안녕하세요 오랜만에 인턴일기로 만나는 인턴 D입니다.이번 포스팅에서는 자율주행차와 정보보안 문제에 대해 다루고자 합니다.경로만 입력하면 마음대로 목적지까지 가주는 자율주행 기술은 이제 공상과학소설이나 영화에만 있는 게 아니라 이미 일상에서 흔히 볼 수 있습니다.
그러나 자율주행차 기술이 갈수록 이와 관련한 정보보안 문제도 함께 대두되고 있다. 자율주행차에 대한 정보보안 위협은 아래에 소개된 사례처럼 다양한 문제로 이어질 수 있는 만큼 절대 무시해서는 안 되기 때문입니다.
따라서 본문에서는 실제로 자율주행차의 보안 취약점이 노출된 사례와 자율주행차에는 어떤 보안 이슈가 있는지, 그리고 현재 이에 대비한 국내외 정보보안 제도에는 어떤 것들이 있는지를 함께 살펴봅니다.
- 자율주행차 취약성 사례 – 해킹에 ‘원격조종’된 자율주행차
자율주행차는 직접 운전할 필요 없이 자동차의 인공지능 스스로 편리하게 목적지까지 가주는 혁신적인 기술입니다. 하지만 만약 제가 탑승한 차가 해킹을 당한다면 어떻게 될까요? 실제 아래 사례처럼 자율주행차가 해킹을 통해 오작동을 일으켜 더 이상 의지와 상관없이 원격으로 조종된 적은 이미 여러 차례 있었습니다.
2015년 7월 자동차 업체 P사의 모델을 차량과 16km 떨어진 곳에서 해킹해 노트북으로 조종해보는 실험이 진행됐습니다. 실험 결과 해킹당한 차량은 와이퍼나 라디오 조작과 함께 고속 주행 중인 차량에 급제동을 거는 등 차량의 핵심 기능을 통제하는 것까지 가능했습니다. 해당 차량은 완전한 자율주행 기능을 탑재하지는 않았지만 넓은 의미의 자율주행 차량 기술이 적용되고 있었습니다. 실험 결과가 공개된 이후 P사는 해킹당한 차량과 같은 모델의 차량 140만 대를 리콜할 수밖에 없었습니다.
또 미국 유명 전기차 업체 T사의 차량에서도 실험을 통해 2015년 8월과 2016년 9월 두 차례나 보안 취약점이 발견됐습니다. 해당 업체 차량도 해킹을 통해 원격으로 트렁크를 열고 닫는 것부터 차량 잠금장치와 주행장치까지 조정할 수 있었습니다. T사는 발견 소식이 전해지면서 실험에 사용된 차량을 보안 소프트웨어를 업데이트했습니다. 아울러 해당 모델에 대한 해킹은 악성 와이파이 핫스팟에 연결되는 등 매우 제한적인 상황에서만 가능하다고 발표해 소비자들의 불안감을 진화시키고 있는 상황입니다.
위의 사례는 다행히 실제가 아닌 보안 취약점을 찾기 위한 실험에서 발생한 것입니다. 하지만 실험 결과가 보여주듯 자율주행차 보안 취약점이 제때 조치를 받지 않는다면 실제 해킹 사례가 발생하는 것은 시간문제일 수 있습니다.
2. 자율주행차 정보보안 문제-자율주행 기술이 고도화될수록 민감정보 유출 위험도 높아진다.
앞서 자율주행차 보급은 상상 속 개념이 아니라 이미 일상에 근접했음을 밝힌 바 있습니다. 그러다 보니 위의 사례처럼 제가 탄 차가 외부에 의해 마음대로 조종되는 섬뜩한 상황도 더 이상 공포소설에 나올 만한 내용이 아니게 됐습니다.
