당신의 차고나 드라이브웨이에는 현대식 여객기보다 더 많은 코드 라인을 가진 기계가 서 있다. 인터넷과 연결된 오늘날의 자동차와 트럭들은 날씨를 알려주고 개스 값을 지불하며 주차장을 찾아준다. 또 교통체증을 피해갈 루트를 알려주고 전 세계 라디오방송국들에 주파수를 맞출 수도 있다. 머지않아 이들은 서로 대화를 하고 당신이 좋아하는 상점을 지날 때 세일을 상기시켜 줄 것이다. 그리고 언젠가는 스스로 주행하는 날이 올 것이다.

 

인터넷 연결로 차량 해킹 침투에 갈수록 취약

최신 자동차들 코드라인만 무려 1억 개 달해

시스템 간 불필요한 교신 막아주는 방화벽 설치

 “생명이 걸린 사이버 보안이 업계의 최대 과제”

 

소비자들은 이런 기능들을 사랑할 것이다. 하지만 해커들은 더욱 이를 사랑할지 모른다. 이 때문에 많은 자동차 업계 관계자들은 궁극적으로 개인 운송 시스템에 대혼란을 야기할 수 있는 이들보다 어떻게 한발(혹은 두세 발) 더 앞설 수 있을지 고민하느라 밤잠을 설치고 있다.

해커들은 자동차들을 지배할 기회를 기다릴 수 없어 하는 것 같다. 지난 2019년 자동차 사이버보안 기업인 ‘카람바 시큐리티’(Karamba Security)는 온라인에 가짜 차량 전자제어장치를 올렸다. 그랬더니 사흘도 안 된 기간에 이를 뚫을 려는 시도가 무려 2만5,000회나 이뤄졌다. 그리고 한 개는 성공했다.

가장 유명한 자동차 해킹 탈취는 2015년 일어났다. 보안 연구요원들은 10마일 떨어진 곳에서 지프 체로키의 시동을 끄거나 라디오 방송국을 바꾸고 윈드실드 와이퍼를 작동시키고 찬바람을 나오게 하는 등 자동차를 마음대로 작동시킬 수 있었다. 지프의 모기업인 FCA는 취약점 보완을 위해 140만대에 대해 리콜을 실시했다.

해커 침투의 영향은 약간 짜증나는 상황일수도 있고 참극이 될 수도 있다. 해커는 운전자의 개인 데이터를 빼내거나 전화통화를 엿들을 수 있다. 자동차의 전자제어장치에 삽입된 범죄용 코드는 급가속을 하거나 엔진을 멈추게 할 수도 있다. 또 브레이크 파워를 잃게 할 수도 있다.

무수한 자동차들이 기괴한 주행을 하도록 조종할 수 있다. 그러면 커다란 교통참사가 일어날 수 있다. 해킹을 당한 전기 자동차는 충전을 하는 동안 전력망을 마비시킬 수도 있다. 눈으로 감지할 수 없는 방식으로 거리 사인들을 변형시킴으로써 스톱사인을 속도제한 사인으로 잘못 인식하도록 만들 수 있다.

문제는 여기서 그치지 않는다. 카람바 시큐리티는 추적 시스템을 마비시키는 해킹 피해를 당한 남미의 한 트러킹 회사를 도와주었다. 이 문제로 인해 절도범들은 들키지 않고 화물을 훔칠 수 있었다. 인터넷 검색을 바로 해 보면 전 세계 주요 자동차 브랜드들을 대상으로 한 성공적인, 하지만 아직은 그리 악성이 아닌 해킹 사례들아 나타날 것이다. 카람바의 최고 경영자인 아미 도탄은 “자동차의 방향과 속도를 장악하는 것, 이것을 자동차 업계의 모든 이들은 걱정하고 있다”고 말했다.

이 문제는 세계 항공기들의 안전보다 더 심각한 것일 수 있다. 자동차 사이버보안에 관한 McKinsey & Company 보고서에 따르면 현대의 자동차들은 약 150개의 전자제어장치와 약 1억 개의 코드라인을 갖고 있다. 2030년에 이르면 자율주행과 이른바 ‘차대차’ 커뮤니케이션 기능으로 코드라인 숫자는 3배로 늘어날 수 있다는 것이다.

이것을 약 1,500만 개의 코드라인을 가진 현대 여객기 혹은 약 4,000만개 라인이 있는 대형시장 PC 운영시스템과 비교해보라. 얼마나 복잡한지가 분명해질 것이다. 자동차 제조업체들은 사망 혹은 파손을 초래하는 성공적 해킹은 엄청난 타격이 될 것이라는 걸 잘 안다. “초대형 악성 공격을 막아야할 인센티브는 엄청나게 크다”고 McKinsey & Company 보고서를 쓴 군버트 셔프는 말했다.

