자동차 해킹 기술, 대서특필 되어도 조용한 이유

자동차 생산업체들, 보안업체와 은밀한 보안기술 개발 진행 중
경쟁사 해킹 시도 우려해 침묵 유지하는 것... 법률적인 보완도 병행되어야

[보안뉴스 문가용] 지프 셰로키 해킹 사건이 자동차 업계에 큰 충격을 준 것이 1년이 채 되지 않았다. 그 기간 동안 업계는 가만히 있지 않았다. 조용히 보안업체들과 손을 잡고 여러 가지 보안 실험을 진행해 온 것. 여기에 동원된 보안업체는 스타트업부터 중견 기업까지 다양하다. 이런 흐름을 잘 탄 기업 중 하나가 최근 네 번째 자동차 보안 관련 제품을 시장에 선보인 시만텍(Symantec)이다.

▲ 해당 사진과 기사 내용은 전혀 상관이 없습니다.

시만텍이 시중에 내놓은 건 비정상 활동 탐지 시스템인 어노멀리 디텍션(Anomaly Detection)으로 시만텍이 보유하고 있던 보안기술과 IoT 기술을 접목시킨 것이다. 시만텍은 이전에 크리티컬 시스템 프로텍션(Critical System Protection), 코드 사이닝(Code Signing), 매니지드 퍼블릭 키 인프라스트럭처(Managed Public Key Infrastructure) 등이 탑재된 시만텍 임베디드 시큐리티(Symantec Embedded Security)를 자동차 시장에 출시한 바 있다.

시만텍이 이처럼 순수 IoT 보안에서 자동차 보안으로 살짝 방향을 튼 것이 그리 놀라운 건 아니다. 솔직히 스마트카라는 분야 자체가 IoT의 범주 안에 포함되기도 한다. 물론 시만텍이 백신을 만들어 팔던 때와 비교하면 큰 변화이긴 하지만 말이다.

어노멀리 디텍션은 차량의 통제 네트워크 버스에서 발생하는 트래픽을 감시, 정상 범주에서 벗어나는 트래픽이 탐지될 경우 경보를 발령한다. “자동차에 임베디드 되어서 현존하는 하드웨어에서도 실행되는 것으로, CPU와 메모리 소모량이 크지 않습니다. 또한 머신러닝 기술도 접목되어 있죠. 현재 내부적으로는 어노멀리 디텍션 시스템을 통해 보안 관리 서비스도 시작할 수 있지 않을까 검토 중입니다.”

인텔(Intel)도 자동차 보안에 관심이 많다. 자동차 보안을 강화하기 위한 자체 감사 프로그램을 신설하기도 했다.

시만텍과 인텔처럼 보안 업계에서는 굵직하다 하는 기업들이 이렇게 적극 움직이는데, 왜 자동차 보안 산업에 대해 대중들은 조용할까? 자동차 생산업체들이 조용하기 때문이다. 잘 들어보면 시만텍과 인텔도 어떤 업체와 계약을 맺고 일을 진행 중인지는 밝히지 않고 있다. 한 보안 전문가는 “가까인 시일 내에 자동차 브랜드 이름이 수면 위로 드러나지는 않을 것”이라고 내다봤다.

“자동차 업체들은 튀고 싶지 않거든요. 보안이 강력하다고 광고하며 먼저 치고나온다면 경쟁사이든 평소 악의적인 감정을 가지고 있던 안티 세력이든, 누군가 해킹을 해서 ‘전혀 강력하지 않다’고 할 게 두려운 겁니다.” 시만텍의 수석 IoT 보안 책임자인 브라이언 위튼(Brian Witten)의 설명이다. “그러므로 현재는 자동차들의 보안 상태가 어떤지 정확히 알 수 있는 사람은 아무도 없어요. 해커들이든 전문가든 테스트조차 해볼 수가 없거든요.”

한편 카람바(Karamba)라는 자동차 보안 전문 스타트업은 지난 주 카월(Carwall)이라는 소프트웨어를 발표했다. 카월은 자동차의 전자 통제 유닛(ECU)에 설치되어, 합법적이지 않은 활동을 전면 차단시킨다. “공장에서 설정한 세팅 상태에서 벗어나지 못하도록 하는 것입니다.” 카람바의 공동 창립자인 데이비즈 바질라이(David Barzilai)의 설명이다.

카람바 역시 “세계 최고의 자동차 브랜드와 손을 잡고 스마트카의 사이버 보안을 도모하고 있다”고 공식적으로 말하고는 있으나 ‘어떤 브랜드’인지는 밝히지 않고 있다. 바질라이는 “자동차 생산자들은 현재 보안 기술을 이해하려고 하는 데에 많은 노력을 기울이고 있다”며 “실천력과 함부로 떠벌리지 않는 조심성까지 겸비한 노력이라 가시적인 성과가 곧 있을 것 같다”고 점쳤다.

결국 위험하다 위험하다 한 IoT 품목 중 스마트카가 거의 유일하게 조용한 발전을 해온 듯한 분위기다. 가트너에 의하면 2020년까지 2억 5천만 대의 스마트카가 거리 위에서 달리고 있을 거라고 예측되는 가운데, 자동차 산업의 이러한 조용한 노력은 어느 정도 신뢰감을 형성하는 데에 도움이 될 것으로 보인다.

하지만 바질라이는 “스마트카가 거리 위를 달리려면 법률적인 조율 및 개선도 필요하다”며 “기술적인 노력은 일부의 문제만 해결하는 데에 그칠 뿐”이라고 말한다. “또한 스마트카 운영과 보안 실천 사항에 대한 여러 가지 가이드라인과 실천 사항들도 정해져야 하겠죠. 이제는 그런 모든 사회적인 문제들도 보안의 ‘취약점’이라고 해석할 수 있는 때입니다. 사이버 보안의 범위가 빠르게 넓어지고 있다는 게 어찌 보면 더 시급한 문제 아닐까요?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)