[칼럼] 신뢰성 높이는 사이버보안 테스트 방법론 - 권동훈 팀장
지프 체로키를 해킹 시연했던 전설적인 해커, 찰리 밀러(Charlie Miller)는 8년 전 컴퓨터 해킹은 이제 지겹다며 해커들의 관심은 자동차와 열차, 전력 플랜트, 신호등과 같은 기기로 옮겨갈 것을 전망했다. 우리는 모든 기기가 인터넷에 연결되는 사물인터넷(IoT) 시대를 살고 있으며, 곧 차량 사물통신(V2X) 시대가 다가온다. 사이버보안 테스팅은 “좀비카 액션 시퀀스”가 현실화되지 않게 해주는 최소한의 장치로써 무한한 잠재적 가치와 영향력을 갖는다.글 | 권 동 훈 팀장, 페스카로권동훈 팀장2001년 정보보안에 입문해 안랩(AhnLab) 보안위협 분석/대응 전문가로 수많은 밤을 불태웠다. 크고 작은 사이버보안 사건 사고 현장에서 위협 대응 민관(KISA, 경찰, 검찰 등) 협의체에 소속돼 침해사고 및 악성코드(V3) 분석과 대응을 주로 했다. IT 패러다임 변혁기에는 클라우드 보안을 파헤쳐 보기 위해 잠시 SK쉴더스에서 클라우드 보안 전략기획 업무를 맡았다. 어느 날, 지금은 뒤안길로 사라진 북유럽 자동차 브랜드의 파워트레인 ECU를 들여다보게 됐고, 자동차 엔진 제어 매커니즘에 매료돼 남모를 취미 생활을 이어가다가 결국 페스카로 레드팀 팀장으로 합류하게 됐다. 그림 1 | 분노의 질주: 더 익스트림 스틸 컷, 네이버영화뉴욕 도심을 점령한 ‘좀비카’자율주행 소프트웨어를 탑재한 자동차 수백 대가 해킹당하며 뉴욕 도심 교통이 마비됐습니다. 다행히도 현실은 아닙니다. 2017년에 개봉한 영화 ‘분노의 질주: 더 익스트림’의 명장면입니다. 스스로를 ‘보안쟁이’라고 소개한 한 영화 리뷰어는 이를 “DDoS(분산 서비스 거부) 공격을 시각화한 좀비카 액션 시퀀스”라고 설명했고, 역시 ‘보안쟁이’인 필자는 이 표현에 100% 공감했습니다.1)최근 넷플릭스에서 재미있게 감상한 호주 영화 ‘업그레이드(2018)’도 가까운 미래에 AI 기반 완전 자율주행이 구현되는 세상을 배경으로 합니다. 완전 자율주행 기술을 이용해 범죄 현장으로 차량을 이동하고, 또 다른 차량을 해킹해 경찰의 추적을 피하기도 합니다.이런 영화 속 장면의 일부는 이미 현실화됐습니다. 자동차 보안 연구의 선구자로 잘 알려진 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)이 2015년에 고속도로를 달리는 지프 체로키를 원격 해킹하는 데 성공한 것은 유명한 사례입니다. 이들은 차량의 조향과 제동, 구동은 물론이고, 차량 내 온도와 잠금장치 등 다양한 기능 제어가 가능하다는 것을 증명했습니다. 자동차 제작사인 피아트 크라이슬러(Fiat Chrysler)는 당시 관련 모델 140만 대의 리콜을 결정했습니다.2)불과 1년 전에도 독일의 19세 사이버보안 전문가, 다비드 콜롬보(David Colombo)가 차량의 소프트웨어 시스템 결함을 이용해 전 세계 13개국에 있는 테슬라 차량 25대를 원격으로 해킹할 수 있다고 주장했습니다. 트위터에서 시작된 바이럴은 각국 주요 뉴스를 뜨겁게 달구며, 기술 발전으로 인한 사이버 공격의 경각심을 일깨웠습니다.3)자동차 산업은 전통적인 하드웨어 중심 기술과 소프트웨어 중심의 ICT 기술이 융합되는 패러다임 대전환 시기를 겪고 있습니다. 테슬라가 기폭제가 돼, 전 세계 자동차 제작사들은 전기차(EV)를 필두로 자율주행과 커넥티드 카에 대한 비전을 앞다투어 제시하고 있습니다. 그 외에 구글, 마이크로소프트, 카카오와 같은 국내외 빅테크 기업들도 가세하고 있습니다.공공 부문도 예외는 아닙니다. 세계 각국이 미래 국가 경쟁력을 좌우할 모빌리티 산업의 주도권을 선점하고 강화하기 위해 자국 중심주의 정책을 펼치는 등 각축전을 벌이고 있습니다.4) 우리 정부는 글로벌 자율주행 기술 선도 및 상용화를 위해 2018년 경기도 화성에 실제 환경을 재현한 5G 통신망 기반 자율주행차 실험도시 ‘K-City’(그림 2)를 조성했습니다. 