커넥티드카 시대, 자동차 보안 공격은 어떻게 분류되어야 하는가?
본 포스트는 다음 학술 문서를 기반으로 공부 목적의 요약 및 분석하여 작성한 포스트입니다.
2020년대를 기점으로 자동차 산업은 과거의 기계 중심에서 소프트웨어 중심, 나아가 '이동형 네트워크 노드'로 진화하고 있습니다. Wi-Fi, Bluetooth, OTA, V2X 등 무선 기술이 대거 차량에 탑재되면서 편의성과 연결성은 비약적으로 향상되었지만, 동시에 차량은 더 이상 물리적으로 닫힌 환경이 아닌 "공격 가능한 사이버 시스템"이 되어버렸습니다.
이러한 맥락에서, 독일 카를스루에 응용과학대학(HS-Karlsruhe)의 연구진이 발표한 「Survey and Classification of Automotive Security Attacks」는 매우 실용적이고 체계적인 관점을 제시합니다. 이 학술 자료는 160건 이상의 자동차 보안 사고를 직접 분석하고, 이를 개발자 관점에서 재사용할 수 있도록 설계된 분류 체계를 제안합니다.
본 포스팅에서는 해당 학술 자료를 기반으로, 자동차 보안 실무에 도움이 되는 내용을 요약·재구성하여 소개합니다.
왜 새로운 분류 체계가 필요한가?
기존에도 보안 사고에 대한 분류 체계는 존재해 왔습니다. 대표적으로는 다음과 같은 시스템이 있습니다.
- 📚 CERT/CC Taxonomy: 사고 원인, 공격자 동기, 취약점 등을 추상적으로 분류
- 🧱 CVE / CWE: 보안 취약점을 코드 레벨로 식별하고 설명
- 🔐 STRIDE: 공격 유형(스푸핑, 변조, 부인, 정보유출 등)에 기반한 위협 모델링
하지만 문제는 "이러한 분류 체계가 자동차 시스템에 그대로 적용되기 어렵다"는 점입니다. 이유는 아래와 같습니다.
| 자동차 보안의 특징 | 기본 분류 체계의 한계 |
| 사이버-물리 시스템 (CPS): 센서, 액추에이터, 제어기 통합 | 대부분 IT 중심, 물리적 영향 고려 부족 |
| 네트워크 혼합 구조: CAN, LIN, Ethernet, Wireless | 추상적으로 표현되어 공격 경로 파악 불가 |
| 기능 안전과 직결 (운전 제어, 제동 등) | 공격 영향 평가가 미흡 |
| ISO/SAE 21434, UN R155 등 규제 등장 | 위험 기반 분석(TARA)에 필요한 정보 부족 |
따라서 개발자, 보안 엔지니어, 테스터가 실질적으로 사용할 수 있는 "자동차 맞춤형" 분류 체계가 필요합니다.
제안된 분류 체계의 핵심 구조 (23개 분류 카테고리)
연구진은 단일 공격을 총 23개의 분류 기준에 따라 체계적으로 정리합니다. 각 항목은 3단계(Level 1~3)의 추상화 계층으로 구성되어 있으며, 이는 다음 3가지 실무 목적을 지원합니다:
- 🛠️ Incident Management (사후 분석 및 포렌식)
- 🧠 Threat Analysis & Risk Assessment (TARA)
- 🔬 Security Testing (보안 테스트 설계 및 케이스 생성)
📌 주요 카테고리 요약
| 항목 | 설명 | 실무 활용 |
| Attack Class | STRIDE + 구체 공격명(예: Man-in-the-Middle, Fuzzing) | 위협 식별 및 분류 |
| Attack Base | 무선(Wireless), 진단(UDS), 버스(CAN), HW 등 | 시스템 위협 벡터 분류 |
| Interface | 실제 공격 인터페이스: OBD, CAN, Bluetooth 등 | 테스트 장비 선정 |
| Requirement | 공격 수행을 위한 전제 조건 | 위험 발생 확률 분석 |
| Restriction | 공격 제한 요건(거리, 속도 제한 등) | 실현 가능성 검토 |
| Acquired Privileges | 공격자가 얻은 권한 수준(Read/Write, Full Control 등) | 시스템 침투 시나리오 설계 |
| Attack Path | 다단계 공격의 경로 분해 (ex: 원격→인포테인먼트→CAN→브레이크 ECU) | 시나리오 기반 테스트 |
| Consequence | 공격 결과(기능 손실, 안전성 침해 등) | 영향도 분석 |
| Component | 대상 컴포넌트 (예: 엔진 ECU, 티맵 모듈) | 취약점 대상 식별 |
| Tool | 사용된 툴 (Kali Linux, Wireshark, USRP 등) | 대응 기술 확보 |
실전에서의 가치: 160건의 공격 → 400건 이상의 단일 공격 단계로 분해
가장 큰 기여는 단순히 공격 사례를 모은 것이 아니라, 다단계 공격을 각 단계로 분해(Decomposition)했다는 점입니다.
예를 들어, 하나의 복잡한 공격은 다음과 같은 단계로 구성될 수 있습니다:
- 차량과 원격 통신 (WLAN 취약점 탐지)
- 인포테인먼트 제어기에 접근 (Android 앱 통한 권한 획득)
- Gateway ECU를 경유하여 CAN 버스로 이동
- 브레이크 ECU 제어 명령 송신
이러한 공격 단계를 분해하면, 기존 사례를 조합하여 새로운 공격 경로(Unknown attack paths)까지 예측할 수 있습니다.
또한, 해당 단계별로 요구되는 툴, 조건, 인터페이스 등이 구조적으로 연결되므로, 아래와 같은 실무 활용이 가능합니다:
- TARA 시 유사 사고 기반 위협 유추
- Security Test 시 테스트 시나리오 및 환경 자동 설계
- 툴 기반 테스트 자동화 (e.g., 차량에 연결된 노트북 + UDS 메시지 발송)
실제 사례에 적용해 보기
📌 사례: 2015년 유명한 Jeep Cherokee 원격 해킹
| 항목 | 값 |
| Interface | Uconnect via Cellular |
| Attack Base | Wireless → Telematics Unit → CAN |
| Tools | Publicly available exploit code, Linux laptop |
| Attack Path | 원격접속 → 인포테인먼트 탈취 → Gateway 우회 → 제어기 제어 |
| Consequence | 엔진 오프, 제동 방해 등 |
| Privileges | Full Control over CAN-Accessible ECUs |
마무리: 보안 테스트 및 위험 분석을 위한 실질적 기반
자동차 보안에서 핵심은 “실제 발생한 공격을 반복 분석하고, 유사 상황에 사전 대응하는 것”입니다. 해당 학술 자료는 이를 위한 체계적 기반을 제공합니다.
✅ ISO/SAE 21434에서 요구하는 TARA 수행 시에도 위 구조는 직접적으로 활용 가능하며,
✅ UN R155 준수 기반의 CSMS 구축에서도 사고 이력 기반 위험 추론에 도움이 됩니다.
향후 차량 보안 테스트 자동화, AI 기반 취약점 탐지 등으로 확장하려면, 해당 학술 자료에서 제안한 구조적 사고와 분류 체계가 더욱 중요해질 것입니다.