2016.03.31

"차량 SW 보안 제자리 잡으려면 3~4년 더 걸린다"

Tim Greene | Network World
차량 관련 소프트웨어의 보안이 꾸준히 개선되고 있지만, 자동차 업체가 포괄적인 보안 아키텍처를 차량에 적용하는 데는 3~4년이 더 걸릴 것이라는 전망이 나왔다.

2015년 컴퓨터과학 부문 ACMIFA(ACM-Infosys Foundation Award) 우승자이자 UC 샌디에이고 공대의 컴퓨터공학과 교수인 스테판 새비지는 "자동차 업계가 보안이 정말 중요한 이슈라는 것을 깨달아야 할 시점"이라며 "특히 마이크로소프트가 윈도우를 업데이트하는 것처럼 차량 소프트웨어에서 새로 발견된 취약점을 주기적으로 패치하는 능력을 확보해야 한다"고 말했다.



그는 자동차에서 독립적인 컴포넌트로 실행되는 모든 소프트웨어를 단일팀에서 감독해야 한다는 지적도 내놨다. 이들 소프트웨어 자체는 물론 소프트웨어가 다른 차량용 기기와 연동하는 인터페이스가 안전한지 더 확실히 하기 위해서다. 그는 "우리가 발견한 거의 모든 보안 취약점은 개발팀 외부에서 작성한 인터페이스 코드에서 발견됐다"고 말했다.

오픈소스 같은 외부 코드를 이용할 때 공격에 악용될 수 있는 부분을 제거하지 않는 것도 문제다. 예를 들어 블루투스를 지원하는 자동차 부품용 제어 소프트웨어는 리눅스 블루투스 스택을 사용하는데, 여기에는 업체가 실제 사용하는 것보다 더 많은 기능을 지원하는 코드가 포함돼 있다. 따라서 이를 제거하지 않고 남겨 놓으면 자칫 자동차 전체 시스템에 대한 보안 취약점이 될 수 있다.

소프트웨어에 대한 전반적은 보안 검토를 하지 않으면, 자동차를 구매한 후 별도로 장착하는 자동차 애프터마켓(after-market) 제품 사용 과정에서 보안 취약점으로 악용될 수 있다. 새비지는 "예를 들어 특정 애프터마켓 CD 재생기는 특수한 형식으로 포맷된 CD로 업데이트할 수 있는데, 이를 통해 특정 코드를 다른 자동차 소프트웨어 시스템보다 우선 실행하도록 덮어쓸 수 있다"며 "실제로 이와 비슷한 사례가 비일비재하다"고 말했다.

단기적으로는 자동차 업체가 자사의 패치 프로그램을 개선할 수 있다. 더 길게 보면 오늘날 PC 보안에 일반화된 것 같은 전략을 채택하는 것도 방법이지만, 꼭 이를 자동차에 적용할 필요는 없다. 그는 "장기적으로는 자동차 업체가 모든 차량 소프트웨어에 보안 스키마가 적용된 자동차를 만들어 낼 것"이라고 말했다.


자율주행차는 이와 다른 문제에 직면해 있다. 이런 차량은 전통적인 차에 비해 기능을 구현하는 데 더 많이 소프트웨어에 의존한다. 기존 방법으로는 버그나 보안 취약점이 없도록 유지하기가 쉽지 않다. 새비지는 "시속 120km로 달리는 도중에 소프트웨어가 오류를 일으키면 매우 위험한 상황에 놓일 수 있다"며 "이런 문제 때문에 자율주행차는 문제 발생 시 자동주행을 중단하는 '림프-홈( limp-home)' 모드를 지원하게 될 것"이라고 말했다.

현재 자동차 업체는 차선 변경이나 주차 같은 자동주행 기능을 하나씩 차례로 공개하고 있다. 소비자가 이를 얼마나 잘 수용하는지, 기능이 얼마나 신뢰성 있는지를 충분히 확인하기 위해서다. 이런 과정을 거친 후에야 자동차에 본격적으로 탑재하고 있는데, 이런 노력이 합쳐져 결국 자율주행 차량으로 발전해 가고 있다.

한편 이와 별개로 새비지는 비아그라 스패머를 추적하는 작업도 하고 있다. 단, 그는 스패머의 봇넷을 분석하거나 이메일을 막는 대신 그들의 재정적 상황에 타격을 가하는 방식을 사용한다. 그는 스패머의 사업 모델을 분석해 신용카드 거래에 사용된 은행 계좌를 알아냈다. 이후 비자와 마스터카드, 그리고 이들의 제휴 은행과 함께 이런 계좌를 없애 버렸다. 스패머가 부정한 이익을 환전하기 어렵게 만들어 버린 것이다.

또한, 새비지는 ACMIFA 상을 받은 것이 현재 진행 중인 연구를 알리는 데 도움이 될 것으로 기대하고 있다. 그는 현재 사이버 공격에 맞서는 다양한 보안 툴과 서비스가 실제로 보안에 어떤 영향을 주는지 실증적으로 측정하는 연구를 진행하고 있다. 예를 들어 백신 소프트웨어를 사용하고 패치하고, 악의적인 웹 사이트를 멀리하는 것이 신용 정보 유출이나 기기 해킹을 실제로 줄이는지 검증해 보겠다는 것이다.

이 연구 결과는 관련 업무를 하는 보안 전문가에게 도움이 될 것으로 보인다. 그는 "오늘날 일반적으로 사용하는 보안 방안 중 대부분은 보안 제품을 판매하는 업체의 마케팅으로 주도된다"며 "보안과 관련해 더 큰 문제가 무엇이 문제인지 사람들이 알아야 한다고 생각한다"고 말했다. ciokr@idg.co.kr



2016.03.31

"차량 SW 보안 제자리 잡으려면 3~4년 더 걸린다"

Tim Greene | Network World
차량 관련 소프트웨어의 보안이 꾸준히 개선되고 있지만, 자동차 업체가 포괄적인 보안 아키텍처를 차량에 적용하는 데는 3~4년이 더 걸릴 것이라는 전망이 나왔다.