디지털 트윈5) 기술을 적용하고, 세계 최초 자율주행 전용 실험도시인 미국 미시간대의 ‘M-City’와 업무 협약을 맺는 등 적극적인 행보를 보이고 있습니다.6)그림 2 | 자율주행 실험도시(K-City) 조감도, 자동차안전연구원‘보안쟁이’인 필자는 K-City에 ‘사이버보안 시연의 장’도 포함되기를 희망합니다. 기술 발전은 양날의 검과 같습니다. 자율주행 기술이 고도화될수록 해킹 기술 또한 발전할 것은 자명합니다. 예를 들어, 향후 차량사물통신(V2X)7) 기술이 상용화되면 차량은 다른 차량, 보행자의 모바일 기기, 도로 및 신호등과 같은 교통 인프라 등 다양한 사물과의 밀도 높은 통신이 이뤄질 것입니다. 그럴 경우 해킹을 통한 차량 자체의 무기화를 넘어, 네트워크 및 인프라 공격을 통한 대규모 사이버 테러 가능성도 배제할 수 없습니다. 현재까지의 사례와 비교 불가한 수준의 사회 대혼란을 야기할 수도 있습니다.많은 사람의 생명과 직결되는 치명적인 자동차 관련 해킹 위협을 완화하고 선제 대응할 수 있는 기술적 대책을 적극적으로 강구한다면, 우리나라가 더 입체적이고 균형 있는 자율주행 선진 기술을 전 세계에 선보이는 데 한 발 더 가까워질 것입니다.R155: 최초 자동차 사이버보안 국제 법규 자율주행과 커넥티비티 기술 발전은 차량 내 전자제어기(ECU) 증가와 통신 복잡성 심화로 연결되고, 이는 필연적으로 자동차 사이버보안 취약점 및 해킹 위험 증가로 이어집니다. 이에 따라 자동차 사이버보안 필요성에 관한 국제적인 공감대가 형성되며, 최초의 국제 규정이 마련됐습니다. UNECE WP.29(유엔 유럽경제위원회 산하 국제 자동차 기준 조화 회의체)는 2020년 6월 ‘유엔 규정 155호(UN Regulation No. 155, 이하 ’UN R155’) - 사이버보안 및 사이버보안 관리체계’를 채택했으며, 이는 2021년 1월에 공식 발효됐습니다.8)그림 3 | UN R155 내용, UNECE본 규정에 따르면 자동차 제작사는 개발, 생산 및 생산 이후 단계에 걸쳐 사이버보안 관리체계(Cybersecurity Management System, ‘CSMS’)를 수립한 것을 인증받아야 합니다. 또한, 그림 4와 같이 판매하려는 차종이 CSMS를 준수해 개발됐는지 개별 제어기 및 실제 차량 수준에서 사이버보안 테스트 수행과 유효성 검증(Validation)을 통해 차량 형식승인(Vehicle Type Approval, 이하 ‘VTA’)을 획득해야 합니다.9)그림 4 | UN R155 차량 형식승인(VTA) 프로세스, 페스카로EU회원국(27개)은 자동차 사이버보안에 대해 본 규정을 채택하거나 자국 법령에 반영했습니다.10) 따라서, 2022년 7월부터 해당 국가에서 판매되는 모든 신규 차종은 해당 법규를 충족해야 하며, 2024년 7월부터는 생산·판매되는 모든 차량을 대상으로 규제 적용이 확대됩니다. 즉, 앞으로 자동차 제작사는 유럽에서 신차를 판매하려면 해당 차종에 대한 사이버보안 테스트와 검증 평가를 통과해야 합니다.사이버보안 테스트 및 검증과 관련된 조항들은 UN R155의 제5조와 제7조에 해당하며, 주요 내용은 아래와 같습니다.11)제5조 승인 (Approval) 1.2항 승인기관(Approval Authority) 또는 평가기관(Technical Service)은 자동차 제작사가 문서화한 사이버보안 조치를 구현했는지 해당 차종의 차량을 테스트해 검증해야 한다.1.3항 자동차 제작사가 제7조 3항에 언급된 요구사항 중 하나 이상을 충족하지 않는 경우, 사이버보안과 관련해 형식승인(Type Approval)을 거부해야 한다.