안녕하세요! 오랜만에 인턴일기에서 뵙는 인턴D입니다이번 포스팅에서는 자율주행차나 정보보안 문제를 다루려고 합니다.경로만 입력하면 척척 목적지까지 이동해 주는 자율주행 기술은 더 이상 공상과학소설이나 영화뿐 아니라 이미 일상생활에서 알 수 있는데.
하지만 자율주행차 기술이 날로 진보할수록 이에 대한 정보보안 문제도 함께 대두하고 있다. 자율주행차에 대한 정보보호의 위협은 다음과 같이 다양한 문제로 이어질 수 있는 만큼 절대 무시해서는 안 되기 때문입니다.
따라서 본문에서는 실제 자율주행차의 보안 취약점이 노출된 사례와 자율주행차에는 어떤 보안문제가 있는지, 그리고 현재 이에 대비한 국내외 정보보안 제도는 어떤 것이 있는지를 함께 살펴보겠습니다.
- 자율주행차 취약점 사례-해킹으로 원격조종을 받은 자율주행차
자율주행차는 직접 운전할 필요 없이 자동차의 인공지능이 나아가 목적지까지 가주는 혁신적인 기술입니다. 하지만 만약 제가 탄 차가 해킹을 당한다면 어떤 일이 벌어질까요? 실제로 다음 사례처럼 자율주행차가 해킹을 통해 오작동을 일으키고, 나아가 의지와 상관없이 원격으로 조종된 적은 이미 여러 번 있었습니다.
2015년 7월 자동차 회사 P사의 모델을 차량과 16km 떨어진 곳에서 해킹해 노트북으로 조종하는 실험이 진행되었습니다. 실험 결과, 해킹된 차량은 와이퍼 및 라디오 조작과 함께 고속 주행 중인 차량에 급제동을 거는 등 차량의 핵심 기능을 제어할 수 있게 되었습니다. 해당 차량은 완전한 자율주행 기능을 탑재하지 않았지만, 넓은 의미의 자율주행 차량 기술을 채택했습니다. 실험 결과가 공개된 뒤 P사는 해킹당한 차량과 같은 모델인 차량 140만 대를 리콜했습니다.
또한 미국의 대형 전기자동차 회사 T사의 차량에서도 실험을 통해 2015년 8월과 2016년 9월 두 차례나 보안 취약점이 발견되었습니다. 해당 업체의 차량도 해킹을 통해 원격으로 트렁크를 개폐하기 때문에 차량의 잠금장치와 주행장치까지 조정할 수 있습니다. T사는 발견 소식을 듣고 실험에 사용된 차량에 보안 소프트웨어를 업데이트했습니다. 동시에 해당 모델에 대한 해킹은 악성 와이파이 핫스팟에 접속되는 등 매우 제한적인 상황에서만 가능하다고 발표하여 소비자의 불안감을 심화시키고 있는 상황입니다.
위의 사례는 다행히 실제는 아니며, 보안 취약점을 찾기 위한 실험에서 발생한 것입니다. 하지만 실험 결과에서 보듯이 자율주행차의 보안 허점이 제때 조치되지 않는다면 실제 해킹 사례가 발생하는 것은 시간문제일 수 있습니다.
2. 자율주행차량의 정보보안 문제-자율주행기술이 고도화될수록 민감정보 유출위험도 높아진다.
아까 자율주행차의 보급은 상상의 것이 아니라 이미 일상에 가까워졌다고 했습니다. 그래서 위의 사례처럼 내가 탄 차량이 외부에 의해 제멋대로 조종되는 끔찍한 상황도 더 이상 공포소설에는 나올 만한 내용이 아니었습니다.
또한 자율주행자동차가 외부 해킹에 의해 원격조종된 경우는 예외적인 것으로 하더라도 자율주행차에 관한 보안문제는 산적해 있습니다. 일례로 미국 전략국제문제연구소(CSIS)는 2021년 6월 보고서를 통해 자율주행차에 저장된 자동차의 위치, 속도, 문자, 이메일, 음성정보와 같은 개인정보가 언제든지 해킹을 통해 유출될 수 있다고 경고했습니다.
그 보고서가 경고하는 내용을 자세히 알려면 먼저 자율주행차의 기술단계에 대한 이해가 필요해요. 자율주행의 기술적 단계는 총 여섯 단계로 나뉩니다. 각각의 레벨이 진보할수록 운전자의 차량개입 정도는 낮아지고 레벨5부터는 차량이 어떠한 제약 없이 완전히 자율주행할 수 있을 것으로 생각됩니다.이와 같이 운전자의 개입을 낮추면서도 안전하고 쾌적한 운행이 가능한 차량을 만들기 위해 제작사는 차량 내외의 다양한 정보를 필요로 합니다. 이러한 정보는 카메라, 센서, 음성인식기술 등으로 수집되며 자율주행기술이 진보할수록 수집, 축적되는 정보의 양 또한 증가합니다.
따라서 미국 전략국제문제연구소 보고서는 자율주행기술 개발을 위한 정보 수집이 증가하고 있는 반면, 이에 대한 보안이 철저히 이루어지지 않으면 개인정보 유출이 발생할 수 있다고 밝히고 있습니다. 아울러 정보 유출과 유출된 정보의 불법 활용을 막기 위한 제도적. 기술적 방안을 함께 요구하고 있습니다. 그럼 다음 장에서는 한국을 포함한 세계 각국의 기업과 기관들이 어떤 제도적 장치를 통해 자율주행과 관련된 보안 문제를 해결하려 하는지 알아보겠습니다.
3. 자율주행차량 정보보안제도 동향-편리하지만 동시에 안전한 사회를 위해
- 해외동향
- 해외의 경우 유럽이나 미국처럼 자율주행차를 활발하게 개발하는 국가를 중심으로 자율주행자동차 정보보안 제도가 있습니다.
