2015년 지프 체로키 차량을 해킹한 해커 찰리 밀러(오른쪽)와 크리스 발라섹이 보안 콘퍼런스에서 해킹 과정을 설명하고 있다. <사진 : 블룸버그>

2012년 7월 영국에서 BMW 차량이 해킹돼 탈취되는 사건이 발생했다. 3명의 절도범이 신형 BMW 차량을 훔치는 데는 3분밖에 걸리지 않았다. 차에 장착된 도난 방지기도 작동하지 않았다. 경찰 조사 결과, 절도범들은 차량의 자가진단장치(OBD-Ⅱ)에 노트북과 스마트폰을 연결해 스마트키를 복제한 뒤 차를 훔친 것으로 나타났다. OBD는 엔진을 포함한 차량 부품 상태를 확인하고 진단하는 시스템으로, 운전자는 이 장치를 통해 차를 실시간으로 점검할 수 있다. 그런데 이 시스템이 해킹의 표적이 된 것이다.

2014년에는 테슬라 모델 S가 중국 인터넷 보안 업체에 해킹당했다. 테슬라는 2014년 7월 중국 베이징에서 열린 전자 기기 보안 콘퍼런스에서 전기차 ‘모델 S’의 안전성을 강조하며 해킹에 성공하는 해커에게 상금을 주겠다고 발표했다. 테슬라의 자신만만한 모습은 하루 만에 사라졌다. 테슬라 모델 S 차량이 다음 날 해킹당했기 때문이다. 중국 보안 업체 치후360은 모델 S의 스마트폰용 모바일앱 6자리 코드를 해킹해 차량을 원격 제어했다. 해킹당한 모델 S는 주행 중 급제동이 걸리고 트렁크가 열리기도 했다. 해킹을 통해 심각한 사고가 발생할 수 있다는 사실을 확인한 셈이다.

단순한 이동 수단이었던 자동차가 다양한 디지털 통신 기술을 만나 진화하면서 ‘자동차 보안’이 중요한 이슈로 떠오르고 있다. 차량을 제어할 수 있는 통신 기술에 불법 접근해 차량 오작동을 유발하거나 운행 정보를 탈취하는 등의 보안 위협이 커졌기 때문이다.

글로벌 완성차 업체들은 스마트카 개발에 총력을 기울이고 있다. 스마트카는 운전자와 자동차, 교통 인프라, 교통 상황 등을 유기적으로 연결해 안전하고 편리한 운행을 돕고 차 안에서 뉴스·날씨·영상·음악 등 다양한 콘텐츠를 실시간으로 이용할 수 있게 한다. 스마트카의 기본 구조는 일반 차와 같다. 동력을 발생시키는 엔진과 주행 방향을 조작하는 조향장치, 주행 중인 차를 감속·정지시키는 제동장치로 구성돼 있다.


‘움직이는 컴퓨터’ 스마트카 보안 위험 커져

스마트카가 일반 차와 다른 점은 이 모든 장치를 전자적으로 제어하는 전자제어장치(ECU)가 있다는 점이다. 차가 움직이는 거대한 컴퓨터가 된 셈이다. ECU는 무선 인터넷으로 자동차 컴퓨터 제어장치 진단도구인 CAN(Controller Area Network)과 연결돼 서로 통신한다. 전자 시스템에 의해 주행 전반이 제어되고 이 모든 과정이 다양한 요소와 연결되면서 운전자는 더 안전하고 편리하게 차를 운행할 수 있게 됐다.

하지만 스마트카가 등장하면서 해커의 공격 위험성도 함께 커졌다. 불법적으로 차 시스템에 접근해 운전자의 의도와 다르게 차를 작동시켜 사고를 발생시킬 수 있기 때문이다. 최근 각국에서 시행된 실험에서 이런 위험성이 극명하게 확인됐다. 독일 자동차운전자협회(ADAC)는 지난해 자체 개발한 해킹 장치로 차량 내 라디오 주파수를 조작해 센서가 차 주인이 근처에 있다고 오인하게 만들어 차 문을 열고 엔진을 가동시켰다. ADAC가 수십 개의 차종을 대상으로 실험한 결과 BMW, 아우디, 도요타, 닛산, 폴크스바겐, 현대·기아차, 쌍용차 등 대부분 글로벌 완성차 업체의 차를 해킹할 수 있었다.


