오늘은 자율주행차의 보안문제, 그리고 다른 국가의 자율주행차 관련 법 제정 현황을 살펴볼 것이당 ♪(´▽`)
자율주행차는 운전자 또는 승객의 조작 없이 자동차 스스로 운행이 가능한 자동차이며, 사람의 인지, 판단, 제어 기능을 대체해서 주행할 수 있다. 자율주행 자동차는 안전, 환경, 노령화 등 문제 해결에 대한 새로운 대안으로 부상하고 있다. 또한, 공유경제, 보험, 의료 등 새로운 산업이 창출될 수 있고 다른 산업에 대한 파급효과가 크다. 그래서 전 세계적으로 자율주행차를 개발하고 상용화하기 위해서 노력 중이다. 우리나라는 자율주행 자동차 분야에서는 기술 선도국인 독일, 미국, 일본에 비해서 기술격차가 있는 편이다. 그래서 자동차 산업의 혁신이 일어나는 시대에서 산업경쟁력을 확보, 유지해야 할 것이다. 우리나라의 경쟁력 있는 ICT 산업 및 통신인프라를 바탕으로 정부는 교통인프라, 법·제도 정비, 사회적 합의 도출, 국제협력 분야를 주도하고, 민간은 변화하는 자동차 산업 생태계 변화에 적응하여 연구개발 역량 강화, 첨단제조기술 도입, 수요처 다변화, 신사업 전환 등의 지속적인 생존 노력이 필요하다.
위 사진은 국내외 자율주행 자동차 시장 전망을 나타낸 표이다. 이처럼 자율주행 자동차는 머지않은 미래에 우리가 이용하게 될 자동차이다. 그런데 자율주행 자동차에서 발생할 수 있는 개인정보 유출 위험이 있다. 사용자의 위치, 목적지 등이 노출될 수 있고 심한 경우 그 정보를 악의적으로 이용하여 사고를 낼 수도 있다. 또한, 자율주행 자동차 소프트웨어 자체가 해킹당하는 경우 자율주행이 아닌 해커가 마음대로 조종하는 자동차가 될 수도 있어 위험성이 크다. 그래서 우리는 경각심을 가지고 정보 유출에 대해 법안을 개정할 필요가 있다.
자율주행 서비스의 보안 위협은 자율주행 자동차가 개발되면서 제기되어 왔던 문제이다.
먼저 전장 플랫폼에서는 ECU 소프트웨어 결함과 ECU 리버스 엔지니어링, ECU 펌웨어 해킹 및 위/변조가 가능하다.
ECU란 자동차의 엔진, 자동변속기, ABS를 컴퓨터를 이용하여 제어하는 전자제어 장치이다.
리버스 엔지니어링이란 이미 만들어진 시스템을 역으로 추적해서 처음의 문서, 설계기법으로 정보를 얻어내는 일이다.
ECU의 자료가 해커들에게 넘어가게 되었을 경우, 마음대로 자동차가 조종될 수 있어서 안전성이 우려된다.
이를 위해서 시큐어 부트, 시큐어 플래싱, 접근제어, 플랫폼 가상화, HSM(하드웨어 보안 모듈) 등의 보안기술을 이용하여 전장 플랫폼을 보안하고자 한다.
시큐어 부트란, 운영체제를 부팅하기 전에 환경이 안전한지, 몰래 embedded 된 바이러스나 악성 코드가 있는지 확인하는 기술이다.
시큐어 플래싱이란 소프트웨어를 업데이트할 때 소프트웨어가 제조사에서 공식적으로 허가한 소프트웨어와 일치하는지 확인하는 기술이다.
HSM이란 광범위한 애플리케이션에 대한 강력한 인증에 대해 디지털 키를 보호하고 암호화 처리를 해주는 물리적 컴퓨팅 장치이다.
해외에서는 시큐어 부트, 시큐어 플래싱 기술, ECU 가상화 솔루션을 개발 중이다. 또한, 자동차 ECU 미들웨어 플랫폼 표준 규격인 AUTOSAR에서 정의된 보안 기능을 활용하여 보안통신과 해킹방지 등 ECU의 보안성 강화를 추진하고 있다. 우리나라의 경우에는 자동차 내장형 시스템 가상화 기술을 통한 보안성 강화 및 시스템 안전성 보장 기술을 추진 중이다. 또한, 일부 업체에서 ECU 펌웨어 무결성 및 실행환경 안전성 보장을 위한 HSM 응용기술 개발을 진행 중이다.
