소프트웨어 중심의 차량(SDV)이란 단어가 뉴스에 등장하기 시작했다. 피쳐폰에서 스마트폰으로 전환이 순식간에 일어난 것처럼 SDV 전환이 빠르게 진행 중이다. 현재 우리가 타고 있는 최신 차량 역시 SDV 차종이다. 이미 자동차 안에는 수많은 소스코드가 탑재됐다.
자동차에는 제어기라 불리는 수십 개의 부품이 장착된다. 와이퍼부터 자율주행까지 여러 부품에 들어간 반도체를 제어하기 위해선 소프트웨어(SW)가 필요하다. 자동차 부품에 들어가는 반도체는 SW 수준이 향상되며 미래차 기술을 위해 점차 고성능으로 발전하고 있다.
자동차에 들어가는 소스 코드 라인 수는 기하급수적으로 늘어왔고 더 빠르게 늘어갈 전망이다. 컴퓨터보다 더 컴퓨터같은 차량이 나오는 배경이다. SDV로 진화할수록 차량은 사이버 범죄를 일으키는 해커의 표적이 될 수 있다. 해커가 자동차 시스템에 침입해 개인 정보를 훔치거나 심지어 차량을 제어하는 권한까지 가져갈 수 있다. 공상과학(SF) 영화 속 일이 현실에서 나타날 수 있는 것이다.
세계 주요 자동차 회사와 각국 정부는 이를 방지하고자 자동차 사이버 보안에 더 각별한 주의를 기울인다. 유럽경제위원회(UNECE) 산하 자동차 국제 기준 회의체는 2021년 1월 자동차 사이버보안 관련 법규 UNECE R-155를 발효했다. 자동차 제조사가 인증한 사이버보안 관리 체계(CSMS)를 갖출 것을 요구하는 게 법안의 주요 내용이다. 2022년 7월부터 유럽경제위원회의 56개 협약국은 관련 인증을 받아 차량을 출시하도록 했다.
현대오토에버를 비롯한 자동차 관련 기업들은 차량 사이버 보안에 대응하고자 국제 표준인 ISO/SAE 21434를 준수하고 있다. 차량의 설계와 개발, 테스트, 양산, 이후 단계까지 사이버 보안 활동에 관한 프로세스를 정의하는 것을 목적으로 만들어진 국제 표준이다. ISO 26262가 차량에 탑재되는 시스템 아키텍처의 결함과 안전에 주요 중점을 뒀다면 ISO/SAE 21434는 차량의 사이버 보안에 신경을 쓴 국제표준이다.
자동차는 어떻게 해커들로부터 방어하며 사이버 보안 관리체계를 구성할까. 대다수 외부 침입은 통신을 통해 이뤄진다. 차량 SW가 계속 진화할 수 있도록 최신 차종은 무선 업데이트(OTA)로 기능을 최신화한다. 이처럼 통신이 이뤄질 때 해킹을 예방하고자 정보통신기술(ICT)을 접목한다. 가장 기본적인 방법은 방화벽을 둬 차량 외부 통신에서 내부로 들어오는 모든 트래픽을 점검하고 사용하기로 약속된 통신이 아니면 모두 차단하는 것이다.
시큐어 액세스라는 전자서명 기술도 사용한다. 공인 인증서처럼 사전에 등록된 접근만 허용하는 것이다. 시큐어 액세스는 차량 제어기 보안 기술로 사용돼 무선 통신뿐 아니라 서비스 센터 수리용 진단기 등 오프라인 보안에도 쓰인다. 여기에 어드밴스드 시드·키가 서로를 확인해야 통신을 할 수 있게 보호한다. 키를 모르는 외부인은 통신에 끼어들지 못하게 한다.
자동차 사이버 보안은 기술적 보안을 넘어 절차적 보안으로도 영역을 확장하고 있다. 차량 개발 도중 발생할 수 있는 실수를 줄이기 위해 설계와 개발, 통합, 테스트 등 벨류 체인 단계마다 확인과 검증 작업을 철저히 하는 것이 대표적이다. ISO/SAE 21434 역시 절차적 보안에 중점을 뒀다.
연결성이 중요한 미래차 시대 사이버 보안은 자동차 성능과 디자인과 비견되는 차량 경쟁력으로 발전하고 있다. 앞으로도 자동차 사이버 보안은 든든한 방패로 진화를 거듭할 전망이다.
박영택 현대오토에버 정보보안센터장 ytpark@hyundai-autoever.com
