자동차 산업에 울려 퍼질 ‘자동차 보안 5계명’

디자인 보안, 서드파티, 분리와 독립 등 기본 사항 강조

새로운 기술에는 늘 새로운 위협이 따라

[보안뉴스 문가용] 작년에 열린 데프콘 행사에서 아이엠더캘버리(I Am The Calvary)라는 민간단체가 사이버 보안을 연구하는 전문가 그룹과 일반 소비자 상품 간의 크나큰 간극을 해소하기 위한 목적으로 발기했다. 그 단체에서 최근 자동차 산업에까지 손을 미치고 있는 공격을 막기 위한 ‘자동차용 사이버 보안 5계명’을 발표해 화제다.

최근 다양한 자동화 기능을 장착한 자동차들이 쏟아져 나오기 시작하고, 그에 따라 다양한 취약점들이 발견되고 있다. 아이엠더캘버리에 속한 찰리 밀러(Charlie Miller) 씨와 크리스 발라섹(Chris Valasek) 씨는 다양한 기종의 자동차들의 자동 내비게이션, 자동 주차 등 자동화 및 네트워크 기능을 연구해 취약점들을 밝혀내고 있으며 이를 해커들이 어떻게 악용할 소지가 있는 지까지 실험해보는 전문가들이며 이번 블랙햇 행사에서 강연을 맡았다.

“자동차 회사들이 이제 사이버 보안이라는 개념에 더 신경을 써야 합니다. 그 부분을 공개적으로 자극하고 싶었습니다.” 래피드7(Rapid7)의 부사장이자 아이엠더캘버리의 창립 멤버인 니콜라스 퍼코코(Nicholas Percoco) 씨의 설명이다. 5계명은 다음과 같다.

1. 디자인 보안 : 자동차를 디자인하고 제작할 때부터 보안이라는 개념을 염두에 두라. 보안 소프트웨어 및 정책을 도입하라.

2. 서드파티와의 협업 : 제작 과정 중 발견된 취약점은 투명하게 공개한다.

3. 증거 및 흔적 확보 : 추후에 발생할 지도 모르는 사고에 대비해 포렌식 정보를 저장해둔다.

4. 보안 업데이트 : 고객들의 보안 장치 및 장비에 대한 업데이트 계획도 자동차 제작 시 포함시킨다.

5. 분리와 독립 : 대단히 중요한 시스템은 자동차의 다른 기능과 분리시켜서 따로 운영한다.

“5번 계명을 특히 강조하고 싶습니다. 엔터테인먼트 기능을 해킹했더니 브레이크까지 조정이 가능하다면 큰일이니까요.” 소나타입(SonaType)의 CTO이자 아이앰더캘버리의 창립자인 조시 코만(Josh Corman)의 추가 설명이다. “5계명은 자동차 산업을 향한 장려책이지 ‘너희 버그를 다 까발려주마’라고 하는 협박장이 아닙니다.” 그는 자동차 제작사들이 자체적으로 보안 문제를 해결하기보다는 전문 업체와 손을 잡는 것이 더 현명한 방법이라고 강조했다.

그러나 이번 5계명은 좀 늦은 감이 있다. 자동차 산업에서는 이미 ISAC이 구성되는 등 보안이 이미 커다란 문제로 대두되었기 때문이다. “아직까지 자동차에 직접 일어난 보안 사고는 없었습니다. 하지만 늘 그러한 사고를 염두에 두고 있으며 막기 위한 방책을 여러 가지로 마련 중입니다”라는 자동차 산업 ISAC 측이 지난 달 발표한 내용에서 보이듯 이들에게도 이미 보안 문제는 더 이상 하찮은 일이 아니다.

아이앰더캘버리는 미국 비영리 단체인 Change.org에 5계명의 내용을 정리해 탄원서 형식으로 발송했다. 일부를 인용해본다.

“새로운 기술은 새로운 사고와 위험을 동반합니다. 신기술을 누린다는 건 이런 사고와 위험을 대비하고 예방할 수 있을 때 가능합니다. 악성 공격, 소프트웨어 오류, 프라이버시 문제들은 대부분 컴퓨터 기술 발전으로 야기된 것들입니다. 이제 컴퓨터 분야의 발전이 자동차 산업에까지 미쳤습니다. 당연히 컴퓨터 분야의 위험과 문젯거리들도 함께 옮겨왔습니다. 보안 분야와 자동차 분야가 손을 잡아야 할 때입니다.

전문 분야의 기술발전이 대중의 생명을 위협하는 데에 이르렀다면 다른 무엇보다 이를 먼저 해결해야 마땅할 것입니다. 자동차 산업은 지금까지 이런 기본 원칙에 충실해왔습니다. 그래서 우리는 매일 사랑하는 사람들을 자동차에 태워서 학교로 또 직장으로 안심하고 보낼 수 있는 것입니다.

자동차의 새로운 시대가 열리고 있습니다. 이 새로운 시대는 새로운 보안책을 요구합니다. 사이버 보안 분야의 전문가들과 자동차의 전문가들이 힘을 합쳐야 합니다. 여전히 사랑하는 사람들이 안심하고 탈 수 있는 자동차를 만들어야 합니다.”

아이엠더캘버리는 자동차 산업뿐만 아니라 가정 자동화, 의료 기기, 대중 인프라 분야에서의 보안에 관해서도 계속해서 연구하고 있는 중이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  NFT 기반 가상자산 엔터버튼 해킹 및 토큰...

• 2

  청주흥덕서 봉명지구대, 경찰관 사칭 ‘수배조...

• 3

  [기획특집] AI 통합보안 서비스 상장기업 ...

• 4

  [기획특집] 본격 시행되는 국가정보원 보안기...

• 5

  토스증권, 문자나 텔레그램으로 리딩방 가입 ...

• 1

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 2

  벤처 캐피탈 직원 사칭 피싱 공격 발견......

• 3

  [기획특집] 생체인식·출입통제 분야 상장기업...

• 4

  앱 개발 프레임워크 ‘일렉트론’으로 제작된 ...

• 5

  타깃컴파니 랜섬웨어 그룹, MS SQL 서버...

• 1

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 2

  국내 치과 사이트, 인도네시아 해커가 디페이...

• 3

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 4

  리멤버에게 온 ‘5,000P 포인트가 적립 ...

• 5

  ‘코인원’ 사칭한 거래지원 및 계정 대여 등...