주차장에 가면 기업 보안에 대한 좋은 교훈을 얻을 수 있다. 여러 자동차 전문가들은 자동차를 ‘보안 부문에서 최악의 사례’
지프체로키(Jeep Cherokee (2014-2015))는 피아트 크라이슬러가 원격 해킹 취약점을 해결하고자 리콜한 14개의 모델 중 하나다. Credit: Fiat Chrysler
지난 수년 동안 자동차는 계속되는 리콜, 안전 위험, 디젤 엔진 속임수 등 여러 가지로 비난을 받았다. 하지만 보안 전문가들은 또다른 충격적인 일을 발견했다.
도구를 사용하지 않고 BMW에 무단으로 침입하기는 어려울 수 있다. 자동차 제조사는 무선 신호 보호, 표준 수립, 새로운 규정과 법률 제정, 더욱 공격적인 패치 제공 등에 많은 노력을 기울이지 않았다.
전문가들은 특히 자동차가 더욱 고도화되고 우리 주변의 인프라, 도로 표지판 등과 연결되기 시작하면서 자동차 업계가 이러한 문제 가운데 일부를 해결해야 한다고 말했다. 또 이를 통해 보안이 혁신에 어떻게 발맞춰야 하는지 알 수 있다.
가장 중요한 것은 기업 보안 종사자들이 주의를 기울여 문제가 어떻게 해결되고 있는지 파악해야 한다는 점이다. 왜냐하면 곧 변화가 일어나기 때문이다.
문제가 악화되고 있다
자동차 기술이 얼마나 발달했는지는 쉽게 알 수 있다. 구글은 자율주행 자동차를 개발했고, 미국 미시간주에서는 자동차가 서로 통신할 수 있는 시험이 진행되고 있다. 또 테슬라는 거대한 전기자동차 충전 인프라를 구축했다.
자동차 애널리스트 기업인 오토퍼시픽(AutoPacific)의 데이브 설리반이 지적했듯이 문제의 조짐이 계속해서 나타나고 있다. 닛산은 리프(Leaf) 전기차용 앱을 만들었지만 쉽게 해킹할 수 있다는 사실을 발견하고는 신속하게 해결했다. 설리반은 “자동차 제조사들에게 이는 완전히 새로운 세상이다”고 말했다.
설리반은 “자동차 제조사가 여전히 새롭고 신선하면서 보안 취약성을 신속하게 업데이트할 수 없는 세계 속에 있으며 이 세계는 상대적으로 스마트폰 등에서는 손쉽게 패치할 수 있다”고 전했다.
자동차 제조사들은 공격적인 패치 일정에 맞춰 신속하게 대응하기보다는 좀더 시간을 두고 오랫동안 테스트하고 과거부터 계속 지켜왔던 안전 표준을 준수하려는 경향이 있으며 스마트폰 모델을 따르지 않는다. 설리반은 이런 현실이 바뀌어 자동차 제조사들이 윤리적인 해커들에게 대가를 지불하고 자동차를 원격으로 해킹하게 한 후, 패치를 제공해야 한다고 주장했다. 이 방법이 리콜보다 비용이 훨씬 적게 든다는 것이다.
IEEE PVC(Institute of Electrical and Electronics Engineers Public Visibility Committee)의 보안 연구원 겸 의장 디오고 모니카에 따르면, 지금까지 큰 진전이 없었다.
모니카는 자동차 회사들이 침투 시험에 대해 너무 무신경하다고 지적했다. 그는 설리반과 마찬가지로 자동차의 패치 사이클 때문에 차량에 새로운 앱이나 일부 통신 기능을 추가했다가 취약성을 발견할 때가 많아 대량 리콜로 이어진다고 이야기했다.
자동차 업계가 IT업계에서 배울 점
아이러니하게도 가장 혁신적인 자동차 사례와 비교적 양호한 휴대폰 보안 사례는 동일한 회사인 ‘구글’에 있다. 설리반은 구글이 공격적으로 넥서스(Nexus) 제품군을 패치하는 방식을 지적했다. 크롬 OS 및 크롬 브라우저를 통해 이 인터넷 거대 기업은 자동차 제조사들을 부끄럽게 만들고 있다. 구글은 백그라운드(Background)로 자산의 소프트웨어를 업데이트하고 지속적으로 패치하지만 최종 사용자는 거의 알아채지 못한다. 일반적인 포드(Ford)나 뷰익(Buick)은 보안에 관해 이런 세련된 수준에 근접하지도 못했다.