2015년 컴퓨터과학 부문 ACMIFA(ACM-Infosys Foundation Award) 우승자이자 UC 샌디에이고 공대의 컴퓨터공학과 교수인 스테판 새비지는 "자동차 업계가 보안이 정말 중요한 이슈라는 것을 깨달아야 할 시점"이라며 "특히 마이크로소프트가 윈도우를 업데이트하는 것처럼 차량 소프트웨어에서 새로 발견된 취약점을 주기적으로 패치하는 능력을 확보해야 한다"고 말했다.



그는 자동차에서 독립적인 컴포넌트로 실행되는 모든 소프트웨어를 단일팀에서 감독해야 한다는 지적도 내놨다. 이들 소프트웨어 자체는 물론 소프트웨어가 다른 차량용 기기와 연동하는 인터페이스가 안전한지 더 확실히 하기 위해서다. 그는 "우리가 발견한 거의 모든 보안 취약점은 개발팀 외부에서 작성한 인터페이스 코드에서 발견됐다"고 말했다.

오픈소스 같은 외부 코드를 이용할 때 공격에 악용될 수 있는 부분을 제거하지 않는 것도 문제다. 예를 들어 블루투스를 지원하는 자동차 부품용 제어 소프트웨어는 리눅스 블루투스 스택을 사용하는데, 여기에는 업체가 실제 사용하는 것보다 더 많은 기능을 지원하는 코드가 포함돼 있다. 따라서 이를 제거하지 않고 남겨 놓으면 자칫 자동차 전체 시스템에 대한 보안 취약점이 될 수 있다.

소프트웨어에 대한 전반적은 보안 검토를 하지 않으면, 자동차를 구매한 후 별도로 장착하는 자동차 애프터마켓(after-market) 제품 사용 과정에서 보안 취약점으로 악용될 수 있다. 새비지는 "예를 들어 특정 애프터마켓 CD 재생기는 특수한 형식으로 포맷된 CD로 업데이트할 수 있는데, 이를 통해 특정 코드를 다른 자동차 소프트웨어 시스템보다 우선 실행하도록 덮어쓸 수 있다"며 "실제로 이와 비슷한 사례가 비일비재하다"고 말했다.

단기적으로는 자동차 업체가 자사의 패치 프로그램을 개선할 수 있다. 더 길게 보면 오늘날 PC 보안에 일반화된 것 같은 전략을 채택하는 것도 방법이지만, 꼭 이를 자동차에 적용할 필요는 없다. 그는 "장기적으로는 자동차 업체가 모든 차량 소프트웨어에 보안 스키마가 적용된 자동차를 만들어 낼 것"이라고 말했다.


자율주행차는 이와 다른 문제에 직면해 있다. 이런 차량은 전통적인 차에 비해 기능을 구현하는 데 더 많이 소프트웨어에 의존한다. 기존 방법으로는 버그나 보안 취약점이 없도록 유지하기가 쉽지 않다. 새비지는 "시속 120km로 달리는 도중에 소프트웨어가 오류를 일으키면 매우 위험한 상황에 놓일 수 있다"며 "이런 문제 때문에 자율주행차는 문제 발생 시 자동주행을 중단하는 '림프-홈( limp-home)' 모드를 지원하게 될 것"이라고 말했다.

현재 자동차 업체는 차선 변경이나 주차 같은 자동주행 기능을 하나씩 차례로 공개하고 있다. 소비자가 이를 얼마나 잘 수용하는지, 기능이 얼마나 신뢰성 있는지를 충분히 확인하기 위해서다. 이런 과정을 거친 후에야 자동차에 본격적으로 탑재하고 있는데, 이런 노력이 합쳐져 결국 자율주행 차량으로 발전해 가고 있다.

한편 이와 별개로 새비지는 비아그라 스패머를 추적하는 작업도 하고 있다. 단, 그는 스패머의 봇넷을 분석하거나 이메일을 막는 대신 그들의 재정적 상황에 타격을 가하는 방식을 사용한다. 그는 스패머의 사업 모델을 분석해 신용카드 거래에 사용된 은행 계좌를 알아냈다. 이후 비자와 마스터카드, 그리고 이들의 제휴 은행과 함께 이런 계좌를 없애 버렸다. 스패머가 부정한 이익을 환전하기 어렵게 만들어 버린 것이다.

또한, 새비지는 ACMIFA 상을 받은 것이 현재 진행 중인 연구를 알리는 데 도움이 될 것으로 기대하고 있다. 그는 현재 사이버 공격에 맞서는 다양한 보안 툴과 서비스가 실제로 보안에 어떤 영향을 주는지 실증적으로 측정하는 연구를 진행하고 있다. 예를 들어 백신 소프트웨어를 사용하고 패치하고, 악의적인 웹 사이트를 멀리하는 것이 신용 정보 유출이나 기기 해킹을 실제로 줄이는지 검증해 보겠다는 것이다.

이 연구 결과는 관련 업무를 하는 보안 전문가에게 도움이 될 것으로 보인다. 그는 "오늘날 일반적으로 사용하는 보안 방안 중 대부분은 보안 제품을 판매하는 업체의 마케팅으로 주도된다"며 "보안과 관련해 더 큰 문제가 무엇이 문제인지 사람들이 알아야 한다고 생각한다"고 말했다. ciokr@idg.co.kr

X