모든 것이 연결된다는 커넥티드 카, 해킹되면?
자동차 마니아라면 한 번쯤 보았을 영화 ‘분노의 질주’ 시리즈 중에서 <분노의 질주 8 : 더 익스트림>에는 ‘좀비 타임’으로 부르는 장면이 나와요. 악당들이 자율 주행차를 해킹해 주인공들을 공격하는데, 블록버스터 스케일에 걸맞게 대량의 차량이 해킹돼 도로는 그야말로 아비규환이 되죠. 실제 2018년 여름 미국에서 테슬라 고급 전기차 모델 S 절도 용의자가 스마트폰만으로 자동차 보안을 뚫었다고 주장해 논란이 되기도 했어요. 자동차의 연결성이 증대되면서 자동차 해킹 사례도 증가하고 있는데요, 커넥티드 카의 해킹 이슈를 살펴봤습니다.
커넥티드 카의 개념
커넥티드 카(Connected Car)는 네트워크에 연결된 자동차가 다양한 서비스를 제공하는 것을 의미해요. 자율 주행 자동차(Self-driving car), 더 나아가 지능적인 서비스를 제공하는 스마트 카(Smart Car) 등 미래형 자동차에 대한 다양한 개념 중 하나죠.
커넥티드 카의 개념은 처음 텔레매틱스(Telematics, Telecommunication + Informatics)에서 시작됐어요. 텔레매틱스는 자동차와 무선통신을 결합하여 인터넷에 연결하고, 실시간으로 차량 위치를 파악해 원격으로 차량을 제어, 진단하며, 위험을 경고해 사고를 방지하고 교통정보 서비스를 제공하는 기술이에요. 1996년 미국 제너럴 모터스(GM)가 상용화하면서 본격적으로 성장했죠.
초기 커넥티드 카는 차량의 내부나 주변의 네트워크 혹은 인터넷에 연결해 원격 시동과 진단, 전화·메시지·이메일 송수신, 실시간 교통정보, 긴급구난 등의 서비스를 제공하는 것이 목적이었어요. 사물인터넷(IoT)이 확산되면서 커넥티드 카는 초창기 텔레매틱스의 기능을 넘어 점차 고도화되고 있죠. 오늘날 커넥티드 카의 궁극적인 목적은 차량에서 다양한 인포테인먼트(Infortainment, Information + Entertainment)를 제공하는 동시에 자율 주행을 실현하는 것이에요.
커넥티드 카는 V2X (Vehicle to X)로 대변되는 통신 기술을 기반으로 차량과 차량(V2V), 차량과 사물(V2I) 등과 연결돼요. 그리고 안전한 자율 주행 또는 주행보조 기능을 제공하거나, 차량 자체와 교통 흐름 등에 대한 정보도 주고받아요. 지금은 스마트홈, 인공지능을 갖춘 자율 주행 등 스마트시티의 중요한 연결과 이동 수단으로 자리매김하고 있답니다.
다양한 자동차와 IT 기업들이 커넥티드 카에 대한 투자와 개발에 속도를 내는 만큼 기술 개발도 활발한데요. 벤츠는 차량의 운행시간과 주변 환경정보를 인식하고, 운전자가 자주 가는 장소를 스스로 검색하여 추천하는 등 운전자의 습성과 과거 이력을 토대로 서비스를 제공하는 인포테인먼트 시스템을 선보였어요. 아우디는 LTE 통신망을 활용하는 ‘아우디 커넥트’를 통해 온라인 게임이나 VoD(Video on Demand)를 차량에서 이용할 수 있어요. 또 실시간 교통정보를 수신해 전방의 교통 및 신호 상황을 파악하여 최적의 주행 속도를 추천하기도 하죠.
크라이슬러는 인포테인먼트 시스템인 ‘Uconnect’를 통해 음성인식, 긴급 구조 신고, 위성 라디오, 이메일 송·수신, 차량 찾기, 스마트폰으로 차량 조작 및 체크 등의 기능을 지원해요. GM은 차량 안에 와이파이를 지원하여 탑승자가 모바일 기기로 무선인터넷을 활용할 수 있어요. 또한 내비게이션과 각종 프로그램이 항상 연결되어 있는 통신망을 통해 자동으로 업데이트됩니다.
기아차의 ‘UVO’는 스마트폰과 내비게이션 화면을 무선으로 연결하여 HD급 이상의 화면을 연동할 수 있어요. 또 개인 일정과 온라인 정보를 연동한 비서 서비스, 운전자와 주행 상황을 파악하여 음악을 조절하는 스마트 라디오, 전방 차량 및 도로 인프라와 통신하며 사고 정보나 교통정보를 미리 알려주는 서비스 등을 지원해요.
IT 업체들의 도전도 눈에 띄는데요. 알리바바는 자체 개발한 운영체제인 윈 OS(YunOS)를 탑재하고, 항상 인터넷에 연결될 수 있는 커넥티드 카인 ‘RX5’를 출시했어요. 구글은 자율 주행 자동차 분야의 IT업계 선두주자로 자율 주행 택시를 선보이려고 하고, 안드로이드 기반의 차량용 시스템을 중장기 사업으로 추진하고 있어요. 최근에는 우버의 경쟁사인 리프트(Lyft)와 제휴와 10억 달러 투자에 나서며 운행 빅데이터 수집을 적극적으로 하고 있답니다.
