차량용 CAN 버스 해킹과 방어 전략: 현실과 기술의 간극을 좁히다

본 포스트는 다음 학술 문서를 기반으로 공부 목적의 요약 및 분석하여 작성한 포스트입니다.

CAN Bus Security; Attacks on CAN bus and their mitigations

현대 자동차는 센서, 액추에이터, ECU 간 통신을 위해 여전히 CAN(Controller Area Network) 버스를 주요 통신망으로 사용하고 있다. 30년이 넘는 역사를 자랑하는 이 프로토콜은 고신뢰성과 저비용으로 사랑받아 왔지만, '보안' 측면에서는 설계 당시부터 고려되지 않았다. 차량이 점차 인터넷에 연결되며 사이버 위협의 표적이 되고 있는 지금, CAN 버스 보안은 더 이상 선택이 아닌 필수가 되었다.

---

1. CAN 버스 공격 방식

1.1 접근 경로

• OBD-II 포트: 거의 모든 승용차에 존재하며, Bluetooth 동글이나 휴대폰 등을 통해 쉽게 접근 가능.
• 하니스 절단: 차량 배선 구조를 아는 공격자는 하니스에 직접 접근해 CAN-H / CAN-L 선을 가로챌 수 있음.
• 인포테인먼트 시스템 해킹: Linux 기반의 복잡한 소프트웨어 스택은 USB, Wi-Fi, DAB, 인터넷 등을 통한 원격 공격의 표적.
• 취약한 ECU: 버퍼 오버플로우 등 펌웨어의 버그를 이용해 ECU를 하이재킹한 후 CAN을 공격.

1.2 주요 공격 유형

• 버스 플러딩(Bus Flooding): ID 0 프레임 남발로 전체 버스 점유
• 프레임 스푸핑(Frame Spoofing): ECU를 사칭하여 악의적인 명령 전송
• Adaptive Spoofing / Error Passive 공격: 타이밍을 맞춰 수신 버퍼 덮어쓰기 또는 프로토콜 자체를 왜곡
• 버스오프(Bus-Off) / 프리즈 둠 루프 공격: 특정 ECU를 에러 상태로 밀어내거나 전체 버스를 일시 정지시킴

2. CAN 보안 방어 기술

2.1 침입 탐지 시스템(IDS)

• 정적 타이밍 분석: CAN ID별 주기성과 타이밍을 벗어나는 트래픽 탐지
• 페이로드 이상 분석: 진단 세션 프레임에서의 공격 탐지, 브루트 포싱 감지 등
• 하드웨어 보조 IDS: Mercury IDS 등은 SOF 신호 발생 시점에 개입해 악성 프레임 차단 가능

2.2 보안 게이트웨이

• 신뢰/비신뢰 버스 분리: 인포테인먼트, OBD 등의 외부와 메인 컨트롤 버스를 게이트웨이로 차단
• 패턴 기반 필터링 및 리라이트: 프레임 ID, 페이로드 값 범위 기반 필터링 수행
• 인터락 기반 조건 전달: 에어백 비활성화 등은 물리 스위치와 연동될 때만 전달 허용

2.3 암호화 및 인증

• CryptoCAN 방식: AES 기반 MAC를 사용해 메시지의 진위성과 무결성을 확보
• MAC 부착 시 지연 및 대역폭 문제 고려
• 리플레이 / 사이드채널 / 키관리 등 문제점 존재

2.4 하드웨어 기반 보안

• Bus Guardian: ECU로부터 전송되는 모든 프레임에 출처 태그 삽입
• 송신 ECU 차단 명령 가능: 탐지된 스푸핑 출처 ECU의 전송 중단 처리 가능

3. 결론 및 제언

CAN 프로토콜은 그 설계 자체가 '신뢰 기반'이었으며, 오늘날의 '제로 트러스트' 환경에 적합하지 않다. 그러나 차량 산업은 여전히 이 프로토콜에 의존하고 있고, 완전한 대체는 쉽지 않다. 따라서 다음과 같은 접근이 필요하다:

• 복합 방어 체계 도입: IDS + 게이트웨이 + 암호화 + 하드웨어 보안의 병렬적 적용
• 공격 시나리오 기반 테스트 및 대응 시나리오 정립
• OTA 업데이트 기반의 지속적 보안 강화

기술은 존재하지만 구현은 쉽지 않다. 그러나 공격자들은 빠르게 진화한다. 자동차 개발자와 보안 전문가들은 이제 '가능한 보안'이 아닌, '작동하는 보안'을 실현할 시간이다.