[공학저널 김하늬 기자] 이제 PC, 스마트폰 뿐만 아니라 자동차도 보안이 중요한 시대가 됐다. 자율주행, V2X 통신을 통한 커넥티드 기술의 등장으로 편리함을 얻었지만, 동시에 해킹의 위협으로 인한 금전·인명피해의 우려도 함께 얻게 된 것이다.
특히 자율주행, 커넥티트카의 핵심은 소프트웨어에 있다. 기존 부수적인 측면에 놓였던 소프트웨어는 이제 제어까지 관장하며 자동차, 그리고 운전자의 안전을 좌우하는 주요 요소로 자리매김했다.
자율주행 중인 차량의 운행 경로를 바꾸고, 속도를 갑자기 높이는 등의 방법으로 운전자를 위협에 빠뜨릴 수 있다. 또한 통신 장애를 유발해 주변 자율주행 차량들과의 사고를 일어나게 할 수도 있는 것이다.
때문에 관련 산업에서는 발 빠르게 자동차 보안 솔루션을 개발·도입하고 있으며, 나아가 국가별 보안인증 구축을 위한 노력도 함께 이뤄지고 있다.
국내 자동차 업계 유수의 기업이 있지만 그 중에서도 LG전자는 SW Security Task를 마련하고 이에 적극 대응하고 있어 눈길을 끌고 있다.
SW Security Task는 LG전자의 제품 보안을 위한 보안 거버넌스 조직으로 전사 전반적인 보안수준의 향상·보안 기술 지원을 위해 보안 기술R&D·보안 엔지니어링 기준을 마련하는 등 다각적인 측면에서 역할을 수행 중이다.
이를 토대로 보안 엔지니어링에 대한 전사 기준을 정립하고 있으며, 자동차 보안 기술을 포함해 LG전자의 여러 제품에 대해 필요한 보안 기술과 제품 도입에 기여하는 성과를 거두고 있다.
최근 국내외 자동차 보안 기술에 대한 연구를 진행 중인 LG전자 SW Security Task 한규석 책임연구원(사진)은 자동차 보안에 대한 인증 이슈에 대해 실제로 한 가지 인증으로 자동차 보안 인증을 다루기는 어렵다고 설명했다.
국내외에서 잘 알려져 있는 대표적인 보안 인증인 Common Criteria, FIPS 140-2이 있지만 이들은 ‘Security’ 자체에 관한 것이며, 자동차에 특화된 것은 아니라는 것.
자동차 보안을 위한 요구 사항 중 보안 모듈에서 외부와 통신 기능이 있는 컴포넌트의 경우 포함된 보안 모듈의 FIPS 140-2의 Level 3 이상을 요구한다는 등의 사항은 존재하지만, FIPS 혹은 CC 등의 인증은 보안 기능으로서 이들이 충분조건은 아니라는 것이 그의 의견이다.
한 연구원은 “자동차 부품 수준의 보안 요구 사항으로는 앞으로 SAE J3101 Hardware Protected Security for Ground Vehicles이라는 기준을 참조해 준수하는 것이 필요하지 않을까 생각한다”며 “여기서도 보안 모듈의 요구 사항으로 FIPS 혹은 동격의 보안 인증을 요구하고 있다”고 말했다.
자동차는 소프트웨어를 포함해 많은 부품들의 조합으로 이뤄져 있는 하나의 네트워크로 설명할 수 있다. 때문에 자동차에 대해 보안인증을 하기 위해서는 자동차와 관련한 ‘전반적인’ 부분이 안전하게 만들어져 있음을 입증하는 것이 중요하다.
그리고 이를 위해서는 자동차를 만들기 위한 컨셉·설계 단계부터 자동차가 폐기될 때까지 과정에서 보안에 대한 고려가 필수적이다.
한 연구원은 “자동차의 전체적인 관점부터 설계와 구현 세부적인 부분까지 발생 가능한 위협, 취약점 등의 분석과 이에 대한 위험을 잘 산정 (Identification)해야하며, 이를 통해 대응책으로서 탐지 (Detection), 방어(Protection) 등의 수단이 적절하게 도입돼야 한다”며 “문제 발생 시 빨리 대응할 수 있는 응답 (Response)수단이 마련되고, 원 상태로 복원할 수 있도록 하는 복구(Recovery)에 대한 기준 마련, 그리고 이를 모두 문서화 하는 작업이 필요하다”고 전했다.
이를 정규화하기 위해 SAE(Society of Automotive Engineers 자동차 기술자 협회)에서는 지난 2016년 SAE J3061이라는 자동차 보안 엔지니어링에 대한 가이드를 발표했으며, 이후 ISO그룹과 협력을 통해 ISO/SAE 21434라는 자동차 보안 엔지니어링 표준을 구축하고 있다.
이 과정에서 가장 중요한 사항 중 하나는 기존에 제각각으로 진행해온 보안 활동에 대해 보안 수준에 대한 ‘공통 기준’을 만드는 것이 손꼽힌다.
한 연구원은 “앞으로 자동차의 보안을 위해서는 자동차의 개발 전체 과정에서 ISO/SAE 21434를 준수하는 것이 필수적”이라며 “자동차가 노출된 환경은 지속적으로 바뀌고 있으며, 공격은 계속 진화하고 있기 때문에 지속적인 재검토를 통해 보안 수준을 유지하는 것 역시 중요할 것”이라고 설명했다.
그는 이어 “COVID-19 글로벌 팬데믹으로 인해 조금 지체되는 감이 있지만 글로벌 보안 규제 등은 계속 강화되며, 특히 자동차에 대해서도 UNECE WP.29 등의 규제 제정 시기가 다가오고 있다”며 “LG전자는 강화되는 보안 규제에 대응해 LG전자의 제품이 규제를 준수하고, 사용자에게 안전한 사용 경험을 제공할 수 있도록 최선을 다할 것”이라고 덧붙였다.