아마존은 자사의 음성인식 인공지능인 알렉사와 아마존에코 플랫폼을 포드, 도요타, BMW, 현대차, 폭스바겐 등과 제휴를 통해 차량에 탑재하며 장악해 나가고 있어요. 애플과 바이두의 경우 자사의 핵심 시스템과 플랫폼을 차량에 탑재하는 형태로 시장 점유를 노리고 있죠.
국내에서는 네이버와 다음카카오가 국내 교통서비스 인포테인먼트를 공략하고 있어요. 네이버는 인포테인먼트 플랫폼인 ‘AWAY’를 개발해 음성인식 내비게이션, 음악 재생, 지역 정보 검색 서비스가 제공될 수 있게 하였고, 다음카카오는 자사의 카카오 플랫폼을 이용한 종합 인포테인먼트 시스템을 개발하며 대중교통 서비스 및 주차안내, 내비게이션 서비스 등을 목표로 하고 있어요.
커넥티드 카 패키지 시장에서 기존에는 내비게이션이나 엔터테인먼트 등 연결성 기반의 서비스가 주류였으나, 앞으로는 자율 주행이나 주차 보조 같은 분야의 시장이 크게 확대될 것으로 보여요. 궁극적으로 커넥티드 카는 자율 주행을 위한 기술로 점차 확대되고 융합될 것으로 전망되고 있어요.
이에 따라 자율 주행 자동차나 스마트 카와 경계가 점점 모호해지고 있기 때문에, 앞으로 ‘커넥티드 카’라고 정의한 시장만을 따로 구분하는 것보다는 같은 시장으로 바라보는 시각이 더 많아질 거예요.
커넥티드 카는 해킹이 가능한가?
앞서 말한 영화 <분노의 질주>의 자율 주행 자동차 해킹 장면은 언뜻 허무맹랑한 이야기로 보이지만 제대로 대비하지 않는다면 실제로도 충분히 일어날 수 있는 일이에요. 스마트폰이나 PC처럼 네트워크를 기반으로 동작하는 커넥티드 카는 좀비 PC나 좀비 스마트폰을 만드는 것과 유사한 기술로 해킹할 수 있어요. 실제로 커넥티드 카 개발 초창기에 몇 번의 해킹 시연이 있기도 했죠.
자동차는 우리 주변에서 흔히 볼 수 있는 사물이고, 빠르고 무거워서 해킹이 된다면 사람에게 직접적인 피해를 입힐 수 있어요. 그래서 커넥티드 카 시장이 점점 커질수록 보안에 대한 중요도도 점점 높아지고 있답니다. 네트워크 보안에서는 완전무결한 보안이란 없어서, 각 보안 업체들이 결점을 찾아내고 미리 대비하는 선제 대응이 필요한 이유이기도 해요. 과거의 자동차에서 가장 중요한 것이 ‘안전’이었다면, 이제는 ‘보안’이 추가된 것이죠.
현재 자동차 해킹 기술은 영화처럼 동시다발적으로 자동차의 모든 부분을 움직이지는 못해요. 커넥티드 카의 경우 내부 시스템 보안, 외부 시스템 보안, 자동차 자체 시스템의 보안이 분리돼 있기 때문인데요. 하지만 이 중 한 부분이라도 해킹이 된다면 위험한 상황이 발생하겠죠?
예를 들어, 해커가 내부 시스템을 관장하는 ‘OBD-II(온보드 진단기)’를 해킹했다고 가정해 보면, 이제 해커는 OBD-II에 연결된 기능 중 통신을 담당하는 ‘CAN(Controller Area Network)’에 접근할 수 있어 자동차의 와이퍼나 브레이크 등의 부품을 제어할 수 있어요. 주행 중에 이것을 조작한다면 위험한 상황이 발생하겠죠. 또한, 최근에는 블루투스나 와이파이로 OBD-II에 연결할 수 있는 사례가 발견됐기 때문에 무선 보안에도 신경 써야 해요.
멀티미디어, 자율 주행 등을 위해 탑재되는 일종의 컴퓨터인 ECU 역시 네트워크를 통해 해킹될 수 있어요. 좀비 PC를 만드는 DoS 공격을 통해 자동차 시스템을 먹통으로 만들거나, 자율 주행 자동차의 ECU를 해킹한다면 <분노의 질주>처럼 차량을 마구잡이로 조종하는 해킹도 가능하게 된답니다.
자동차와 스마트폰을 연동해서 사용하는 기능이 많아지고 있는 만큼, 스마트폰을 통한 해킹 위협도 높아지고 있어요. 커넥티드 카의 경우 편의성을 위해서 스마트폰과 차량을 연결하는 기능이 주로 탑재되는데, 이 경우 모바일 해킹만으로 차량을 조작할 수 있어서 자율 주행 단계가 발전할수록 해킹의 위협도 커지고 있죠. 예를 들어, 모바일 기기를 해킹해 차량 제어나 통신을 조작하면, 차량에 탑재된 운전자의 주요 정보나 차량 제어권을 탈취당할 수 있어요.