제7조 세부 사항 (Specifications) 3항 차량 형식에 대한 요구사항3.1항 자동차 제작사는 유효한 CSMS 인증서를 보유해야 한다.3.2항 자동차 제작사는 공급업체 관련 위험을 식별하고 관리해야 한다.3.3항 부칙 제5조 파트A에 언급된 모든 보안 위협과 관련된 위험 및 기타 관련 위험을 고려해 위험 평가를 수행하고 적절하게 대응 및 관리해야 한다.3.4항 자동차 제작사는 식별된 위험에 대해 부칙 제5조 파트B, C에 언급된 모든 완화 조치를 수행해 해당 차종을 보호해야 한다. (아래의 그림 5는 관련 예시를 보여준다.)3.6항 자동차 제작사는 차량 형식승인(VTA)을 위한 검증 시험 이전에, 적절하고 충분한 테스트를 통해 보안 조치가 효과적으로 구현됐는지 확인해야 한다.3.7항 자동차 제작사는 해당 차종에 대해 a) 사이버 공격을 탐지 및 예방하고 b) 사이버 공격 및 위협, 취약점 탐지를 위한 모니터링과 c) 데이터 포렌식이 가능해야 한다.그림 5 | 자동차 사이버보안 위협의 예, 자동차안전연구원국내외 자동차 사이버보안 규제 대응 현황자동차안전연구원에 따르면, 우리나라는 UNECE WP.29 사이버보안 전문가기술그룹(CS/OTA IWG, Informal Working Group on Cyber Security & OTA)의 사이버보안 기준 개발 논의 및 검증 테스트 단계에 참여했습니다. 또한, 국내외 주요 자동차 제작사를 포함한 다양한 이해관계자 및 전문가들과 수차례 회의 및 의견 수렴을 통해 2020년 자동차 사이버보안 가이드라인을 제정하였습니다. 우리나라는 현재 UN R155와 같은 국제 기준을 바탕으로 국내 관련 법령 개정을 진행하고 있습니다. 예상 발효 시기는 2023년 7월 말, 예상 시행 시기는 2024년 7월 말이 유력합니다. 다만, UN R155처럼 형식승인(VTA) 방식보다는 제도적 적합성을 고려해 기존의 자기인증 방식을 유지할 것으로 보입니다.주요국 현황으로 미국은 자기인증 제도를 논의 중이며12), 일본은 EU와 같이 UN R155를 채택하였습니다.13)ISO/SAE 21434: 자동차 사이버보안 엔지니어링 국제 표준 ISO/SAE 21434는 자동차 사이버보안 엔지니어링 국제 표준입니다. 제품 기획 단계부터 개발, 생산, 유지 관리 및 폐기까지 차량의 전체 제품 수명 주기에 걸쳐 사이버보안 활동에 관한 프로세스를 정의하고, 관련 요구사항의 기준을 제공합니다. 자동차 제작사는 물론, 부품사와 소프트웨어 업체 등 다양한 이해관계자들이 사용할 수 있습니다.14)UNECE는 UN R155에서 요구하는 사이버보안 관리체계(CSMS) 수립 및 운영 시 ISO/SAE 21434를 참고하도록 권장합니다. 즉, ISO/SAE 21434를 활용해 자동차 전기/전자(E/E) 제어기와 그 인터페이스의 사이버보안 위험 관리 및 거버넌스(governance)를 포함하는 CSMS를 구현할 수 있습니다. ISO/SAE 21434의 전체 구조는 그림 6과 같습니다.15)그림 6 | ‘ISO/SAE 21434 사이버보안 엔지니어링’의 전체 구조, ISOISO/SAE 21434 기반 ‘사이버보안 테스트’ 프로세스는 그림 7과 같습니다. 자동차 사이버보안 전문 기업의 일반적인 규제 및 표준 대응 프로세스와 유사합니다. 전문 컨설팅팀에서 CSMS 인증 컨설팅을 수행한 후, 레드팀의 화이트해커가 TARA, 개별 제어기 및 실제 차량 대상 보안 테스트(침투 테스트, 퍼징 테스트, 취약점 스캐닝), 보안 기능 테스트를 수행합니다. 이를 통해 보안 요구사항 충족 여부를 확인하고, 최종적인 유효성 검증 보고서(Validation Report)를 작성합니다.그림 7 | ISO/SAE 21434 기반 ‘사이버보안 테스트’ 프로세스, 페스카로15절 TARA(Threat Analysis, Risk Assessment) 가장 먼저 해당 차량의 제어기를 대상으로 여러 가지 위협 모델링을 사용해 위협 분석 및 위험을 평가합니다. ISO/SAE 21434 표준에서는 EVITA, TVRA, STRIDE 등의 모델링 접근 방식을 권고하며, 일반적으로 STRIDE 모델링 방식을 많이 사용합니다.9절 Concept TARA가 완료되면 9절에 근거해 대상 제어기의 사이버보안 요구사항을 식별하고, 이를 충족하기 위해 구현해야 하는 보안 통제(Security Control)의 콘셉트(Concept)를 수립합니다. 