- 이러한 사례로서는 유럽 자동차 메이커 협회의 데이터 보호의 원칙과 미국 도로 교통 안전국의 자동 운전차 안전기준의 가이드 라인이 있습니다. 각각의 내용에는 데이터 수집의 투명성, 데이터 수집에 대한 고객의 선택권, 데이터 보안, 데이터 비식별 처리 및 영구 삭제에 관한 조항이 포함되어 있습니다. 양자 모두 투명한 정보 수집과 수집한 정보의 안전 보관을 공통적으로 강조하고 있습니다. 그리고 구미에는 권고적 성격의 가이드라인과 함께 제조사의 의무와 책임을 명시한 법안도 마련되어 있습니다.
- 유엔 유럽 경제위원회(UNECE)에서는, 모든 자율주행 차량 제작 회사를 대상으로 차량 사이버 보안 관리 체계(CSMS)에 의해서 제작 회사 차량의 사이버 보안 위험도의 평가를 받는 것을 규정하고 있습니다. CSMS는, 「보안 위협을 식별, 평가, 분류, 관리하기 위한 프로세스」, 「차량 보안 시험을 위한 프로세스」, 「보안 위협을 모니터링 하고, 탐지·대응하는 프로세스」등을 확인합니다. 그리고 CSMS 인증을 받지 못한 메이커의 차량은 유럽으로 수입하지 못하도록 했습니다.
- 한편, 미국에서는 같은 법률로서 「자동운전법(Self Drive Act)」이 있습니다. 해당 법도 자율주행차량 제조업체의 개인정보 보호와 사이버 보안을 강조하고 있습니다. 이 때문에 ‘예측 가능한 약점을 발견·완화하는 프로세스’, ‘정보보안 담당자의 할당·훈련’, 그리고 ‘프라이버시 침해 방지·대응 시스템 구축’의 의무를 부과하고, 이에 따르지 않는 제조업체의 자율주행 차량 모델은 판매·수입을 금지하고 있습니다.
2) 국내동향
국내의 경우 해외에 비해 자율주행차에 대한 제도 정비가 늦어지고 있다는 목소리가 있었습니다. 이에 국토교통부는 2020년 12월 자율주행자동차 윤리, 보안, 안전방향 가이드라인 3종을 먼저 발표했습니다. 해당 가이드라인에 명시된 ‘자동차 사이버 보안 가이드라인’에는 제작사가 자율주행 차량에 대한 보안관리 체계를 구축하고 구축된 관리 체계에 따라 차량의 정보보안을 관리해야 한다는 권고 내용이 담겨 있습니다.
이것을 잘 보면 ‘자동차 사이버보안 가이드라인’에는 제조회사가 보안 리스크를 사전에 탐지·분석하는 ‘리스크 평가 절차’와 리스크의 정도를 낮추는 ‘보안조치 절차’를 갖추는 것이 권고되어 있습니다. 또한 실시된 보안조치가 유효했는지 확인하는 ‘검증절차’ 확보도 함께 권장합니다.
또 “제조사는 공급업체와 협력업체의 보안태도도 고려해야 한다”는 점과 ‘자동차의 사이버 보안 전문기관과 관련 정보를 공유’해야 한다는 점도 권고에 수록돼 있습니다. 국토교통부는 가이드라인에 적힌 권고안을 바탕으로 사이버 보안 관리를 의무화하는 법 제정을 준비하고 있습니다. 또, 설치된 보안 기준에 근거해, 차의 시큐러티를 시험할 수 있는 차의 시큐러티 센터 구축 사업을 추진하고 있다고 합니다.
글을 마치면서
지금까지 자동차의 보안 문제와 이에 대비하기 위한 몇 가지 제도에 대해 공부했습니다. 포스팅 도입부에서도 강조했듯이 자율주행차의 기술적 발전은 좋지만 이와 함께 발생하는 보안 문제를 절대로 무시해서는 안 됩니다. 자율주행차는 무엇보다 내부에 사람이 탑승하는 만큼 개인정보 유출 문제와 함께 앞선 사례처럼 해킹을 통한 악의적인 오작동이 큰 사고를 일으킬 가능성이 있기 때문입니다. 따라서 우리도 하루빨리 자율주행차의 정보보안에 관한 법률과 제도가 정비되어 자율주행차의 편의와 안전이 보장되는 사회가 되었으면 합니다. 이번 포스팅은 끝이 났습니다 감사합니다!
관련 포스팅과 참고기사 <2020 여름_소망사인턴일기> 생활 속에서 겪는 개인정보 유출/오남용 사례> https://blog.naver.com/best_somansa/222072685169 안녕하세요! 이번 포스팅에서는 개인정보 유출 및 오남용 사례 몇가지 살펴보도록 하겠습니다ㅎㅎ 여러분은… blog.naver.com <2021 봄_소망사인턴일기> 학교 내 개인정보 유출/침해 사례 https://blog.naver.com/best_somansa/222291196730 안녕하세요! H입니다.https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30616Fordham Journal of Corporate and Financialaw기사, The SELF DRIVE Act:Cybersecurity and Carson Autopilothtps://news.law.fordham.edu/jcfl/2018/01/15/the-self-drive-act-cybersecurity-and-cars-on-autopilot/국토 교통부 보도 자료, 15일 자동 운전 차 윤리·보안·안전 방향 지침 3종 발표 http://www.molit.go.kr/USR/NEWS/m_71/dtl.jsp ? id = 95084902 CSIS 報告 書 、 National Security Implications of Leadership in Autonomous Vehicleshtps : // www.csis.org/analysis/national-security-implications-leadership-autonomous-vehicles