제1회 자동차 및 무인이동체 보안워크샵이 8월 6일 한국정보보호학회 자동차 및 무인이동체 보안연구회 주최로 개최됐다.
온라인으로 진행된 이날 워크샵에는 IoT 기기 보안성 평가인증과 자동차, 드론, 무기체계 및 제어시스템 보안 등 다양한 이슈에 대한 강연들이 이루어져 큰 과심을 끌었다.
손경호 강원대 교수는 ‘IoT 기기 보안성 평가인증 최신 동향’을 주제로 강연을 진행하며 “IoT 보안시험·인증체계 마련을 위해 국제 협력을 강화하고 국제 표준에 기반한 시험인증 기준과 CC/CMVP 등 기존 정부가 운영중인 시험·인증 제도와 연계 방안 마련이 필요하다. 그리고 IoT 기기 제조사 및 수입자가 정보보호 기준을 준수할 수 있도록 하는 법적 근거 마련에 따른 후속조치들이 필요하다”고 제언했다.
자동차 세션에서는 현실이 되어 가고 있는 자율주행 커넥티드 자동차에 대한 보안을 주제로 강연이 이어졌다.
심상규 아우토크립트 CTO는 ‘자동차 데이터, 보안과 활용은 공존할 수 있는가?’를 주제로 강연을 진행했다.
그는 “다가올 커넥티드카, 자율주행차는 주행하는 과정과 주변 차량 및 교통시스템들과 소통하면서 발생하면서 수많은 데이터들이 발생한다. 여기서 발생하는 데이터들을 수집, 관리, 활용하기 위해 보안은 필수적인 요소다”라며 “특히 자동차 프라이버시는 일반 IT 프라이버시와 달리 위치정보에 민감하다. 또 번호판, 동승자 정보도 중요한 프라이버시에 속한다. 이런 데이터를 어떻게 걸러내고 자율주행에 필요한 데이터만 수집, 활용할 수 있는지 연구가 이루어져야 한다. 더불어 프라이버시 문제가 해결된 자동차 데이터는 다양한 서비스에 활용될 수 있도록 연결되어야 한다. 그래야만 진정한 스마트카 시대를 열 수 있다”고 말했다.
이어 “이제는 자동차 데시보드에 속도나 주행 관련 데이터만 보여주는 것을 넘어 주행중 생성되는 데이터들이 잘 보호되고 있고 프라이버시가 지켜지고 있는지도 보여줘야 한다. 미국은 이미 이런 규정들을 마련하고 있다”며 “자동차 데이터 라이프사이클에서 핵심은 보안이 개런티 되어야 데이터 활용도 가능하다”고 강조했다.
이어 김휘강 고려대 교수는 ‘자동차 IDS 국내·외 동향’을 주제로 강연을 진행했다. 김 교수는 “자율주행차·커넥티드카로의 전환은 해킹에 대한 취약점 증가로 이어져 보안 강화에 대한 요구가 커지고 있다. 자동차 사이버보안은 자율주행 실현을 위해 필수 해결 과제로 인식되고 있다”며 “자동차 보안은 모니터링, 외부/내부 네트워크, 전장 및 ECU 보안으로 구분된다. 여기서 IDPS 기술은 차량 네트워크 보안의 핵심 요소”라고 설명했다.
김교수는 “현재는 CAN에서의 이상징후 및 알려진 공격 탐지 위주에 그치고 있어서 응용 서비스를 고려한 IDPS 개발이 필요하다. 또 데이터 기반 머신러닝을 이용한 IDPS 개발 및 데이터셋 확보와 공유, 품질평가가 중요해질 것”이라며 “더불어 차량 보안에 특화된 CTI 필요성도 증가하게 될 것”이라고 강조했다.
드론 세션에서는 서승현 한양대 교수의 ‘드론 보안을 위한 암호기술 현황’이란 주제 발표가 이어졌다.
서승현 교수는 “드론이 다양한 분야에 활용되고 있으며 시장도 커지고 있다. 이제 물품을 배달하는 용도에서 사람을 운반하는 교통수단으로까지 발전하고 있다”며 “드론 시스템은 무인비행체와 지상관제소, 상호 통신 구간 이렇게 3개로 이루어져 있다. 각 요소마다 보안취약점이 존재하고 있으며 드론 관련 해킹 공격 사례가 계속 발생하고 있다”고 설명했다.