자신들의 자동차는 궁극적인 개인 공간이라 믿는 운전자들에게는 자동차에 갑자기 뜨는 메시지 같은 비악성 공격조차 심각한 문제로 받아들여질 수 있다. 사이버보안 업체들은 여러 가지 방법으로 자동차들을 보호해야 한다.

악성코드를 지닌 심(SIM) 카드와 가짜 무선 소프트 업데이트, 스마트폰에서 자동차로 보내진 코드, 잘못된 정보에 속아 넘어가는 자동차 센서와 카메라 같은 것들이 위협이 된다. 또 자동차 컴퓨터 포트에 연결된 동글을 통해 악성코드가 침입할 수도 있다. 컴퓨터 포트는 통상 OBD-II 포트로 불리며 스티어링 휠 아래 부착돼 자동차 진단과 추적에 사용된다.

트럭 업체들은 더 위험할 수 있다고 GuardKnox Cyber Technologies 경영자인 모쉬 슐리셀은 말했다. 해킹으로 트럭업체 전체가 마비되거나 랜섬 요구를 받을 수 있다는 것이다. “우리는 트럭업체 전체에 대한 해킹을 가장 우려한다”고 자동차 부품업체인 콘티넨탈의 자회사인 Argus Cyber Security의 로넨 스몰리는 말했다. 그는 “가장 심각한 해커들은 아주 오래 활동해온 자금력이 좋은 그룹들에 속해 있다”고 덧붙였다. 슐리셀은 “대형 해킹이 일어나는 것은 시간문제다. 가장 안전한 자동차는 Model T Ford이다. 아무 것과도 연결돼 있지 않기 때문”이라고 설명했다.

무선 업데이트는 최신 자동차들의 소프트웨어 취약성을 조금 보완해줄 수 있다. 그러나 자동차 업계는 이런 문제가 발생하기 전에 전자 시스템을 보호하는 것을 목표로 하고 있다. 오디오와 내비게이션, 폰 시스템 등 외부 시계에 가장 많이 노출된 시스템들을 포함해서 말이다. 이런 것들과 보다 더 민감한 시스템들을 보호하기 위해 소프트웨어에서 하드웨어에 이르기까지 제조 단계별로 안전 조치들이 취해지고 있다.

자동차 제조업체들에 납품하는 주요 소프트웨어와 하드웨어 업체들은 인포테인먼트 시스템 같은 것들이 속도 제어와 스티어링, 그리고 다른 중요한 기능을 하는 시스템으로 코드를 전송하는 일이 없도록 막기 위한 방화벽을 설치하고 있다.

자동차 전자제어장치는 통상적으로 다른 시스템과 교신하지 않는 시스템이 갑자기 그렇게 하려 들 경우 경고를 보내도록 디자인돼 있다. 이럴 경우 시스템은 봉쇄되고 새로운 코드를 보내려는 시도는 제어된다.

GM의 사이버보안 담당 부사장인 케빈 티어니는 “생명이 달린 만큼 사이버보안은 우리의 최우선 과제”라고 강조했다. 이 기업에서는 90명의 엔지니어들이 풀타임으로 사이버보안을 위해 일하고 있다. 불필요한 소프트웨어는 없애고 시스템들이 필요할 때만 교신하도록 규칙을 만드는 게 이들의 주요업무이다.

올해 자동차 제조업체들에게 다양한 위험 평가 작업을 하도록 하고 사이버보안 태세를 인증 받으려면 침입 시도에 관한 보고서 제출을 의무화한 유엔의 자동차 사이버보안 규정이 마련됐다. 이 규정은 오는 2024년 7월부터 유럽에서 판매되는 모든 자동차들에 적용되며 일본과 한국에서는 2022년부터 발효된다. 미국은 이 규정에 서명하지 않았지만 미국에서 판매되는 자동차들이 다른 곳에서 판매되는 자동차들과 다른 사이버보안 기준에 따라 제조될 것으로는 보이지 않는다. 

<By Eric A. Taub>

2명의 연구진이 지난 2015년 지프 체로키를 해킹해서 차량 내 스크린에 자신들의 모습을 띄운 장면.     <Whitney Curtis for The New York Times>
2명의 연구진이 지난 2015년 지프 체로키를 해킹해서 차량 내 스크린에 자신들의 모습을 띄운 장면.