<사진 출처 : www.freepik.com>

​

I. 자동차 사이버보안 위협

​

운전자의 편의성 및 안전성 향상을 위하여, 과거 기계적으로 제어되던 차량의 많은 기능들이 최근에는 전자제어장치라 불리는 소형 컴퓨터에 의하여 전자적으로 제어되고 있다. 차량의 기능을 전자적으로 제 어함으로써 얻어지는 이점들 중 한 가지 예를 들어보면, 운전자가 브레이크를 밟지 못하는 상황에서도 충돌이 예상되는 상황이라면 차량이 자동적으로 브레이크 기능을 작동시켜 사고를 예방하게 된다. 이는 최근 AI 기술의 대표 서비스 중 하나인 자율주행 자동차 기술과도 연결된다고 말할 수 있겠다. 고급 차 량의 경우에는 약 100여개의 전자제어장치가 탑재되어 있다고 알려져 있으며, 이러한 많은 전자제어장 치는 운전자의 편의성 및 안전성 향상을 위해 차량에 적용되는 기술도 매우 많다는 것을 의미한다. 테슬 라 차량 같은 경우에는 여러 개의 저성능 전자제어장치를 하나의 고성능 기기로 대체하는 통합 전자제 어장치를 탑재하고 있기도 한다.

​

자동차 내부에서 여러 개의 전자제어장치는 하나의 네트워크를 형성하여 센서 정보나 제어 명령어를 서로 송·수신한다. 이때, 주로 사용되는 통신 프로토콜이 1980년대에 Bosch社에서 개발한 CAN(Controller Area Network) 통신 프로토콜이다. 상당히 오래전에 개발되었지만, CAN 통신 프로토 콜은 매우 간단한 구조로 설계되었기 때문에 통신 시에 에러가 거의 발생하지 않고 높은 통신 안정성을 제공한다. 오동작이 발생한다면, 사람의 생명까지 위협할 수 있는 자동차 환경에서는 통신 안정성이 매 우 중요한 조건이다. 따라서 차량 제어와 관련된 핵심 파트인 샤시(Chassis) 기능 제어를 위한 네트워크 통신에는 CAN 통신 프로토콜이 대부분의 차량에 적용되고 있다. 하지만 자동차의 많은 기능이 전자적으로 제어됨에 따라, 이를 타겟으로 하는 차량 사이버공격에 대한 위협도 함께 증가하고 있다. 실제로 2015년도에 사전에 어떠한 조작도 하지 않은 차량을 대상으로 원격 에서 해당 차량을 제어하는 사이버공격이 시연되기도 하였다 [3]. 유엔유럽경제위원회(UNECE)에서는 자 동차 사이버 보안 요구사항에 관한 내용을 법규로 지정하였고, 2022년 7월 유럽에서 생산되는 모든 차 량에 자동차 사이버 보안을 위한 기술적 조치가 의무화되어야 한다고 규정하였다. 이로 인해, 자동차 사 이버보안은 산업계와 학계 모두 실제 차량에 적용 가능한 자동차 보안기술 개발에 집중하고 있다. 차량 사이버공격에 주된 원인은 앞서 설명한 CAN 통신 프로토콜에 암호 알고리즘을 적용하기 어렵다는데 있 다. CAN 통신 프로토콜의 통신 속도는 약 500kbps로써 암호 알고리즘이 적용되어 MAC(Message Authentication Code)와 같은 추가적인 데이터가 전송되기에 통신 속도가 매우 제한된다. 만약 암호 알고리즘을 적용하여 추가적인 데이터 전송을 하게 된다면, 차량을 제어하기 위한 데이터들의 전송 딜레 이가 발생하게 되어 결과적으로 차량의 안정성을 훼손하게 될 것이다. 과거에는 자동차 내부 네트워크가 폐쇄된 환경으로 외부 공격자가 임의로 Access하여 악의적인 제어 메시지를 전송하지 못 할 것이라 생 각하여 왔다. 하지만, 최근 차량 정비 목적이거나 텔레매틱스 서비스를 위해 외부에서 차량 내부 네트워 크에 Access 할 수 있는 Access Point들이 많이 등장하고 있다. 대부분의 차량 사이버해킹 사례는 이러 한 Access Point의 접근제어를 우회하여 차량 내부 네트워크에 악의적인 제어 메시지를 전송하는 방법 들이다. 본고에서는 자동차 사이버 공격 방법과 이에 대한 대응방법인 차량용 침입탐지 기술 (Automotive Intrusion Detection System)에 대하여 이야기 하겠다.