그렇다면 이렇게 다양한 해킹은 어떻게 막아야 하는 걸까요? 미국과 유럽을 중심으로 진행 중인 다양한 프로젝트에서, 자동차 방화벽이나 침입 탐지 등 CAN에 대한 보안이 준비되고 있어요. PC나 스마트폰에 기본적으로 설치되는 방화벽을 더욱 안전하게 만드는 방식이라고 보면 돼요.
PC나 스마트폰의 경우, 안전하다고 인증 받지 않은 프로그램을 설치하거나 사이트에 접근하면 방화벽이 이 사이트나 앱을 자동으로 차단하죠. 주로 ‘AUTOSAR(AUTomotive Open System ARchitecture)’의 기술을 표준으로 하며, CAN이 더욱 발전된 CAN-FD 혹은, PC처럼 완전히 인터넷에 열려 있는 이더넷 기반으로도 추가 기술이 개발되고 있어요. 주로 Bosch, Vector, ESCRYPT, NXP 등의 회사가 연구를 진행 중이에요.
국내에서도 비슷한 기술이 활발하게 연구되고 있어요. 최근, 한국전자통신연구원(ETRI)이 ‘ECU 보안 검증’ 하드웨어 플랫폼과 ‘지능형 원격검침’ 인프라를 선보였는데, ECU 보안 검증이란 이더넷 기반의 보안 기술을 말해요.
ECU(Electronic Control Unit, 차량 제어기)란 신호를 받아 차량을 움직이도록 하는 장비인데, 파워트레인 ECU, 섀시 ECU, 바디 ECU, 인포테인먼트 ECU가 신호를 받으면 차량 각 부분의 액추에이터를 움직여 차량을 조작하는 것이랍니다. 그런데 영상이나 음악을 받아와야 하는 인포테인먼트 ECU의 경우 외부와 통신할 수 있는데, 다양한 ECU 보안 소프트웨어는 이러한 특성을 이용해 PC와 스마트폰 보안 소프트웨어처럼 인터넷을 통해 결점을 찾아내고 자동분석해주는 프로그램이에요. 차량용 백신이라고 생각할 수 있어요.
한편 국내 보안 업체인 펜타시큐리티 등을 중심으로 ‘V2X 보안인증체계’ 시스템 구축도 이뤄지고 있어요. V2X는 C-ITS(Cooperative-Intelligent Transport Systems)와 자율 주행 자동차를 위한 필수적인 통신 시스템이에요. C-ITS는 진화한 지능형 교통 시스템인데 차가 많이 막힌다면 우회경로를 알려주고, 앞선 차선에서 사고가 있다면 위협을 알려주는 등 CCTV, 신호등, 셀룰러 통신, 자율 주행 자동차 혹은 커넥티드 카, 보행자 등과 협력해 최단 시간에 최고의 안전 경로를 찾아주도록 하는 시스템입니다.
현재 C-ITS는 국내에서도 서비스 단계에 진입했고 V2X는 이 시스템의 핵심 기술로 쓰여요. 즉, 네트워크 보안의 교통 버전인 셈이죠. 스마트폰이나 기업 보안 등에 쓰이는 IoT 통신 보안과 원리 자체는 비슷해요. 기기끼리 통신을 주고받을 때 기기가 인증받은 것인지를 확인하고, 인증서를 통해 신원을 빠르게 확인하고, 이 확인이 빠르게 이뤄졌을 때 정보를 교류하는 등의 조치를 하는 것이죠.
커넥티드 카의 해킹을 막기 위해서는 지금까지 살펴본 네트워크 보안도 중요하지만, 자동차에 기본적으로 탑재되는 보안 시스템도 중요해요. 스마트폰이나 PC의 OS에 진단 시스템이 기본적으로 탑재된 것과 마찬가지랍니다.
커넥티드 카는 현재 다양한 안전 기능과 엔터테인먼트 기능을 갖추며 빠르게 보급되고 있어요. 자율 주행이 완벽하게 이뤄질 시점이 되면 이 기능들은 더 여러 곳에 적용돼 차량은 가장 안전한 휴식처가 될 것으로 보입니다. 또 우리가 도로상에서 흔히 겪는 특별한 이유 없이 도로가 막히는 유령 체증 현상도 해소될 것으로 기대돼요. 그러나 그전에 보안부터 완벽하게 처리해야 하겠죠.
4차 산업혁명 시대라 일컫는 요즘, 모든 사물의 연결(IoT)은 스마트 가전과 홈을 넘어 자동차와 도시 인프라까지 퍼지고 있으며 이러한 현상은 점차 가속화될 거예요. 이러한 추세에 맞춰 차세대 이동 수단으로서 연결성을 강조한 커넥티드 카의 앞으로의 귀추가 주목됩니다.