내부 네트워크에서는 차량 내부 네트워크에 악의적인 해커가 악의적인 제어 메시지를 주입할 수 있다. 또한, 패킷 삽입, 삭제, 임의조작, 지연 등으로 정상 내부 네트워크를 방해할 수 있다. 또한, DoS, 스푸핑, 패킷 폐기 등의 다양한 공격이 있을 수 있다. 악의적인 제어 메시지를 주입하거나 악의적으로 패킷을 조작하는 경우 탑승자의 안전성에 문제가 생길 수 있다.
내부 네트워크 보안을 위해서는 네트워크 보안 시스템인 침입 탐지시스템(IPS), 침입 방지시스템(IDS), 방화벽, 키관리, 암호화를 해야 한다. 해외에서는 미국, 유럽을 중심으로 CAN 중심의 자동차 방화벽, 침입탐지 등에 대해서 연구가 이루어지고 이에 대한 제품이 출시되었다.
CAN이란 차량 내에서 호스트 컴퓨터 없이 마이크로 컨트롤러나 장치들이 서로 통신하기 위해 설계된 표준 통신 규격을 말한다. 자동차의 내부통신 기술이 CAN 중심에서 CAN-FD, 이더넷으로 발전하고 있어서 이에 따른 보안기술 개발이 필요하다. 국내에서는 주로 CAN 중심의 통신보안 기술에 대한 연구개발을 수행하였으며 CAN-FD나 자동차 이더넷 보안기술은 기초연구 수준이다.
외부 네트워크에서는 무선 통신망 해킹, DoS 공격, 거짓 정보 제공, 차량 접속 기기 해킹 등의 보안 문제가 발생할 수 있다. 이런 공격들은 자율주행 자동차뿐만 아니라 자율주행 자동차를 관리하는 회사 내에서도 개인정보 침해나, 기술 유출 발생을 유발할 수 있다.
그러므로 V2X 메시지 인증 및 암호화, 차량 PKI, V2X 메시지 서명 검증, IEEE 1609.2와 같은 보안 표준을 이용해야 한다.
V2X는 자동차-사물 통신으로 핵심은 사용자 인증과 데이터 암호화 시스템이 핵심이다. V2X 통신보안 표준 규격으로는 IEEE 1609.2가 있다. 이는 자동차 환경에서의 무선통신 표준인 WAVE 관련 표준으로, 차량이 외부 시스템과의 무선으로 통신할 때 지켜야 하는 보안규격이다.
해외에서는 미국, 유럽 등에서 시작한 프로젝트에서 IEEE 1609.2 등의 국제표준을 준수한 WAVE 기반의 V2X 통신보안사업이 진행 중이다. 유럽의 Car 2 Car 컨소시엄에서는 표준화가 진행 중인 ITS 통신 단말의 신뢰보증등급 기준 제정을 진행 중이다.
우리나라의 경우 WAVE 기반 V2X 통신보안 등을 국제표준 실용화 중심으로 기술을 개발하고 있다. 하지만 자동차 및 도로기지국과 C-ITS와의 연계에 있어 도로에서의 시스템과의 신뢰성을 확보하기 위한 상호 인증 및 통합 보안관제 등의 연구는 초기 단계다.
주요 국가의 자율주행자동차 규제 상황
미국
미국에서는 구글 회사를 필두로 자율주행 자동차가 개발되고 있으며 네바다주에서는 Google car의 시범 운행이 이루어지고 있다. 주의 대다수는 자율주행 자동차의 시험운행을 허용하고 있다. 주 대부분에서 선택하고 있는 시험운행의 조건은 다음과 같다.
- 운전자는 도로에서 운전석에 있어야 할 것
- 비상 상황에서는 수동적으로 차량을 제어할 수 있어야 할 것
- 자율주행 자동차는 특별한 번호판을 부여받아야 한다는 것
미국에서 2017년 9월에 발표한 자율주행 시스템 개발 및 사업화 촉진에 필요한 사항을 규정해놓은 방침에서 차량 사이버 보안 내용을 언급하였다. 사이버 보안 및 취약점 등의 위험을 최소화하기 위해 시스템 엔지니어링 접근방식 기반의 제품 개발을 권장하고 있다. 프로세스에는 자율주행 시스템에 대한 체계적이고 지속적인 안전위험평가, 전체 차량 설계 및 광범위한 교통 시스템을 포함한다. 기업들은 미국표준기술연구소, 도로교통안전국 등이 발표한 방침, 우수사례, 설계 원칙 등을 고려하여 활용을 권장한다. 도로교통안전국은 기업들이 자율주행시스템 보안과 관련한 조치, 변경, 설계, 분석, 테스트, 사이버 보안에 관련한 사항의 준수를 권장한다. 기업 간 자율주행시스템 보안에 대해서 정보 공유를 통해 협력적 학습을 촉진하고 취약점을 예방해야 한다고 명시했다.