드론 보안취약점은 물리적 보안위협과 사이버 상의 보안위협으로 나눌 수 있다. 물리적 보안위협은 드론을 불법 탈취 후 키 해킹, 드론 무력화, 불법 장치(무기) 탑재 등을 들 수 있고, 사이버 위협으로는 정보유출, 악성코드 감염 등으로 구분할 수 있다.
서 교수는 드론 통신 취약점을 공격해 해킹한 사례, 수집 정보를 조작하고 데이터를 탈취해 컨트롤을 제어하고 통제시스템을 감염시킨 사례 등을 소개하며, 드론의 암/복호화키가 공격자에게 노출되지 않아야 하고 드론이 탈취되더라도 어떠한 정보도 노출되지 않아야 한다고 강조했다. 이어 현재 드론들은 탈취 당하면 공격자가 드론의 암호 알고리즘을 분석해 암호 연산 과정을 들여다 볼 수 있는 화이트박스 공격에 취약하다고 지적했다. 이런 문제에 대응하기 위해 현재 연구소에서 양자내성암호 적용에 대한 연구를 진행중이라고 밝혔다.
전승목 항공안전기술원 센터장은 ‘도심 항공 교통 현황과 한국의 로드맵’ 강연에서 “전통적인 항공산업에서도 디지털 통합화가 항공기 및 인프라에서 적용중이다. UAM은 통합 디지털화를 넘어 초연결, 자동화, 자율화가 경쟁력의 핵심 요소인 가운데 물리적 보안과 사이버보안이 중요한 문제로 대두되고 있다”며 “보안전문가들도 UAM에 관심을 가지고 관련 사이버보안에 많은 연구와 기술개발을 당부한다”고 전했다.
다음 세션에서는 김승주 고려대 교수의 ‘무기체계 RMF 동향 및 한국의 준비현황’ 그리고 서정택 가천대 교수의 ‘국가기반시설 제어시스템 보안 및 이슈 사항’ 등의 주제 발표가 이어졌다.
김승주 교수는 “미국은 제품퀄리티를 진단하는데 있어 모의해킹으로는 한계가 있다는 것을 깨닫고 제품의 설계, 구현 모든 과정에서 엄격히 통제된 개발 및 검수과정을 거쳐야 안전한 제품이 나온다는 철학을 가지고 있다. 이를 위해 만들어진 보안성평가 제도가 TCSEC, CC인증 등이다”라며 “더 나아가 테스트베드에서 안전할 수 있어도 실제 환경에서는 보안문제가 발생할 수 있다는 점을 고려해 C&A 제도까지 만들어 적용하고 있다. 이는 첨단 무기체계뿐만 아니라 자동차, 드론 등 전방위적인 산업에 적용해 나가고 있으며 모든 연방부처와 정보기관들은 의무적으로 지키도록 규정하고 있다”고 설명했다.
이어 “미 국방부는 첨단무기체계 보안을 위해 RMF(리스크 매니지먼트 프레임워크) 평가기준을 적용하고 있다. 최근에는 이를 엄격히 준수하지 못하는 동맹국가는 미국 첨단 무기를 사용할 수 없다며 기준 준수를 요구하고 있다. 도입해 사용하는 국가에서 무기체계가 해킹을 당하면 미국도 위험하다는 이유”라며 “한국도 이에 대응하고 있다. 더불어 RMF 평가기준이 2024년부터 모든 자동차로 확대될 예정이며 각 산업군으로 확대될 전망이다. 한국 자동차 제조사들도 이런 규정을 지키지 못하면 자동차를 수출할 수 없는 상황이다. 이제 자동차, 드론, 무기 등 모든 산업에 시큐리티 엔지니어를 채용해 엄격한 개발프로세스를 통해 제품을 개발하는 시대로 변화해야 한다. 관련 인력과 기술확보가 중요한 시점이다”라고 강조했다.
서정택 가천대 교수는 국가기반시설 제어시스템 보안 특성 및 사이버 안정성 확보를 위한 추진전략을 설명했다.이어국가기반시설에서 드론 등 무인이동체 도입 사례를 설명하며 “무인 이동체 보안대책 마련과 무인이동체가 기반시설 제어시스템에 미칠 영향을 고려해야 한다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