또 자율주행차가 외부 해킹을 통해 원격 조작된 사례를 예외적으로 제쳐두더라도 자율주행차와 관련된 보안 문제는 산적해 있습니다. 일례로 미국 전략국제문제연구소(CSIS)는 2021년 6월 보고서를 통해 자율주행차에 저장된 자동차의 위치, 속도, 문자메시지, 음성정보와 같은 민감한 개인정보가 언제든 해킹을 통해 유출될 수 있다고 경고했습니다.
해당 보고서가 경고하는 내용에 대해 자세히 알려면 우선 자율주행차 기술 단계에 대한 이해가 필요합니다. 자율주행차의 기술적 단계는 총 6가지 수준으로 나눌 수 있습니다. 각각의 레벨이 진보할수록 운전자가 차량에 개입하는 정도가 낮아지고 레벨5부터는 차량이 어떠한 제약 없이 완전한 자율주행이 가능하다고 봅니다.이처럼 운전자의 개입을 낮추면서도 안전하고 쾌적한 운행이 가능한 차량을 만들기 위해 제작사는 차량 내외부의 다양한 정보를 필요로 하게 됩니다. 이러한 정보는 카메라, 센서, 음성인식 기술 등으로 수집되며 당연히 자율주행 기술이 진보할수록 수집, 축적되는 정보의 양도 증가합니다.
따라서 미국 전략국제문제연구소의 보고서는 자율주행 기술개발을 위한 정보수집이 증가하는 반면 이에 대한 보안이 철저히 이뤄지지 않으면 개인정보 유출이 발생할 수 있다고 밝히고 있습니다. 이와 함께 정보 유출과 유출된 정보의 불법 활용을 막기 위한 제도적, 기술적 방안을 함께 주문하고 있습니다. 그럼 다음 장에서는 한국을 포함한 세계 각국의 기업과 기관들이 어떤 제도적 장치를 통해 자율주행과 관련된 보안 문제를 해결하고자 하는지 알아보겠습니다.
3. 자율주행차 정보보안제도 동향 – 편리하지만 동시에 안전한 사회를 위해
- 해외 동향
- 해외의 경우 유럽이나 미국처럼 자율주행차를 활발히 개발하고 있는 국가들을 중심으로 자율주행차 정보보안제도가 존재합니다.
- 이러한 사례로는 유럽자동차업체협회의 데이터 보호 원칙과 미국 도로교통안전국의 자율주행차 안전기준 가이드라인이 있습니다. 각각의 내용에는 데이터 수집의 투명성, 데이터 수집에 대한 고객의 선택권, 데이터 보안, 데이터 식별 처리 및 영구 삭제에 관한 조항이 포함되어 있습니다. 모두 투명한 정보 수집과 수집한 정보의 안전한 보관을 공통적으로 강조하고 있습니다. 그리고 유럽과 미국에는 권고적 성격의 가이드라인과 함께 제조사의 의무와 책임을 명시한 법안도 준비되어 있습니다.
- 유엔 유럽경제위원회(UNECE)는 모든 자율주행차 제조사를 대상으로 차량 사이버보안관리시스템(CSMS)에 따라 제작사 차량의 사이버보안 위험을 평가받는 것을 규정하고 있습니다. CSMS는 ‘보안 위협을 식별, 평가, 분류, 관리하기 위한 프로세스’, ‘차량 보안성 시험을 위한 프로세스’, ‘보안 위협을 모니터링하고 탐지 및 대응하는 프로세스’ 등을 확인합니다. 그리고 CSMS 인증을 받지 않은 업체의 차량은 유럽으로 수입할 수 없도록 했습니다.
- 반면 미국에서는 비슷한 법률로 ‘자율주행법(Self Drive Act)’이 있습니다. 해당 법도 자율주행차 업체의 개인정보 보호와 사이버 보안을 강조하고 있습니다. 이에 따라 ‘예측 가능한 취약성을 발견하고 완화하는 프로세스’와 ‘정보보안 담당자 배정 및 훈련’, 그리고 ‘프라이버시 침해 방지 및 대응 시스템 마련’ 의무를 부과하고, 이에 따르지 않는 제조사의 자율주행차 모델은 판매와 수입을 금지하고 있습니다.