네바다 주의 자율주행 자동차 관련 법률
2012년 Google car는 네바다주 법의 허가에 시험운행이 이루어졌으며 네바다 주의 자율주행 자동차 관련 법안은 전 세계를 통틀어 가장 빠르게 도입되었다. 자율주행 자동차는 자율주행 기술이 내재된 자동차, 혹은 사람의 감시나 제어 없이 주행할 수 있는 자동차라고 규정하고 있다. 차량에는 자율주행을 표시하는 장치를 붙여 자율주행 자동차 시험운행 중임을 명시해야 한다고 규정했다. 보험 가입은 5백만 달러 보험 증권을 제시하였다. 수동제어가 필요한 경우 자동차에서 이를 알리는 시스템이 장착되어서 운전자의 빠른 대처를 할 수 있도록 하여 안전성을 확보하도록 했다.
캘리포니아 주의 자율주행 자동차 관련 법률
캘리포니아주는 자율주행 자동차를 자율주행 기술을 갖춘 모든 자동차로 규정하였다. 또한, 네바다주와 똑같이 자율주행을 표시하는 시각적 장치를 부착하여 시험운행 중임을 표기해야 한다고 명시하고 있다. 사전시험 주행에 관해서 운전자는 자율주행 자동차 관련 운행 면허를 소지해야 한다고 규정한다. 또한, 운전자는 운전석에 앉아야 하며, 자율주행 자동차의 안전운행 여부를 주시해야 하며, 자율주행 기술적 문제나 긴급한 상황이 발생했을 때 즉각적으로 직접 운행을 해야 한다. 차량 운전자는 자율주행 기술의 제조사에 의해 지정된 사람이 운행해야 한다. 또한, 안전성 확보를 위해 핸들, 트랜스미션, 액셀레이터, 브레이크를 필수로 설치해야 하며 사이버 공격을 감지, 경고하는 기능을 갖추고 감지했을 경우 즉시 자율주행 기능을 해제할 수 있어야 한다.
일본
일본에서는 자율주행 자동차의 상용화에 관심이 높고 일본 내각부에서는 자율주행 자동차의 시험운행 및 상용화를 위해 규제 완화 정책을 펴면서 2020년까지 상용화를 목표로 하고 있다. 도요타, 닛산, 혼다가 주도하여 2020년까지 자율주행 자동차 모델을 출시할 것이다. 시험운행을 실시하는 주체는 자동차 보험 외에 다른 보험 가입을 통해 적절한 배상능력을 확보해야 한다. 시험운행에 사용하는 차량이 도로 운행 차량의 안전기준에 들어맞아야 한다. 운전자가 좌석에 앉고 차량의 상태를 점검하여 긴급 상황이 발생하면 필요한 조치를 해야 한다. 또한, 사전시험 주행 시 도로교통법을 비롯한 관계 법령을 준수해야 한다. 실험 차량에는 복수인 승차 및 자율주행 시험운행 중임을 표시해야 한다. 시험운행을 하는 운전자는 도로교통법을 비롯한 관계 법령에서 운전자의 의무와 사고 발생 시의 운전자의 책임을 인식해야 한다.
영국
영국의 경우 자율주행 자동차 기술의 발달을 적극적으로 지원하는 국가이다. 시험운행 규제 완화로 자율주행 자동차의 안전성을 확보하려 노력하고 자율주행 자동차의 안전한 운행을 보장할 수 있는 법 제도적 기반을 마련하여 형사상 및 민사상 책임을 배분하는 타당한 근거를 제공하기 위해 추가적인 기준을 마련하고 있다. 영국에서는 자율주행 자동차를 운전자가 필요 없이 자동으로 운전되는 자동차로 정의하고 있다. 제삼자에 대한 책임보험에 가입되어 있어야 한다고 명시하고 있다. 미국과 다른 점은 자율주행 자동차 표지 부착에 관해서는 의무규정이 별도로 없다는 점이 있다. 자율주행 자동차는 언제든지 수동운전 상태로 전환될 수 있어야 하며, 탑승자는 의무적으로 안전벨트를 착용해야 한다고 규정하였다. 또한, 자율주행 자동차 기술을 공공도로 또는 그 밖의 장소에서 테스트하고자 하는 모든 기관은 그 차량이 영국 도로교통법에 들어맞는 방식으로 이용될 수 있도록 보장해야 한다.
