● ‘스마트카 해킹 우려’ 현실화
제4차 산업혁명의 만개에 따른 커넥티드카(Connect Car) 일명 스마트카 운행이 늘면서 관련한 사고도 함께 늘고 있으며, 비례하여 사이버 해킹 위협도 커지고 있다. 특히, 커넥티드카를 해킹하면 내부 데이터 조작, 통신 혼선, 악성코드 감염, 원격 제어와 오작동을 유발한다. 또한 브레이크나 핸들을 임의로 조작하게 되어 대형 사고로 이어질 가능성이 매우 지대하다.
오늘날 차량은 대부분 전자제어장치(ECU)가 장착 되어 제조되고 있다. ECU는 차량 내부에서 상호 간의 네트워크를 통해 차량 운행에 필요한 포괄적 데이터를 긴밀하게 공유하게 된다.
일반적으로 내연기관으로 작동하는 자동차 한 대에는 반도체가 200~300개 탑재된다. 하이브리드 자동차는 500개 이상, 전기차에는 1000개 이상 쓰인다. 특히 각종 센서를 내장한 자율주행 자동차에는 2000개 이상이 장착될 것으로 보인다.
해커들이 악성 프로그램을 유포할 수단은 너무 다양하다. 특히 전기자동차는 배터리, 모터, 브레이크 등을 반도체와 프로그램으로 제어한다. 또한 이들 차내 내부 기관들은 거의 매일 충전하면서 충전망과 정보를 외부로 주고받는다. 특히 제조사, 판매사, 통신회사, 와이파이 무선망 및 사용자 휴대폰과도 무선 통신기능을 유지한다. 이들 통신망을 통해 제어시스템을 노린 악성 코드를 심었을 때 해커들의 차량 원격 조종이 가능해진다.
더욱이 해커가 차량 시스템을 불법 조작하면 심지어 차량 배터리에 과부하를 일으켜 불이 나게 하거나 자동차의 가속·제동 기능을 장악하여 결국 엄청난 인명 손실을 가져올 수 있다.
● 다양한 해킹 사례들 ‘섬뜩’
해커는 시스템을 조작해 문을 잠그거나 열고, 시동을 켜고 끌 수 있다. 정차한 상태에서 이러한 공격은 물리적 피해 정도이지만, 주행 중인 자동차에 조향이나 감속·가속까지 조정하는 사이버 공격은 큰 인명 피해로 이어질 수 있다.
이런 해킹 사례는 빠른 속도로 현실화 조짐을 보이고 있다. 2022년 1월, 독일의 데이비드 콜롬보(David Colombo)라는 해커는 미국 테슬라의 전기차 25대를 원격으로 해킹한바 있다. 콜롬보는 “열쇠 없이 문과 창문을 열고, 자동차를 움직일 수 있다”며 “보안 시스템의 비활성화가 가능하고, 운전자 유무 확인, 음향시스템과 헤드라이트의 조작도 가능했다”고 공공연히 자랑하기도 했다.
2022년 초 러시아의 모스크바와 상트페테르부르크 사이 고속도로에서 해커 집단의 공격으로 전기차 충전소가 폐쇄된 적이 있다. 2020년에도 테슬라 모델X가 2분 30초 만에 화이트해커 손에 뚫리기도 했다. 해커는 본인 노트북과 자동차 키를 연결해 잠금 해제 코드를 생성하고, 이를 통해 문을 열 수 있었다.
2016년 9월에는 테슬라의 차량 보안망이 중국 연구진의 해킹에 뚫린 바 있다. 중국 텅쉰 산하 ‘킨 보안 연구소’는 테슬라 차량을 해킹한 뒤 근처에서 노트북으로 조작하자 아무도 타지 않은 차량의 창문이 열리거나 좌석이 움직이고 문 잠금이 해제되는 영상을 공개한 바 있다.
2016년 2월 25일, BBC는 ‘보안 연구원 트로이 헌트’가 ‘닛산 리프 차량’을 해킹하는 데 성공했다고 보도한바 있다. 2015년 12월에는 일본 히로시마 시립대 연구진이 도요타 자동차를 해킹해 스마트폰으로 무선 조작하는 실험에 성공했다. 스마트폰으로 조작하자 주차 상태인 차량의 속도 계기판은 시속 180㎞까지 치솟는 등 액셀러레이터가 기능을 상실하기도 했다.
● 해킹 ‘예상 시나리오들’
전문가들은 2025년까지 약 4억7천만 대의 차량이 온라인 데이터베이스에 연결될 것으로 예상하면서, 해킹을 통한 원격 조종 등 각종 사이버 범죄가 늘어날 것으로 분석하고 있다.