​

II. CAN 통신 프로토콜

​

1. 전자제어장치

운전자와 탑승자의 편의성(Convenience)과 안전성(Safety)을 위하여, 과거에는 기계적으로 제어되던 다수의 차량 기능들이 전자적으로 제어되고 있다. 자동차의 전자적 제어를 위하여 전자제어장치 (Electronic Control Unit, ECU)라 불리는 여러 개의 임베디드 컴퓨터(Embedded Computer)가 차량 에 탑재되고 있다. 최초의 ECU는 Engine Control Unit으로 불렸으며 엔진을 전자적으로 제어하여 차 량의 배출가스를 조절하기 위해 개발되었는데, 최근에는 엔진뿐만 아니라 많은 부분들이 ECU를 이용하 여 전자적으로 제어하고 있다. 현재 판매되고 있는 고급차량의 경우 약 100개의 ECU들이 차량에 탑재되어 동작하는 것으로 알려져 있다. 이처럼 여러 개의 ECU들은 자신의 상태정보를 다른 ECU들과 공유 하기 위해, CAN(Controller Area Network)이라 불리는 통신 프로토콜을 이용하여 네트워크를 구성하 고 있다. [그림 1]은 각 기능을 담당하고 있는 ECU들이 CAN 프로토콜을 이용하여 네트워크를 구성하 고 있는 개념을 보여주고 있다. CAN 프로토콜은 1986년 Bosch 社에 의하여 개발되었다 [5]. CAN 프로토콜은 네트워크를 버스(Bus Topology) 형태로 구성하여 필요한 케이블의 양을 최소화하여 차량의 전체 중량을 줄일 수 있는 장점을 갖고 있고, 통신 시 에러가 적은 높은 신뢰성(Reliability)으로 인하여 현재까지 모든 차량의 자동차 내부 네트워크를 위한 통신 프로토콜로 사용되고 있다.

​

2. CAN 프로토콜

CAN 프로토콜은 1986년 개발되었지만, 차량 내부 네트워크를 구성하기에 적합한 장점으로 인해 현 재까지 널리 사용되고 있다. 하지만 개발 당시에는 사이버보안 위협에 대한 개념조차 제대로 정립되지 않은 시기였기 때문에, 현재 CAN 프로토콜은 여러 사이버보안 위협에 그대로 노출된 채 자동차에 적용 되고 있다. 최근 발표되고 있는 자동차 사이버보안 위협 대부분은 이러한 CAN 프로토콜의 보안 취약점 을 이용하고 있다. 이번 절에서는 자동차 사이버보안 위협과 연관되어 있는 CAN 프로토콜의 동작 원리 에 대하여 알아보도록 하겠다.

​

3. Bit Coding

CAN 프로토콜은 전기적 신호를 이용하여 0 또는 1 비트를 표현하기 위해, NRZ(Non Return to Zero) 인코딩 방법을 사용한다. CAN 프로토콜은 CAN-H와 CAN-L라 불리는 2개의 선을 이용하여 통신 을 수행하는데, 2개의 선의 전압차이 없는 경우에는 비트 1을 표현하고, 2개의 선의 약 2.5V 전압차가 있는 경우에는 비트 0을 표현한다. CAN 프로토콜에서는 비트 1을 Recessive 비트라 하며, 비트 0을 Dominant 비트라고도 한다. [그림 2]는 CAN 데이터 프레임에서 각 비트를 표현하기 위해서 CAN-H와 CAN-L 파일의 전압 변화를 보여주고 있다.

​

4. 데이터 프레임

CAN 프로토콜은 4가지 CAN 프레임 i) Data Frame, ii) Remote Frame, iii) Error Frame, iv) Overload Frame을 정의하고 있다. 이중 Overload 프레임은 현재 사용되지 않고 있으며, ECU는 데이 터 프레임을 사용하여 메시지를 전송하고 있다. [표 1]은 데이터 프레임에 정의되어 있는 필드와 그에 대한 설명을 보여주고 있다. 데이터 프레임에서 눈여겨 볼 필드로는 ID(Identifier), DLC, Data filed가 있다. ID 필드는 해당 데이터 프레임의 전송 우선순위를 의미하며, 하나의 ECU에게 고유하게 할당되기 때문에, 같은 ID를 갖는 메시지가 동시에 CAN Bus에 전송되는 일이 없으며, 만약 그런 경우가 발생하 면 에러로 간주하여 에러 핸들링 절차를 진행한다. 데이터 프레임의 데이터 필드는 0~8 바이트로 가변 길이를 갖고 이를 DLC 필드에 표시한다. 데이터 필드에는 ECU가 실제로 자신의 상태정보나 차량의 제 어를 요청하는 정보를 포함하고 있다.