Proven by Intelligence

이렇듯, 차량과 ICT의 융합이 가속화되면서 다양한 분야에 새로운 비즈니스 모델이 제공될 거라고 예측

되는 가운데 몇 가지 문제들이 발생하게 되는데 그것은 기존 ICT 환경에서 존재하던 보안 위협들이 자동차 환경으로 전이된다는 점입니다.

유연한 커넥티드 카 서비스를 위해 최신 차량에는 운전자가 주행 중 다양한 기능들을 제공받을 수 있도록 100개 이상의 ECU(Electronic Control Unit)를 장착하고 지속적으로 ECU의 수를 증가시키고 있으며, 이를 외부 네트워크와 연결해 원거리에서도 조작할 수 있게 하고 있습니다.

이에 따라, 외부와의 접점이 없어 안전했던 자동차 내부 네트워크가 외부와의 연결성이 높아지면서 다양한 곳에서 내부 네트워크에 접근이 가능해졌고, [그림 3]⁶⁾과 같이 이러한 외부 연결에 대해 보안에 대한 설계를 하지 않고 통신이 이루어져 다양한 공격에 매우 취약하게 됩니다.

​

이러한 위협들은 운전자의 프라이버시 침해뿐 아니라 금융손실을 발생시키고 더 나아가 인명사고로까지 이어질 수 있습니다, [표 2]와 같이 각종 해킹 콘퍼런스나 국내·외 자동차 보안 관련 프로젝트들은 차량용 ECU와 내·외부 네트워크 취약점 분석에 대한 연구 결과를 꾸준히 발표하고 있습니다. 이러한 연구 결과들을 통해 기존 ICT 환경에서 존재했던 보안 위협들이 실제 자동차 환경에 전이되고 있음을 확인할 수 있습니다.

[그림 3] CAN(Controller Area Network) 보안 위협 시나리오

[표 2] 커넥티드 카 보안 위협 사례

[표 2] 이외에도 KISA에서 발표한 “스마트 교통 사이버 보안 가이드"에 따르면 다양한 보안 위협들이 존재합니다. 하지만, 이 포스팅에서는 키 관리를 중심으로 내용을 다뤄보려 합니다. 대부분의 보안 위협 사례들이 통신 구간 상의 위협 사례보다는 EE(End Entity) 단에서의 암호 키 노출에 의한 위협 사례들이 많기 때문입니다.

​

첫 번째로 OBD(On Board Diagnostics)의 취약점입니다. OBD란 차량의 명령 정보를 보낼 수 있는 진단 단자입니다. 최초 OBD는 미국에서 배출가스를 규제하기 위해 만들어진 규격이었습니다. 제조사들은 이를 통해 엔진을 모니터링하고 높은 수준의 효율성을 달성하게 되었습니다. 이후, 오늘날에 이르러 OBD 포트의 활용도는 기존 진단 기능뿐 아니라, GPS 트렉커를 OBD에 연결하여 차량 속도, 주행거리 유류 잔량, 안전벨트 사용 유무 등을 확인할 수 있도록 발전하였습니다. 당시에는 OBD 단자를 접근하려면 물리적인 접근만 가능하였으므로 보안 메커니즘이 고려되지 않았습니다. 그러나 현재는 3G/4G, 블루투스, Wi-Fi 등 무선으로 연결되어 있어, 해당 부분에 대한 원격 공격의 가능성이 매우 높아졌다고 할 수 있습니다. 해커들은 이러한 OBD의 취약점을 이용하여 차량을 제어하는 것이 가능합니다. 한 연구¹¹⁾에 따르면 50% 이상의 OBD 동글들이 노출된 키값에 의한 통신 도청 등의 취약점을 가지고 있다고 발표된 바 있습니다. 그러나, 이 문제점은 OBD에 접근하기 위한 ECU의 인증 단계를 추가함으로써 해결할 수 있으며, 그러기 위해선 인증에 필요한 암호 키를 안전하게 저장할 수 있는 공간(HSM, SE 등)과 추가적인 암호 키 관리 메커니즘의 적용이 필요합니다.

​

두 번째는 차량 관리 애플리케이션의 취약점입니다.