자동차 제어기에 통상적으로 적용되는 사이버보안 통제 대책은 다음과 같습니다. 1) 접근 통제 관점: Secure boot, Secure access, Secure flash, Secure debug, Memory protection 등 2) 하드웨어 관점: HSM 적용, JTAG/UART 디버그(debug) 포트 제거, BGA 타입 칩(chip) 사용, 본딩(bonding) 등3) 소프트웨어 보안 관점: Secure coding, 암호화, OS 보안 등*여기에서는 사이버보안 테스트에 초점을 맞추고, 개별적인 사이버보안 통제에 대한 설명은 생략하겠습니다.10절 Product Development 10절은 제품 개발 단계로, 9절에서 식별된 사이버보안 요구사항을 구현합니다. 해당 요구사항이 제대로 구현됐는지 검증(Verification)하는 활동이 포함되며, 검증을 위한 테스트 방법으로 아래 네 가지를 언급하고 있습니다.1) 구현한 보안 기능이 제대로 동작하는지 확인하는 보안 기능 테스트2) 해커 관점에서의 침투 테스트(Penetration Test)3) 취약점이 최소화됐는지 확인하는 취약점 스캐닝(Vulnerability Scanning)4) 임의로 무작위 값을 입력해 비정상 동작을 확인하는 퍼징 테스트(Fuzzing Test)11절 Cybersecurity Validation 10절이 개별 제어기를 대상으로 수행하는 검증 활동이라면, 11절은 실제 차량 수준에서 사이버보안 유효성을 확인(Validation)합니다. 양산을 위한 구성과 함께 차량 운용 환경에서 확인하는 것이 중요하며, 이를 통해 최종적인 사이버보안 목표 달성 여부와 불합리한 잔존 위험이 없음을 확인합니다.선제적 보안을 위한 '비기능 테스트'자동차 사이버보안 유효성 검증 테스트는 크게 기능 테스트와 비기능 테스트로 나눕니다. ‘보안 기능 테스트’는 자동차에 적용된 사이버보안 통제 대책을 위한 기능(또는 적용된 보안솔루션)이 올바르게 구현됐는지 검증하는 것을 말합니다. ‘비기능 테스트’는 앞서 ISO/SAE 21434 표준에서 제시한 아래 세 가지 방법이 있습니다.1) 침투 테스트 (Penetration Test) 해커 관점에서 대상 차량 시스템을 공격(윤리적 해킹)해 적용된 사이버보안 대책을 평가하고 갭(gap)을 식별한 후 보완 조치하는 것을 목표로 합니다. 다양한 해킹 기법을 이용해 발견되지 않은 취약점을 찾아내는 데 집중합니다.2) 퍼징 테스트 (Fuzzing Test)무작위 또는 적응형 입력을 반복적으로 전송하거나 횟수를 증가시켜 전송함으로써 소프트웨어의 강건성을 확인하는 것을 목표로 합니다.3) 취약점 스캐닝 (Vulnerability Scanning)안드로이드/리눅스 등과 같은 임베디드 운영체제와 애플리케이션 개발 시 사용한 오픈 소스를 대상으로, 알려진 보안 취약점을 찾아 패치 또는 하드닝(Hardening) 등의 보완 조치를 합니다.신뢰성 높이는 사이버보안 테스트 방법론 (feat. 다섯 가지 노하우) 최초의 사이버보안 국제 규정이 시행된 지 이제 한 해가 지났습니다. 세계 각국 정부는 법규 채택 및 법령 개정 등 법제화를 추진 중이며, 유관기관들은 규제 세부 요건에 관한 보다 명확한 제도적 기준을 정립하기 위해 노력하고 있습니다. 현재 제공되는 자료들은 큰 방향성에 대한 가이드로 활용할 수 있으며, 보안테스트 설계 및 수행 등에 관한 세부적인 내용은 사이버보안 전문 기업들의 재량적 해석과 기획을 기반으로 하는 경향을 보입니다.필자는 자동차 사이버보안 전문 기업 페스카로에서 레드팀(Red Team)을 이끌며, 글로벌 자동차 제작사의 CSMS 및 VTA 인증 획득에 대한 보안테스트 대응 성공사례를 보유하고 있습니다. 페스카로는 자동차 사이버보안 전문 기업으로 CSMS, IOS/SAE 21434, SUMS, VTA까지 국내에서 유일하게 사이버보안 관련 인증 컨설팅 그랜드슬램(Grand Slam)16)을 달성했으며, 수백 건이 넘는 사례를 접하는 글로벌 평가기관(Technical Service)의 심사관으로부터 우수한 평가를 받았습니다. 