우리 세계가 점점 연결됨에 따라 해킹 위협은 기하급수적으로 증가해 왔습니다 – 최근 연구에 따르면 평균적으로 인터넷 접속이 가능한 컴퓨터는 39초마다 공격받는 것으로 나타났습니다. 따라서 인터넷 접속 장치와 우리 자동차의 융합은 많은 사람들 사이에서 우려를 불러일으키고 무선 접속에 의존하는 자율주행차(AV)는 종종 공격에 특히 취약하다고 생각됩니다.
우리는 자동차 해킹이 위협에서 멀리 떨어진 것은 아니지만 이미 이루어지고 있다는 것을 알고 있습니다. 2014년 찰리 밀러와 크리스 밸리스크는 Jeep Chherokee를 해킹해 원격으로 자동차를 제어할 수 있는 방법을 보여 화제가 되었습니다. 최근 미국의 한 해킹대회에서 AmatCama와 리처드 주 등이 테슬라 Model3 인포테인먼트 시스템을 ‘공격 표면(attacksurface)’으로 활용해 차량을 장악했습니다.
해킹은 항상 자동차 기술에 위협이 되는 것처럼 보이는데, 우리가 걱정해야 할 일일까요? AV를 사이버 보안 위협으로부터 보호할 방법이 있습니까? 우리는 해킹의 세계와 그것이 우리 자율주행의 미래에 미칠 영향에 대한 더 많은 통찰력을 얻기 위해 시스템을 이용하는 것이 아니라 윤리적인 해커로도 알려진 전문가인 ‘White Hat’ 해커를 방문했습니다. 데프콘의 Car Hacking Village 설립자인 Robert Leale가 우리의 몇 가지 질문에 답해주기로 했습니다.
AV에 대한 사이버 보안 위협은 복잡해질수록 증가할 것인가?위협은 현대차와 비슷하다. 대부분은 “CAN Injection” 공격에 취약하지만, 이러한 공격의 대부분은 차량 네트워크에 물리적으로 직접 액세스해야 합니다. 이는 우리가 승차공유 애플리케이션에 사용되는 완전자율주행차를 고려할 때 어떻게 보면 더욱 간단하다.
이러한 어플리케이션에서 이식된 장치는 사용자가 차량의 네트워크나 다른 차량 내 네트워크에 제한 없이 접근할 수 있기 때문에 감지되지 않을 수 있다. 그 때문에 물리적인 보안이 가장 중요하다. 많은 기업들이 이에 대처하기 위해 차량 네트워크에 침입 감지 시스템(Intrusion Detection Systems, IDS)을 추가하는 것을 검토하고 있습니다. 이는 자동차 분야의 새로운 개념이지만 기업의 컴퓨터 네트워크에서 수십 년에 걸쳐 존재해 왔다.
자율주행 시스템의 복잡성은 여러 면에서 이들의 보안 태세에 도움이 된다. 그 복잡함은 각각의 차를 한 대의 차마다 매우 독특하게 만든다. 이러한 복잡성은 하나의 시스템에 대한 공격을 생성하면 랜섬웨어 스타일의 공격에 유용한 대규모 차량 풀을 제공하지 않기 때문에 공격자에게 동기를 부여하지 않는다. 하지만 표적 공격은 언제든 가능하다.”
자율주행차를 해킹하는 것은 어떻게 하는가? 복잡한 디지털 시스템을 갖춘 차를 해킹할 기회가 더 많다는 말인가?해킹에는 많은 연구가 따른다. 첫 번째 단계는 가능한 한 많은 공개 문서를 찾은 뒤 차량에 접근하고 마지막으로 차량 인터페이스를 최대한 들여다보는 것이다.
하지만 우리는 이를 투자수익률(ROI) 관점에서도 봐야 한다. 차를 구입하거나 구입해 1~2주를 보내는 데 드는 비용이 높다면 단순히 재미를 위해 이 고생을 쓸 이유는 없지만 계속 보유할 동기가 있을 수 있다. 하지만 너무 오래 기다리면 노력에 대한 해결책을 얻을 수 있고, 나의 시간과 노력이 물거품이 될 수도 있다. 공격자로서 공격 행위를 찾는 데 너무 많은 시간을 보내고 싶지 않을 수도 있지만 직접 발견한 지 일주일 만에 이런 공격은 패치된다. 아니면 내가 원한다면 버그를 제조사에 제출하고 현상금을 받을 수도 있다.