한국
2015년 8월 자율주행 자동차에 대한 테스트 운행을 위해 자동차관리법 일부 내용이 개정되었고 더불어 2016년 2월 테스트 운행에 필요한 자율주행 자동차의 안전운행요건 및 시험운행 등에 관한 규정이 제정되었다. 자동차 관리법은 자율주행 자동차를 ‘운전자의 조작 없이 자동차 스스로 운행이 가능한 자동차’라고 정의하였으며, 자율주행 자동차를 시험·연구 목적으로 운행할 수 있도록 임시운행 허가규정을 신설하였다. 사전시험주행을 위해서는 자동차의 후면에 자율주행 자동차 표식을 부착하여야 한다. 자율주행 자동차는 자동차관리법상 자동차 자기인증이 완료된 자동차여야 하며 도로법, 도로교통법 등 모든 공공도로 주행 관련 모든 사항 법령을 준수하도록 제작되어야 한다. 시험 연구목적으로 임시 운행허가를 받으려는 자는 자동차손해배상 보장법에 따른 보험에 가입해야 한다. 안전성 확보를 위해서 기능 고장 발생 시 자동으로 감지할 수 있어야 하며 기능 고장, 운전전환요구 시 기타 경고가 필요한 경우 운전자에게 경고하여야 한다. 또한, 최고속도 제한, 전방충돌방지기능이 탑재되어야 하고 운행기록장치도 장착되어 있어야 한다.
우리나라에서는 2020년 6월 9일 자율주행 자동차 상용화 촉진 및 지원에 관한 법률이 제정되어 시행되고 있다. 이 법률에서는 자율주행 자동차란 운전자 또는 승객의 조작 없이 자동차 스스로 운행이 가능한 자동차를 말한다. 제20조에서는 익명 처리된 개인정보 등의 활용에 대한 다른 법령의 배제에 대해 제시했다. 자율주행 자동차를 운행하는 과정에서 수집한 다음 각호 정보의 전부 또는 일부를 삭제하거나 대체하여 다른 정보와 결합해도 더는 특정 개인을 알아볼 수 없도록 익명 처리하여 정보를 활용하는 경우에는 「개인정보 보호법」, 「위치정보의 보호 및 이용 등에 관한 법률」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 적용을 받지 아니한다. 고 규정하고 있다.
자율주행 자동차 법의 목적은 자율주행 자동차의 도입, 확산과 안전한 운행을 위한 운행기반 조성 및 지원 등에 필요한 사항을 규정하여 자율주행 자동차의 상용화를 촉진하고 지원함으로써 국민의 생활환경 개선과 국가 경제 발전에 이바지하는 것이다. 하지만 우리나라의 자율주행 자동차의 보안에 대한 규제가 적은 것이 현실이다.
그 이유는 우리나라가 자율주행 자동차 보안에 대한 인식이 없어서라기보다는 자율주행 자동차의 선진국인 미국, 일본, 독일과 비교하면 의의 사진처럼 기술력이 낮고 시험 주행 레벨이 낮아서 우리나라에서는 굳이 입법을 지금 진행할 필요가 없기 때문이다.
하지만 세계의 흐름에 맞게 자율주행 자동차 개발은 선택이 아닌 필수이며 자율주행 자동차 개발에서 가장 중요한 것은 안전성이다. 이를 위해서 많은 기술적 노력과 제도적 노력이 필요하다.
'SECURITY ISSUE' 카테고리의 다른 글
| 금융감독원에서 발행한 2022 디지털금융 및 사이버보안 이슈 전망 (0) | 2021.12.29 |
|---|---|
| 메타버스 metaverse 개념, 장점, 단점 (0) | 2021.12.22 |
| 사상 최악의 취약점 Log4Shell 이게 뭐지? : 원격 코드 실행(RCE) 취약점 CVE-2021-44228 (0) | 2021.12.13 |
| 아파트 월패드 해킹 이슈 : 홈가전 IoT 보안가이드 (0) | 2021.11.30 |
| 개인정보보호위원회와 한국인터넷진흥원에서 운영하는 털린 내 정보 찾기 직접 해봤다! (0) | 2021.11.16 |
