고가 되는 국가입니다. 그들의 경험은 필수 참고 자료이며, 이를 통해 스마트 차량의 사이버 보안을 위한 모범 사례의 형태로 일련의 권장 사항이 있습니다. 여기에는 차량의 판매 후 프로세스를 포함하여 관련된 모든 시스템의 총체적인 보호가 포함됩니다. 일반적으로 2023년에 자동차를 보호하기 위한 사이버 보안 과제가 언급되어 있습니다:

• 주요 차량 위험을 식별하고 우선순위를 정하기 위한 위험 기반 방법론을 정의합니다.
• 커넥티드 및 자동화된 차량의 설계를 기반으로 개인 정보 보호 및 보안을 보장합니다.
• 제조업체는 차량이 판매되기 전에 자율 주행 차량에 업데이트를 설치하여 취약점을 줄일 책임이 있습니다.
• 애프터서비스 워크샵은 차량이 판매된 후 보안 문제 발생 시 대처하기 위해 차량에 사이버 보안 서비스를 제공하는 역할을 담당하며, 사이버 공격 발생 시 취약점을 해결하는 소프트웨어 업데이트를 수행할 수 있고 애플리케이션을 재구성 및 비활성화하여 차량 기능이 계속 활성화되고 차량 탑승자와 환경에 위험을 초래하지 않도록 하는 메커니즘을 갖추고 있습니다.

이를 위해서는 다른 산업과 마찬가지로 자격을 갖춘 사이버 보안 엔지니어가 부족한 자동차 산업에서 사이버 보안에 대한 전문화가 필요하며, 이를 충족하기 위해 기업은 자동차 전용 사이버 보안 프로세스를 강화하기 위한 노력을 기울이는 것이 필수적입니다.

스마트 차량의 사이버 보안에 관한 시민 교육

보안 전문가들은 지속적인 교육 프로그램에도 불구하고 대다수의 사람들이 여전히 자동차의 사이버 보안 상태를 파악하는 것이 얼마나 중요한지 이해해야 한다고 생각합니다. 시간이 지날수록 점점 더 많은 사람들이 자동차의 사이버 보안에 주의를 기울이고 오래된 사이버 보안 시스템으로 인한 위험을 인식하기 시작할 것입니다.

2019년부터 미국의 자동차 제조업체들은 시민 보호를 위해 시행된 일련의 정부 규제에 따라 사이버 보안 시스템 유지의 중요성에 대한 캠페인을 진행하고 있으며, 그 주요 내용은 다음과 같습니다:

• 사이버 공격에 대한 보호: 미국에서 판매되는 각 차량의 전자 시스템에 대한 진입 지점은 사이버 공격으로부터 보호할 수 있도록 장비를 갖추어야 하며, 중요한 소프트웨어 시스템을 중요하지 않은 시스템과 분리하는 격리 조치를 포함하고, 사이버 보안 취약성에 대해 평가하고 침투 테스트를 적용할 필요가 있습니다.
• 수집된 정보의 보안: 차량의 전자 시스템에 의해 수집된 데이터는 무단 접근을 방지하기 위해 보호되어야 합니다. 반대로, 데이터는 차량 내에 저장되며 차량에서 다른 장소로 전송될 때와 차량 외부에서 데이터가 저장되거나 사용될 때 저장됩니다. 이는 특히 차량을 임대하는 비즈니스에 적용됩니다.
• 사이버 공격 탐지, 보고 및 대응: 미국에서 판매용으로 제조된 모든 차량은 진입 지점이 있을 경우 차량의 운전 및 제어 데이터를 가로채려는 시도를 즉시 탐지하고 보고하며 대응할 수 있는 기능을 갖추어야 합니다. 렌트용이라면 사이버 보안 시스템을 업데이트하기 위한 더 엄격한 계획을 제시해야 합니다.
• 사이버 보안 패널: 모든 차량에는 표준 그래프를 통해 누가 운전하는지 알리고 보호 및 개인정보 보호 수준을 쉽게 이해할 수 있는 사이버 보안 패널이 있어야 합니다.

위에 언급된 이니셔티브는 다른 국가에서도 검토 중입니다. 사이버 보안 전문가들은 교통 당국이 사이버 위협과 사이버 공격을 식별, 탐지, 보호, 대응, 복구하는 데 도움이 되는 자동차 부문의 사이버 보안을 조정하는 기관을 설립할 것을 권고합니다.

결론적으로

자동차 부문에서 사이버 보안에 대해 이야기한다는 것은 차량의 설계부터 사이버 보안 및 개인 정보 보호는 물론 충전 시스템, 차량이 순환하는 도로 또는 교통 관리 시스템과 같이 차량이 이후에 상호 작용할 모든 요소를 고려하는 것을 의미하며, 이 모든 것이 차량의 공급망과 문제가 발생할 경우의 근본적인 책임을 고려합니다.

사이버 보안과 개인정보 보호를 설계 단계에서 통합하기 위해서는 차량 및 부품 제조업체에서 사이버 보안 문화를 육성해야 하며, 이를 통해 사이버 보안 정책을 정의하고 관리하고, 사람들을 교육하며, 차량 개발을 위한 생애 주기를 채택하고, 가능한 사이버 위협 및 사이버 공격에 대한 대응을 고려할 수 있도록 해야 합니다. 사용자의 교육은 차량의 사이버 보안 상태와 사이버 보안 실패 시 사용자의 책임을 아는 것을 포함합니다.