이것이 가능할 수 있었던 “페스카로 레드팀이 체득한 다섯 가지 노하우”를 포함해 사이버보안 테스트 신뢰성 제고를 위한 방법들을 살펴보겠습니다.1) 공격 준비를 위한 탐색전 보안 테스트는 자동차 외부로 노출된 공격 표면(Attack surface)을 식별하고 공격 벡터(Attack vector)를 찾는 것에서 시작합니다. 공격 분류 체계는 일반적으로 공격자의 행위를 중심으로 분석하는 Cyber Kill-Chain과 MITRE ATT&CK 매트릭스가 있으며, 방어자 입장에서 분류하는 Threat Hunting 방식도 존재합니다. 보안 테스트 시작 단계는 MITRE ATT&CK 매트릭스(그림 8)에서 COMPROMISE 카테고리의 Reconnaissance와 Initial Access 방법에 해당합니다.그림 8 | MITRE ATT&CK 매트릭스, MITRE ATT&CK그림 9는 자동차 외부에서 접근 가능한 공격 표면의 예를 보여줍니다. 공격 표면이란, 권한이 없는 사용자 또는 공격자가 잠재적인 취약점을 이용해 시스템에 무단으로 액세스하거나 제어할 수 있는 차량 시스템 또는 소프트웨어의 다양한 접점을 말합니다. 접점은 접근 위치에 따라 원격(Network), 근거리(Adjacent), 로컬(Local), 피지컬(Physical)로 구분합니다. 예를 들어, OTA(무선 업데이트, Over The Air)를 위한 Cellular나 Car to Home/Home to Car를 위한 Wi-Fi, GPS 등은 원격에 해당하며, Keyless entry를 위한 LF/RF, 미디어 연결을 위한 Bluetooth, 결제를 위한 NFC는 근거리, 자동차 전자제어기 간 내부 연결을 위한 CAN, Automotive Ethernet 등은 로컬에 해당합니다. 그림 9 | 공격 표면 예시, 페스카로공격 표면 식별 후에는 공격 벡터를 찾습니다. ‘공격 벡터’는 공격자가 대상 차량을 공격하는 수단 또는 방법을 뜻합니다. 그림 10은 공격 표면별로 공격 벡터를 정리한 것입니다.공격자 입장에서는 공격 수단과 방법이지만, 방어자의 입장에서는 보안 위협에 해당합니다. ISO/SAE 21434에서는 위협 모델링으로 앞서 설명한 STRIDE를 권장합니다.그림 10 | 주요 공격 벡터, 페스카로그림 11 | STRIDE 기반 보안 위협 식별, Institute of Energy Efficient Mobility(IEEM)2) 보안 테스팅의 유효한 기준 ‘지속 관리’공격 수행을 위한 테스트케이스(Testcase) 세부 설계에 앞서, 더 상위 기준이 되는 사이버보안 테스트 항목 도출이 필요합니다. 페스카로 레드팀은 지난 몇 년간 다양한 조건의 보안테스트 수행을 통해 사이버보안 테스팅의 유효한 기준을 수립했습니다. 백여 건이 넘는 테스트케이스 설계 및 수행을 반복하며 해당 기준을 지속 보완 및 강화하고 테스트케이스를 개선해왔습니다. 이를 통해 입체적이고 밀도 높은 사이버보안 테스트 시스템을 갖추게 됐고, 명확한 세부 지침이 부재한 상황에서 그간 구축해온 유효한 기준은 큰 경쟁력으로 작용하고 있습니다.사이버보안 분야는 불안정성과 불가분의 관계에 있기에 명백하고 구체적인 세부 지침을 확정하는 것이 어렵습니다. 따라서, 데이터 수집 및 분석 활동 등 연구개발을 통해 러닝하며 인사이트를 얻고, 그를 다시 업무에 반영하며 개선하는 지속적인 사이클이 매우 중요합니다. 소위 CI(Continuous Integration), CT(Continuous Testing), CX(Continuous Something) 등으로 일컬어지는 CD(Continuous Development) 순환 방식을 보안 테스팅에 적용하는 것입니다.3) 통합 환경 테스트 (같은 테스트케이스, 다른 결과)UN R155 인증 획득을 위해 보안테스트에서 가장 중요하다고 생각하는 것은 “실차 기반 주행 환경을 포함한, 통합 환경에서 검증을 수행하는 것”입니다. 결과에 있어 확실한 차이를 만들어내는 것을 직접 경험했기에 반드시 고려해야 한다고 강조하겠습니다. 