또 다른 교훈은 개방성과 관련돼 있다. 모니카는 자동차 회사들이 취약성에 대해 엄격하게 보고하지 않고 숨기려는 경향이 있으며, 이로 인해 윤리적인 해커들이 문제를 발견한다 하더라도 공적을 인정받지 못해 도움을 제공할 유인책이 없는 악순환이 계속된다는 사실을 언급했다.
모니카는 사람들이 잊으면 문제가 해결된 줄로 믿는 것 같다며 다음과 같이 말했다.
“자동차 안에서 보안을 제공하기 위해 실제로 어떤 소프트웨어가 작동하고 있는지 확인하기 어렵다는 사실을 너무 믿고 있다. 이는 잘못된 보안 수단이라는 사실이 입증되었으며 자동차가 가장 적절한 예다.”
기업에 취약점이 발생했을 때 상황을 숨기기보다는 이를 인정하고 보안 커뮤니티에 도움을 청한 후, 보안 전문가들의 침투 시험을 포함하여 더욱 공격적인 조처를 하는 것이 훨씬 낫다.
모니카는 해킹의 또 다른 좋은 예를 들었다. 연구원들은 자동차의 잠금 해제에 사용하는 전자 열쇠에 지속적으로 침투할 수 있었다. 자동차 제조사들은 이를 위해 자체 소프트웨어를 개발하고 프로토콜을 다시 작성하려 하지만 모니카는 그 결과물이 형편없다고 주장했다. 더욱 개방적인 과정으로 기존의 전문지식을 활용했다면 보안이 더욱 향상되었을 것이다. 기업 관리자의 경우 협업 및 외부 전문가 참여에 대한 교훈을 얻을 수 있다.
무엇을 해야 하나
여기에서는 대책이 필요하다. 커넥티드 카(Connected Car) 부문의 기업 ACS(Argus Cyber Security)의 대변인 모니크 랜스는 사이버 보안의 우수사례를 제조 공정이 끝난 다음에 적용하는 게 아니라 제조 공정의 모든 단계에 적용해야 한다고 강조했다.
랜스는 서서히 바뀌고 있기는 하지만 자동차 보안에 대한 규정이 거의 없다고 지적했다. 2015년 SCA(Spy Car Act)에서는 자동차 보안에 대한 새로운 연방 표준을 요구하고 있다. 미시간에서는 자동차 해커에 종신형을 선고하는 종신형 법안(Life Imprisonment Bill)이 있다. SEA가 발생한 J3601 지침에서는 제조 공정에 보안 활동을 적용하고 있다.
가장 중요한 교훈은 무엇인가? 무언가를 행동으로 옮기는 것이다. 잠자는 거인을 건드리지 않고 그대로 둔 채 다른 방안을 찾는 것은 절대 좋은 보안 접근방식이 될 수 없다.
자동차 산업 및 (LA 오토쇼(Auto Show)가 아닌) AMLA(AutoMobility LA)로 알려진 행사의 대변인 앤디 그릭은 단계를 밟고 있다고 밝혔다. 예를 들어, 자동차 제조사들은 자동차에 사용하는 오래된 버스(Bus) 아키텍처(CAN(Controller Area Network)를 단계적으로 폐지하고 E-AVB (Ethernet Audio Video Bridging Solution)라는 더욱 안전한 아키텍처를 적용하고 있다. 그릭은 “화이트 박스(White Box) 암호화 또는 코드 불명료화 등의 기법이 이제 막 인기를 얻기 시작했으며 지금까지는 대부분의 자동차 소프트웨어 디자인에 적용되지 않았었다”고 덧붙였다.
그릭은 이런 변화가 이뤄지려면 시간이 걸린다고 이야기했다. 자동차 업계는 현재 출력과 자율 주행에만 주력하기 때문에 충분히 속도를 내지 못하고 있다. 기업 보안에서는 확실한 교훈이 존재하지만, 자동차 부문에서는 이런 것들을 배우지 못하고 있다.
dl-ciokorea@foundryco.com