테슬라는 모델 S의 안전성을 강조했지만 중국 보안 업체에 의해 해킹 당했다. <사진 : 블룸버그>


車 업체들 자체 방어시스템 구축나서

2015년 미국에서는 피아트 크라이슬러의 지프 ‘체로키’를 해킹해 원격으로 조종하는 시연이 있었다. 차 전문 해커인 찰리 밀러와 크리스 발라섹은 차량에서 16㎞ 떨어진 곳에서 노트북으로 인포테인먼트 시스템 ‘유커넥트 라디오’에 접근해 차량을 원격 조종했다. 시속 110㎞로 고속도로를 달리던 차가 급정지했고, 마구잡이로 핸들이 움직이며 곡예 운전이 이어졌다. 앞 유리 와이퍼가 작동하고 운전자의 시야를 가릴 만큼 많은 세정액이 뿜어져 나왔다. 차는 결국 도로를 이탈해 구덩이에 처박혔다. 이 동영상이 공개된 후 피아트 크라이슬러는 지프 체로키 140만 대를 리콜했다.

해커는 차를 제어하는 시스템에 침입해 내부 데이터를 조작하거나 차량 간 통신(V2V)을 방해할 수 있다. 악성코드 감염이나 해킹을 통한 통신 교란을 일으키거나 GPS 신호 수신을 막아 주행을 방해할 수도 있다.

스마트카의 취약한 보안을 개선하고 해커의 공격에 대비하기 위해 글로벌 업체들은 자체적인 방어 시스템을 구축하고 있다. 제너럴 모터스(GM)는 지난해 자율주행차 스타트업  ‘크루즈오토메이션’을 10억달러에 인수한 데 이어, 2015년 지프 해킹을 시연했던 밀러와 발라섹을 영입했다. 해킹 기술을 역으로 방어에 활용하기 위한 것이다.

도요타와 닛산, 혼다 등 일본 업체들은 차 해킹을 막을 공동 방어 체제를 구축해 관련 정보를 공유하고 방어 시스템을 마련하기로 했다.

글로벌 자동차 업체들의 집단적 대응도 이뤄지고 있다. 글로벌 차 업체들은 해킹 위험에 대응하기 위해 2015년 8월 정보 공유 분석 플랫폼인 ‘Auto-ISAC’를 설립했다. Auto-ISAC는 자동차가 전장화, 첨단화함에 따라 발생하는 외부 해킹을 방어하고 보안 기술을 강화하기 위해 정보를 공유하며 대응 매뉴얼을 마련하고 있다.

Auto-ISAC는 지난해 자동차 해킹을 방지·대응하기 위해 7가지 가이드라인을 내놓았다. 가이드라인에 따르면 해킹 공격에 대응해야 하는 기업은 위험과 보안을 관리·평가하기 위한 경영진의 거버넌스와 의사 결정 프로세스를 구축하고 공격에 대비한 보안 체계를 설계해야 한다. 위험을 탐지하고 평가할 수 있어야 하고 사고가 발생한 후에는 시스템을 복구할 수 있는 능력을 갖춰야 한다. 또 지속적인 교육을 시행하고 위험을 인지해야 하며 위협에 대응하기 위해 외부 기관과 협력해야 한다.


plus point

자동차 보안 시장 경쟁 심화


자동차 보안 시장에 뛰어든 ‘IBM시큐리티’. <사진 : IBM시큐리티>

자동차 보안에 대한 관심이 커지며 이 시장을 선점하려는 업체 간 경쟁도 심화되고 있다. 글로벌 IT 업체들은 이미 스마트카 보안 시장에 뛰어들고 있다. IBM시큐리티는 지난달 차와 사물인터넷 보안에 집중하는 새 보안 테스팅 부서를 신설했다며 스마트카와 스마트장비를 생산하는 업체에 서비스를 제공할 것이라고 밝혔다.

앞서 인텔은 차 보안을 전문적으로 연구하는 위원회 ASRB(Automotive Security Review Board)를 설립했다. 분야별 보안 전문가로 구성된 ASRB는 차 보안 평가, 모범 사례 분석, 보안 강화 방안 등을 제안할 계획이다.

관련 기술 개발도 이어지고 있다. SK텔레콤은 최근 스마트카에 적용할 수 있는 ‘양자 난수(亂數) 생성 칩’ 시제품 개발에 성공했다고 밝혔다. 가로·세로 5㎜ 크기의 이 칩은 양자(물리량의 최소 단위)의 특성을 이용해 일정한 규칙이 없는 난수(불규칙한 무작위 숫자)를 만드는 장치로, 해킹을 막는 통신 암호로 활용된다.

연선옥 기자

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com