2) 국내 동향
국내의 경우 해외에 비해 자율주행차에 대한 제도 정비가 느리다는 목소리가 나왔습니다. 이에 국토교통부는 2020년 12월 자율주행차 윤리·보안·안전방향 가이드라인 3종을 우선 발표했습니다. 해당 가이드라인에 명시된 ‘자동차 사이버보안 가이드라인’에는 제작사가 자율주행차에 대한 보안관리체계를 구축하고 구축된 관리체계에 따라 차량의 정보보안을 관리해야 한다는 권고 내용이 담겨 있습니다.
이를 자세히 보면 ‘자동차 사이버 보안 가이드라인’에는 제작사가 보안 위험을 사전에 탐지·분석하는 ‘위험 평가 절차’와 위험 정도를 낮추는 ‘보안 조치 절차’를 갖출 것을 권고하고 있습니다. 또한 실시된 보안조치가 유효했음을 확인하는 ‘검증절차’의 확보도 권장됩니다.
이어 제작사는 공급업체나 협력사의 보안 태도를 고려해야 한다는 점과 자동차 사이버보안 전담기관과 관련 정보를 공유해야 한다는 내용도 권고안에 수록돼 있습니다. 국토교통부는 가이드라인에 적힌 권고안 내용을 바탕으로 사이버보안 관리를 의무화하는 법 제정을 준비 중입니다. 또 마련된 보안기준에 따라 자동차 보안을 테스트하고 평가할 수 있는 자동차 보안센터 구축사업을 함께 추진하고 있다고 합니다.
글을 마치고
지금까지 자율주행차의 보안 문제와 그에 대비하기 위한 몇 가지 제도에 대해 알아봤습니다. 포스팅 도입부에서도 강조했듯이 자율주행차의 기술적 발전은 좋지만 이와 함께 발생하는 보안 문제를 절대 무시해서는 안 될 것입니다. 자율주행차는 무엇보다 내부에 사람이 탑승하는 만큼 개인정보 유출 문제와 함께 앞선 사례처럼 해킹으로 인한 악의적인 오작동이 큰 사고를 일으킬 수도 있기 때문입니다. 따라서 우리나라도 하루빨리 자율주행차의 정보보안에 관한 법률과 제도가 정비되어 자율주행차의 편의성과 함께 안전성이 보장되는 사회가 되었으면 합니다. 이번 포스팅을 마치겠습니다. 감사합니다!
관련 게시물과 참고기사 <20 여름_소만사인턴일기> 생활 속에서 겪는 개인정보 유출/오남용 사례 > http://blog.naver.com/best_somansa/222072685169 안녕하세요! 이번 포스팅에서는 개인정보 유출 및 오남용 사례를 몇 가지 살펴보려고 합니다.여러분은 크루…blog.naver.com <2021 봄_초만사인턴일기> 대학 내 개인정보 유출/침해 사례 http://blog.naver.com/best_somansa/222291196730 안녕하세요! H입니다. 오늘은 일상생활 중 특히 학교에서 일어날 수 있는 개인정보 유출, 침해사고에….blog.naver.comAhnLab기사, 늘어나는 자동 운전 차의 보안 문제는 없는가?https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30616FordhamJournalofCorporateandFinanciallaw기사, TheSELFDRIVEAct:CybersecurityandCarsonAutopilothttp://news.law.fordham.edu/jcfl/2018/01/15/the-self-drive-act-cybersecurity-and-cars-on-autopilot/국토 교통부 보도 자료, 15일 자동 운전 차 윤리·보안·안전 방향 지침3종 발표 http://www.molit.go.kr/USR/NEWS/m_71/dtl.jsp?id=95084902CSIS 보고서, National Security Implications of Leadership in Autonomous Vehicles http://www.csis.org/analysis/national-security-implications-leadership-autonomous-vehicles