차량 관리 어플케이션도 OBD와 유사한 취약점을 가지고 있습니다. 최근 많은 사용자들이 스마트폰을 통해 차량을 제어하고 차량으로부터 다양한 서비스를 제공받고 있습니다. 사용자는 차량과의 통신을 통해 자신이 정당한 사용자임을 인증하고 접근 권한을 인가받을 수 있어야 합니다. 앞선 사례와 마찬가지로 스마트폰과 차량 간 통신을 통해 사용자 인증 단계를 수행해야 하며, 사용자 인증에 필요한 암호 키 역시 스마트폰 내에 있는 안전한 영역에서 관리되어야 합니다. 최근 커넥티드 카에 특정 암호 기술로 모든 해킹을 원천봉쇄한다는 식의 과도한 기사들을 볼 수 있는데, 이는 특정 구간에 대한 안전성을 제공하는 것일 뿐 그, 구간에서 사용된 암호 키가 안전하게 관리된다는 의미는 아닙니다. 해당 암호 기술도 결국 암호 키가 노출되면 위 사례와 같이 무용지물이 됩니다. 그렇다고 해서 이런 암호 기술들이 전혀 필요 없다는 의미는 아닙니다. 안전한 커넥티드 카 환경을 구축하기 위해서는 구간 암호화 기술 인증, 기술 등 요소별 다양한 암호기술이 필요하지만, 앞선 보안 위협 사례들과 같이 대부분의 취약점들은 암호 키가 노출되는 구간이므로 암호 키에 대한 관리가 매우 중요하다는 것입니다.

​

이 이야기는 비단 커넥티드 카 환경에만 국한된 것은 아닙니다. 암호 키 관리는 레거시한 응용 비즈 니스 모델과 신규 비즈니스 모델 모두에게 매우 중요한 요소입니다.

​

위와 같은 보안 위협에 대한 대응 방안으로 KISA에서 발표한 "스마트 교통 사이버 보안 가이드 > 보안 항목 및 대응 방안 > 암호"에서는 다음과 같이 권고하고 있습니다.

◇ 안전한 키 관리

- 안전성이 검증된 방법(안전한 난수발생기) 등 을 이용하여 암호 키 생성

- 암호 키 전송·저장 시 기밀성을 보장해야 한다.

• 물리적으로 안전한 H/W 영역(Secure Element, PUF 등)에 보관, 암호화 키로 비밀키 등 암호화, 암호 키 분산 전송/저장, 암호 키 난독화 방법 등도 사용될 수 있음

- 암호 키 전송/저장 시 무결성을 보장해야 한다. (예, 해시값 생성 등)

- 암호 키 사용 전 무결성 검증을 통해 변조 여부 확인 후 사용

- 데이터 중요도, 노출 가능성, 노출 시 위험 수준 등을 고려하여 암호 키 사용기간 설정 및 암호 키 갱신 수행

- 사용기간이 만료되거나 무결성이 훼손된 암호 키는 즉시 파기해야 한다.

- 암호 키 파기 시 암호 키 생성 관련 정보도 함께 파기해야 한다.

- 암호 키가 저장된 메모리와 암호 키가 저장된 파일은 복구할 수 없도록 영구 삭제해야 하며 아래의 방

법이 적용될 수 있다.

• 독일 SVITR : 7회 메모리 삭제 (0x00 또는 0xFF로 6회 덮어쓴 후 0xAA 1회 덮어쓰기 수행)

• 미국 국방부 DoD 5220.22 : 메모리 3회 삭제(0x35, 0xCA, 0x97)로 3회 덮어쓰기 수행

• 사용자 지정 횟수만큼 지정 값(고정 값, 난수 값) 등으로 덮어쓰기 수행

- 암호 키 저장 공간은 물리적 논리적, 비인가 접근으로부터 보호되어야 한다.

​

◇ 안전한 난수 생성

- 난수 이용 시 암호모듈 검증 대상(KS X ISO/IEC 19790* 또는 FIPS140-2**) 또는 난수 생성 알고리즘 사용

• http://www.nis.go.kr/AF/1_7_3_2.do 참고

• http://csrc.nist.gov/groups/STM/cavp/random-number-generation.html 참고

- 국가정보원 또는 NIST에서 배포한 각 표준 알고리즘의 테스트 벡터 값을 활용하여 구현의 정확성 검

증 후 사용

• http://www.nis.go.kr/AF/1_7_3_5/list.do

• http://csrc.nist.gov/groups/STM/cavp/random-number-generation.html

​

◇ 적용 범위