동일한 테스트케이스를 활용하더라도 개별 제어기와 실제 차량의 정차 및 주행 환경 등 테스트 환경에 따라 다양한 결과가 나타납니다. 각 테스트 환경은 그 자체로도 충분히 유의미하지만, 통합 환경에서 테스트 수행 시 시너지가 발생하며 검증의 폭과 깊이가 확장됩니다. 사이버보안 테스트 결과가 구동-조향-제동과 같은 주행 환경에서 어떤 영향을 유발하는지 두 가지 사례를 살펴보겠습니다.우선, 그림 12는 실차 기반 주행 테스트 결과를 보여주는 그래프입니다. 녹색 실선은 공격이 없는 상태에서 측정된 엔진 속도(RPM)이고, 주황색 점선은 공격 상태에서 측정된 것입니다. 테스트를 위해 주행 환경에서 Powertrain CAN을 대상으로 Fuzz data를 주입하였고, 결과적으로 비정상적인 변속 타이밍으로 인해 기준 엔진 속도와 차이가 발생한 것이 확인됩니다. 하지만, IGN ‘ON’ 후 정차 환경에서 Fuzz data 주입 시에는 CAN 통신의 중단이나 기타 영향이 없었습니다. 나머지 테스트 조건은 모두 같았지만, 주행 환경 테스트와 상이한 결과가 도출됐습니다.그림 12 | 주행 테스트 결과, 페스카로최근 페스카로는 글로벌 자동차 제작사의 양산 준비 중인 전기차를 대상으로 VTA 평가 시연을 앞두고, 다양한 조건에서 모의 평가를 수행하며 보안 취약점을 추적 및 보완 조치 중이었습니다. 그런데, 주행 환경 테스트 중 E-PT(전기차 파워트레인 구동계)를 대상으로 비정상 메시지 주입 시 구동이 멈추고 가속 페달이 동작하지 않는 문제가 발생했습니다. 동일한 조건의 정차 환경 테스트 시에는 미세한 통신 지연 외에는 영향이 없었던 부분입니다. 즉시 해당 제어기 개발사에 관련 내용을 공유하고, 관계자들과 충분한 기술 논의를 거쳐 소프트웨어 패치를 적용한 이후에 양산하는 것으로 결정됐습니다. 최종 평가 이전에 통합 환경 기반의 입체적인 테스트 수행을 통해 보안 조치가 효과적으로 구현됐는지 다각도로 확인한 덕분에 잠재적인 취약점을 사전 발견해 보완할 수 있었고, VTA 인증 시연도 성공적으로 마무리됐습니다.4) 맞춤형 테스트케이스 설계 및 수행 보안테스팅 방향성을 수립하고 사이버보안 테스트 항목을 도출하는 등 기준을 잘 세웠다면, 이제 공격 수행을 위한 테스트케이스를 작성합니다. 페스카로는 지난 몇 년간 백여 개가 넘는 맞춤형 테스트케이스를 설계하고 실제로 수행해왔습니다. 그림 13의 테스트케이스 템플릿 예시는 업계 전반에 걸쳐 일반적으로 고려되는 요소들과 필자가 성공 사례를 바탕으로 체득한 ‘반드시 포함해야 하는 사항’을 정리한 것입니다. 이를 바탕으로 자동차 제작사 및 차종별 특성을 고려한 최적화 테스트케이스 설계까지 가능하다면, CSMS 및 VTA 인증 대응 시 좋은 평가를 받을 수 있을 것으로 기대합니다. 참고로, 테스트케이스 설계 내용은 테스트 완료 후 유효성 검증 보고서(Validation Report)에 반영될 수 있습니다.그림 13 | 테스트케이스 템플릿 예시, 페스카로5) 본격 내부 침투(INFILTRSTION) 및 완전한 장악화이트해커가 공격 표면을 대상으로 다양한 공격 벡터 기반의 비기능 침투테스트를 통해, 로컬/원격 코드 실행 및 액세스 등에 성공할 수 있습니다. 이 단계는 MITRE ATT&CK 매트릭스(그림 8) COMPROMISE 카테고리의 Execution, Persistence에 해당합니다.내부 침투 및 확산을 위한 Lateral Movement가 최종 목적이며, 내부 장악 완료 시 데이터 수집과 명령 및 제어를 통해 의도한 목적을 달성하게 됩니다. 이 단계에서는 MITRE ATT&CK 매트릭스 INFILTRSTION 카테고리의 Privilege Escalation, Defense Evasion, Credential Access, Discovery 등 다양한 방법을 동원하게 됩니다.보안 테스팅을 위한 가상화 기술 전망 실차 기반 주행 환경의 사이버보안 테스트에도 단점은 있습니다. 기상 조건, 안전성, 테스트 시간과 비용 등 다양한 고려 사항이 있으며, 이러한 측면에서 경쟁력을 지닌 가상화 기술을 사이버보안 테스트에 접목하는 것도 가능합니다.