특히 전기차 충전소 해킹은 개별 운전자에게도 위험요소로 작용하지만 더 큰 위험은 대규모 공공 충전소 네트워크가 폐쇄되어 ‘인명적 금전적 손실’을 엄청나게 입힐 수 있어 매우 우려된다. 이뿐만이 아니다. 수많은 가정용 충전기 또한 차량 소유주의 와이파이망과 스마트폰 앱, 이동통신망에 연결돼 있어 잠재적 공격의 접근 통로가 된다.
만약 누군가가 주행 중인 내 차의 브레이크를 오작동을 일으켜 운전대를 마음대로 조종한다면, 나는 물론이고 도로 위의 수많은 차들, 그리고 보행자의 생명까지 위협하게 될 것이다. 특히 상업용 차량이나 구급차, 소방차, 버스, 택시, 렌터카, 대형 트럭 소유주가 주요 공격 대상이면, 아찔하기만 하다.
따라서 랜섬웨어의 공격을 받은 차량 소유자는 차량에 대한 제어권을 되찾거나 차량을 정상동작 상태로 복구하기 위해서 해커가 요구하는 몸값을 지불해야만 한다.
2020년 9월 21일 한국교통안전공단에 따르면. 이스라엘 보안업체 ‘업스트림 시큐리티’가 전 세계 자동차의 사이버 공격을 집계한 결과 2010년 5건에서 2015년 32건, 2018년 79건, 2019년 188건으로 급격히 늘면서 자동차 사이버 보안이 시급한 과제로 떠오르고 있다.
영국 주니퍼리서치는 한 건의 사이버 해킹으로 자동차 제작사의 손해는 최대 11억 달러(약 1조 2444억 원)에 달할 것이고, 2023년 올해까지 자동차 업계는 매년 240억 달러(약 27조 1560억 원)의 비용을 치러야 할 것이라고 음울한 소식을 전한다.
● ‘정부‧제조사‧충전업체’ 선제대응
자동차 자체의 기능이 복잡해지고 자동차와 연계되는 디바이스의 종류가 다양해지면서 자동차를 구성하는 소프트웨어(SW)도 복잡해지고 있다. 이는 동시에 보안의 취약점도 증가한다는 것을 의미한다. 이와 관련 ‘테크 모니터’는 “자율주행기술 및 차량 관련 기술이 개발됨에 따라 자동차 사이버 보안 시장도 커질 것”이라며 “2025년까지 시장 규모가 약 40억 달러로 늘어날 것”이라고 전망한다.
2022년 9월 미국 도로교통안전국은 무선 연결된 전자제어장치(ECU)와 차량 제동·조종·추진·전원 관리 기능 간의 연결을 제한하도록 권고하는 내용을 담은 자동차산업 사이버보안 가이드라인을 개정한바 있다.
이에 우리나라 정부도 본격적인 자율주행차 상용화 시대를 앞두고 해킹 위협 대응에 나섰다. 사이버 보안 규정 시행에 맞춰 자동차 사이버 보안 법제화 및 표준 업무 가이드 작업이 국토교통부를 중심으로 진행되고 있는 것으로 전해진다.
급속 충전시스템의 경우에는 한국전력의 전력 계통에 연결되어 있어 외부의 공격자가 충전기를 통해 전력 계통에 접근할 가능성이 있다. 또한 전력계통은 정산을 위한 과금 연계서버 등을 통해서도 공격자의 침투가 예상되기 때문에 이에 대한 철두철미 통신보호 대책이 필요하다.
이에 응당 정부는 각종 보안 위협으로부터 안전한 자동차를 제작할 수 있는 환경을 구축하기 위해 국내 상황에 맞는 적절한 표준을 마련하고 자동차 해킹에 대한 정보를 공유‧분석할 수 있는 자동차 보안 센터와 자율주행차 시험을 위한 환경을 선제적으로 조성해야 한다.
나아가 자동차 사이버보안에 특화된 전문 기구를 구성‧운영해 자동차 사이버보안 강화를 지원할 수 있는 환경조성에 신속히 착수해야 한다.
아울러 국내 자동차 보안전문가를 양성하는 일은 물론 자동차 관련 해킹에 대한 정보 공유·분석 네트워크를 구축해 업계와 공조해야 한다. 이와 함께 전기차 제조사와 충전업체들은 공동으로 보다 강력하고 포괄적인 보안 프로토콜 생태계 투자에 함께 전폭적 힘을 모아야 한다.