즉, 제조업체는 현재 이러한 시스템이 어떻게 활용되는지에 대해 훨씬 더 잘 알고 있으며, 커뮤니티와 협력하여 문제를 해결하는 방법에 대한 모범 사례를 이해하고 있습니다.
Daimler 자율주행차를 해킹하는 데 얼마나 걸리니?연구단계에는 오랜 시간이 걸릴 것 같다. 그것은 많은 사람과 목표에 대한 명확한 정의를 필요로 할 것이다. 몸값이 지불될 때까지 시스템을 비활성화하는 것을 목적으로 하는 해커가 있다. 이 사람은 OTA(Over the Air) 업데이트와 차량에서 실행되는 최신 소프트웨어로 인해 패배할 가능성이 높다.
역엔지니어링을 위해 시스템이 어떻게 작동하는지 이해하려는 해커가 있다. 이들은 다른 차가 아닌 자신의 차에만 영향을 줄 가능성이 높다. 그리고 자동차회사의 주식을 매각할 목적으로 차량에 대한 서비스를 거부하고 싶은 해커가 있다. 이 공격자는 OEM의 IT 인프라 내에 있는 명령어 및 제어 서버에 액세스해야 하므로 로그인 자격 증명에 대한 액세스 권한과 서버에 대한 물리적 액세스 권한이 필요하다. 각각의 시나리오는 다양한 배경을 가진 많은 사람들이 도전적인 목표를 달성하기 위해 함께 일해야 한다. 불가능하지는 않지만 매우 어려운 일이다.”
해킹은 그 산업에 큰 위협으로 인식되고 있다 – 자율주행 미래에 대한 비전에 타인의 통제 하에 자동차가 경로를 이탈하는 것을 포함한 많은 사람들이 있다. 그것이 현실적인가’라고 말하기는 매우 어려울 것이다. 자율주행차를 공격하려면 소규모 집단이 필요하다고 생각한다. 그렇다고 이들 집단이 존재하지 않는다는 것은 아니지만 이들의 동기는 아직 일치하지 않는다. 그렇게 되면 나는 아마도 국가가 후원하는 단체가 자율주행차를 해킹할 수 있고 처음에는 차를 멈추거나 시동을 끄는 데 성공할 것으로 예상한다. 하지만 그렇게 되면 그 업계의 반응은 더 빨라지고 향후 공격은 더 어려워질 것이다.
나는 그들의 시스템을 확보하기 위해 노력하고 있는 많은 제조업체와 공급업체가 있다고 믿고 있으며 앞으로도 계속 지켜볼 것이다. 다만 자동차 사이버보안 산업은 여전히 자금부족, 평가가 낮아 인력부족 가능성이 높아 그런 공격이 일어나기 전까지는 그런 변화가 일어날 것으로 보기 어렵다.
새롭게 발전하는 기술이 있는 곳에는 보안에 대한 새로운 위협이 항상 있을 것이다. 해당 분야 전문가와 협력하여 시스템 결함 해결을 지속적으로 지원하는 커뮤니티를 개발하는 것이 제조사에 매우 중요합니다. OEM이 시간과 자원을 사이버 보안에 소비하는 한 Level3 이상의 자율주행차가 표준이 될 때쯤이면 대부분 시스템을 해킹하기가 매우 힘들 것이다.”
끼어드는 자율주행차의 최종 목표는 사람의 제어 없이 스스로 움직이는 로봇을 만드는 것이 아닐까 생각합니다.
자율주행차가 등장하게 된 가장 큰 이유 중 하나는 사람들의 비정상적인 운전행위를 막기 위해서였습니다. 음주운전, 난폭운전, 졸음운전 등 같은 사람이 운전대를 잡으면 안 되는 상황을 피하기를 기대하면서 자율주행 기술을 발전시키고 있습니다.
그럼 사람 대신 등장하는 로봇은 이번 뉴스와 관련된 문제는 없을까요? 현재 개발자는 그렇게 될 것으로 생각하고 있습니다. 하지만 결국 로봇은 소프트웨어를 통해 움직이는 것이기 때문에 소프트웨어가 가진 약점을 가지고 있다고 할 수 있습니다. 즉, 사람들이 보이는 비정상적인 행동을 로봇도 할 수 있다고 가정할 수 있습니다.