이미 차량 전장제어기의 소프트웨어 개발과 테스트에 HIL17), SIL18)이라는 가상 시뮬레이션 시스템이 사용되고 있습니다. 최근에는 디지털 트윈과 가상화 기술의 발전으로 가상으로 차량을 시뮬레이션할 수 있는 VIL(Vehicle in the Loop) 통합 시뮬레이션 개념도 도입되고 있습니다. 차량의 센서와 액추에이터 시스템을 가상화하고 차량의 주행-조향-제동 등의 동역학 시스템, 디지털 트윈 기술을 통한 주행 환경까지 가상화해 차량 통합 시뮬레이션 시스템을 구성할 수 있습니다.19)여기에 사이버보안 테스트를 추가하려면 보안테스트 도구 연동 인터페이스와 테스트케이스 통합 등 추가적인 개발이 필요합니다. 이해관계자에 따라 비용, 활용성, 범용성 측면에 대한 고려는 분명히 필요하겠지만, VIL 환경의 사이버보안 테스트는 실차 기반 주행 환경 테스트를 일부 대체할 수 있는 매력적인 선택지임은 분명해 보입니다.테스트 자동화를 통한 효율 제고테스트 자동화(Automation) 또한 가상화 기술만큼 큰 관심을 받고 있습니다.차량에 사소한 기능이 변경되더라도 다시 보안 테스트를 통해 사이드 이펙트가 없는지, 새로 발견된 취약점은 없는지 등 사이버보안 유효성을 재검증하는 것이 필수적입니다. 어떤 나비 효과를 가져올 수 있을지 아무도 알지 못하기 때문입니다. 사소한 기능이 변경될 때마다 엔지니어 또는 화이트해커가 매뉴얼로 수행하는 것보다는 자동화하는 것이 효율적이기에, 귀한 인적 자원을 효율적으로 활용하고 싶은 기업들 입장에서 매우 반가운 기술 임에 틀림이 없습니다. 사이버보안 테스트 자동화에 대한 선진사례로 언급되는 미국의 블록 하버(Block Harbor)가 있습니다. TARA, 차량 보안 운영 센터(Vehicle Security Operation Centers, VSOC)와 같은 사이버보안 설계 및 운영 서비스를 수행하며, 차량과 개별 제어기를 대상으로 UN R155 관련 테스트를 위한 ‘UNR155 Mitigation Test Suite System’도 제공합니다.20) 또한 미국 모빌리티 센터(American Center for Mobility, 이하 ‘ACM’)와 공동으로 미래차 사이버보안 솔루션을 개발합니다.21)블록 하버는 한국에서 필자가 소속돼 있는 사이버보안 전문 기업 페스카로와 파트너십을 맺고 있으며, 국토교통부 산하 한국교통안전공단 자동차안전연구원에서 추진하는 사이버보안 관련 여러 국책 사업에 함께 참여하고 있습니다. 2024년 7월 자동차관리법 시행을 앞두고 <사이버보안 지원 및 대응 체계 수립 사업> 및 <사이버보안 검증 및 평가를 위한 테스트 자동화 사업> 등이 병행 추진되며 유기적 연동으로 운영 시너지를 극대화할 것으로 기대됩니다.맺음말 소프트웨어 정의 차량(SDV)으로 전환이 가속화되며, 소프트웨어 결함으로 인한 리콜 이슈가 종종 뉴스를 뜨겁게 달굽니다. 최근 우려와 기대를 동시에 안고 ‘세계 첫 24시간 로보택시 도시’가 된 샌프란시스코에서는 부작용이 속출하고 있습니다.해외 보안전문업체(UPSTREAM)의 자동차 사이버보안 동향에 따르면 최근 3년간 자동차 침해사고 건수가 급격하게 증가하고 있고, 신규 발생 취약점 역시 매년 2~3배씩 급증하고 있습니다.22)23) 사이버보안은 생명력이 있는 분야입니다. 날로 지능화되는 해킹 위협에 대응하기 위해, 화이트해커들도 더 체계적이되 변칙적으로 사이버보안 유효성을 검증하고, 기존 대책을 보완하고 강화하는 활동을 지속합니다.지프 체로키를 해킹 시연했던 전설적인 해커, 찰리 밀러는 8년 전에 컴퓨터 해킹은 이제 지겹다며, 해커들의 관심은 자동차와 열차, 전력 플랜트, 신호등과 같은 기기로 옮겨갈 것을 전망했습니다.24)우리는 모든 기기가 인터넷에 연결되는 사물인터넷(IoT) 시대를 살고 있으며, 곧 차량사물통신(V2X) 시대가 다가옵니다. 사이버보안 테스팅은 “좀비카 액션 시퀀스”가 현실화되지 않게 해주는 최소한의 장치로서 무한한 잠재적 가치와 영향력을 갖습니다.세계 메이저 자동차 제작사들이 사이버보안을 포함한 기술 내재화를 지향하는 추세이지만, 사이버보안 테스팅에 대한 대응은 여전히 전문기업과 협업하고 있습니다. 신뢰성 있는 사이버보안 테스트로 확보된 안정적인 환경 속에서 자동차의 기술 발전이 지속되기를 바랍니다. 참고문헌1) 해킹으로 '좀비'된 영화 속 자동차, 실제로도 가능할까, <오마이뉴스>, 2017.11.28.2) “자동차 정보기술 보안 뚫리면 끝장”…‘해킹 주행’ 지프 체로키 ‘리콜’, <스포츠경향>, 2015.07.263) 19-year-old claims he hacked into over 25 Teslas in 13 countries, , 2022.01.12. 4) 미래 모빌리티 각축전, ‘전동화·자율주행’ 기반으로 주도권 잡아야, <뉴데일리경제>, 2023.06.22.5) 디지털 트윈: 가상공간에 실물과 똑같은 물체(쌍둥이)를 만들어 다양한 모의시험(시뮬레이션)을 통해 검증해 보는 기술6) [분석] “테슬라 자율주행사고 작년에만 424건”...K-City, 가상공간 접목 ‘주목’, <데일리한국>, 2023.06.127) 차량사물통신(V2X): 차량이 다른 차량, 보행자, 인프라 등 다양한 사물과 통신하며 정보를 교환하는 것 또는 그 기술8) 첨단자동차 증가에 따라 자동차 사이버보안의 중요성 증대, 국회입법조사처 보도자료, 2022.12.289) UN Regulation No. 155 (E/ECE/TRANS/505/Rev.3/Add.154), UNECE, 2021.03.0410) 첨단자동차 증가에 따라 자동차 사이버보안의 중요성 증대, 국회입법조사처 보도자료, 2022.12.2811) UN Regulation No. 155 (E/ECE/TRANS/505/Rev.3/Add.154), UNECE, 2021.03.04.12) 자동차 사이버보안 가이드라인, 한국교통안전공단 자동차안전연구원, 2020.1213) 첨단자동차 증가에 따라 자동차 사이버보안의 중요성 증대, 국회입법조사처 보도자료, 2022.12.2814) 네이버지식백과, 2023.02.21, 한경 경제용어사전: ISO/SAE 21434715) ISO, 2021.08, ISO/SAE 21434:2021 Road vehicles - Cybersecurity engineering16) 사이버보안 인증 그랜드슬램(Grand Slam) : 본래는 스포츠에서 모든 메이저 대회를 석권하는 것을 말하며, 여기에서는 사이버보안에 관한 네가지 인증(CSMS, ISO/SAE 21434, SUMS, VTA) 모두에 대해 성공 사례를 보유한 것을 말한다.17) Hardware in the Loop: 소프트웨어가 해당 ECU에 포함되지만 ECU 주변 환경은 가상화(시뮬레이션)18) Software in the Loop: 소프트웨어를 실제 하드웨어 없이 시뮬레이션 환경에서 테스트19) 현대자동차그룹 개발자 컨퍼런스, 2022, 차량 SW 품질 혁신을 위한 가상검증 기술 [영상]20) Blockharbor, 2022.09, Breakwater, UNR 155 Mitigation Test Suite for Common Interfaces in Vehicle Systems21) American Center for Mobility and Block Harbor Collaborate to Develop Cybersecurity Offerings at ACM's Global Development Center, , 2023.08.01 22) Upsteam, 2023, Upstream's 2023 Automotive Cyber Trend Report23) Upstream, 2023.08, AutoThreat® Intelligence Cyber Incident Repository24) [창간특집 특별인터뷰]자동차 해킹한 찰리 밀러 "위험성 인지하고 대처해야", <전자신문> 2015.09.21출처: AEM (https://www.autoelectronics.co.kr)
23.09.10