이러한 소프트웨어 버그로 인한 문제는 개발자의 문제라고 할 수 있습니다. 그러나 실제 소프트웨어 개발에서 이러한 버그가 문제가 될 가능성이 있는 동시에 외부 침투에 의해 영향을 받을 가능성이 있는 것은 항상 존재합니다. 보통 이러한 행위는 해킹이라고 불립니다. 이미 우리는 소프트웨어가 중심이 된 세상에 살고 있기 때문에 원리는 몰라도 해킹이나 버그로 인해 생활에 불편을 느끼는 경우가 있습니다.
자율주행차 역시 이러한 해킹행위로 인해 앞서 언급한 사람들의 비정상적인 운전행위와 같은 운전을 하게 될 수 있습니다. 어쩌면 더 큰 문제가 될지도 모릅니다. 우리가 흔히 볼 수 있는 영화에서 보는 자동차 해킹에 의한 자동차 제어와 같은 일이 일어날 수 있습니다.(영화에는 조금 과장된 내용이 담겨 있긴 합니다. ^^)
단, 컴퓨터 프로그램은 컴퓨터를 끄고 재부팅함으로써 해결할 수 있습니다. 뭐 2시간 작성하던 문서 하나만 없애면 됩니다. 물론 이것도 힘들긴 하죠. TT) 그러나 자동차 해킹으로 인해 차에 타고 있는 사람에게는 위험한 일이 일어날 수 있습니다. 목숨을 잃을 수도 있어요. 그만큼 자율주행차 로봇에게 사이버 보안 문제는 중요합니다.
앞의 기사는 나름대로 해킹 위험을 경고하면서도 해결 가능하다고 말하고 있습니다. 하지만 아직 자율주행이라는 기능이 실제로 대중적으로 등장하지 않았기 때문에 이를 위한 해커의 행동이 적다는 의미가 있을 수 있습니다. 즉, 노력에 비해 돌아오는 것이 별로 없다는 의미일지도 모릅니다.
그러나 그러한 해킹의 위험은 항상 존재하기 때문에 이미 국제적인 조직(WP29.UNR155)과 표준제정기구(ISO/SAE21434)도 자동차 자동화를 위한 사이버 보안 문제에 대한 규제와 프레임워크를 만들어 기업과 국가에 강제적인 적용을 요구하고 있습니다.
솔직히 말해서 이 내용은 일반 사용자에게 고민할 내용이 아닙니다. 하지만 자율주행차를 개발하는 사람에게는 엄청난 고민을 해야 할 부분입니다. 이미 우리는 차로 카드 결제가 가능한 커넥티드 기능이 있는 차를 만났습니다. 특히 OTA 업데이트가 보편적으로 적용되어 보다 강한 보안 기능이 추가됩니다. 물론 이런 기능의 설계는 자동차 제어를 위한 네트워크와 분리돼 만들어졌지만 해커의 능력은 목적지향적이라는 것도 한 번 생각해야 합니다.
최근 테슬라 풀 셀프드라이브 기능이 해킹에 의해 유출되는 사건이 있었습니다. 이 사건은 해킹 그룹에서 유출된 뒤 조용히 퍼졌고 우크라이나의 한 사람이 유튜브에 테스트 영상을 공개하면서 알려졌습니다. 우크라이나에는 배포되지 않은 버전을 테스트하여 알려지게 되었습니다.
아직은 자율주행 기술에 대해 더 관심을 갖고 있지만 앞서 언급한 기사에서 말했듯이 실제로 해킹으로 인해 피해가 발생하게 되면 크게 부각되지 않을까 싶습니다. 여느 때처럼…
PS: 검색에 들어가셔서 만약 원하는 내용을 찾을 수 없다면 ‘태그’ 또는 ‘검색’을 해보시면 더 많은 자료를 찾으실 수 있습니다. 자율주행차 기반 미래 모빌리티에 대한 보다 자세한 문의나 강의는 [email protected]으로 연락하면 된다.
Over the Vehicle!!!
참고자료 Threat of hackinghas grownexponentiallyasourworldbecomesmorconnected-does thisposeasecondary threat to the future of driverlesscars? www.2025ad.com