CAN 버스 보안: 연결된 차량의 보이지 않는 사이버 보안 전투

현대 차량의 디지털 연결 통합이 증가함에 따라 사이버 보안의 중요성이 높아졌으며, 특히 컨트롤러 영역 네트워크(CAN) 버스 시스템에서 더욱 두드러집니다.

원래 전자 제어 장치(ECU) 간의 효율적인 통신을 위해 설계된 CAN 버스는 내장된 보안 조치가 부족하여 사이버 위협의 주요 표적이 되고 있습니다.

이 논문은 인증 및 암호화 부족, 서비스 거부 및 재전송 공격에 대한 취약성, 무선 연결로 인한 증가하는 위험을 포함하여 CAN 버스의 취약성을 탐구합니다.

이러한 문제를 해결하기 위해 우리는 침입 탐지 및 예방 시스템(IDPS), 메시지 인증 및 암호화, 보안 게이트웨이, 네트워크 분할 및 보안 부팅 메커니즘을 통합한 다층적 접근 방식을 제시합니다.

이 연구의 주요 기여는 악성 활동의 실시간 식별을 가능하게 하는 이상 탐지를 위한 심층 신경망 분석입니다.

또한 우리는 차량 내 통신을 보호하는 데 있어 암호화 인증 및 경량 암호화 기술의 효과를 검토합니다.

연구 결과는 AI 기반 보안 솔루션, 포스트 양자 암호화 및 블록체인 기반 보호를 강조하며, 진화하는 공격 벡터에 맞서 싸우기 위한 능동적인 사이버 보안 전략의 필요성을 강조합니다.

이러한 방어를 구현함으로써 자동차 산업은 차량 안전을 강화하고 데이터 무결성을 보호하며 점점 더 연결된 환경에서 소비자 신뢰를 강화할 수 있습니다.

서론: 연결된 차량의 보이지 않는 위협

차량이 정교한 디지털 기계로 발전함에 따라 자동차 산업에서 사이버 보안의 중요성은 그 어느 때보다 커졌습니다.

컨트롤러 영역 네트워크(CAN) 버스는 원래 전자 제어 장치(ECU) 간의 차량 내 통신을 단순화하기 위해 개발되었으며, 사이버 위협의 주요 표적이 되었습니다.

차량 기능 관리를 위한 효율성은 부인할 수 없지만, 내장된 보안 프로토콜의 부족으로 인해 현대 차량은 새로운 유형의 사이버 공격에 취약해졌습니다.

사이버 범죄자들은 CAN 네트워크의 약점을 점점 더 많이 이용하고 있으며, 이는 차량 안전, 데이터 무결성 및 소비자 신뢰를 위협하고 있습니다.

연결된 자율 차량의 빠른 채택과 함께 CAN 버스의 취약성을 이해하고 최첨단 보호 메커니즘을 구현하는 것은 더 이상 선택 사항이 아니라 필수입니다.

CAN 버스 보안이 중요한 이유

CAN 버스 보안은 현대 차량이 엔진 제어 및 제동 시스템부터 인포테인먼트 및 운전 보조 기능까지 모든 것을 관리하기 위해 이 프로토콜에 의존하기 때문에 중요합니다.

손상된 CAN 버스는 의도하지 않은 가속, 제동 실패 및 차량의 원격 해킹과 같은 재앙적인 결과를 초래할 수 있습니다.

2015년의 악명 높은 지프 체로키 해킹 사건은 공격자가 차량의 기능을 원격으로 조작할 수 있는 방법을 보여주었으며, 이는 업계가 CAN 보안을 우선시하도록 촉구했습니다.

Miller와 Valasek(2015)의 연구는 CAN 버스 공격이 조향 및 제동 오작동을 초래할 수 있음을 보여주었으며, 이는 이론적인 위험이 아니라 실제 세계의 위협임을 증명합니다.

차량 간 통신(V2X), 공중 업데이트(OTA) 및 클라우드 연결 차량 관리의 증가로 차량의 공격 표면이 확장되고 있습니다.

Petit과 Shladover(2014)의 연구에 따르면 무선 공격 벡터는 원격 CAN 버스 악용 가능성을 크게 증가시켜 전통적인 보안 가정을 쓸모없게 만듭니다.

CAN 버스 취약성: 심층 분석

효율성에도 불구하고 CAN 프로토콜은 사이버 보안을 염두에 두고 설계되지 않았습니다. 주요 취약점은 다음과 같습니다:

1. 인증 및 암호화 부족

현대 통신 프로토콜과 달리 CAN 버스 메시지는 인증 메커니즘이 부족하여 네트워크의 모든 ECU가 검증 없이 메시지를 보내고 받을 수 있습니다.

무단 물리적 또는 원격 접근을 이용하는 공격자는 악성 명령을 주입할 수 있으며, 이는 안전에 중요한 기능을 무시할 수 있습니다.

Woo와 Kim(2015)의 연구는 메시지 인증 코드(MAC)를 추가하면 스푸핑 공격을 방지할 수 있지만, 대역폭 제약으로 인해 구현이 여전히 도전 과제가 되고 있음을 나타냅니다.

2. 브로드캐스트 통신 모델

모든 ECU가 동일한 버스를 공유하고 전송된 모든 메시지를 수신하므로, 하나의 손상된 노드가 차량 행동을 조작할 수 있습니다.

Checkoway 외(2011)의 연구에 따르면 인포테인먼트 시스템을 손상시키면 CAN 네트워크를 가로질러 측면 이동이 가능해져 중요한 차량 시스템에 영향을 미칠 수 있습니다.

3. 서비스 거부(DoS) 공격

일반적인 CAN 버스 공격은 네트워크를 높은 우선 순위 메시지로 범람시켜 시스템을 압도하고 합법적인 신호를 차단하는 것입니다.

Choi 외(2018)의 연구는 DoS 공격이 에어백 오작동, 제동 실패 및 대시보드 이상을 초래할 수 있음을 보여주었습니다.

4. 재전송 공격

공격자는 유효한 CAN 메시지를 캡처하고 나중에 다시 전송할 수 있어 차량이 합법적인 명령과 사기성 명령을 구별하기 어렵게 만듭니다.

Groll과 Rieke(2019)는 재전송 공격을 완화하기 위해 암호화 타임스탬프를 제안하지만, 실제 구현은 계산 오버헤드 문제에 직면해 있습니다.

5. 원격 악용 및 무선 공격 표면

Wi-Fi, 블루투스 및 셀룰러 통신의 통합은 물리적 접근을 넘어 공격 벡터를 확장합니다.

Koscher 외(2010)의 연구는 무선 연결이 CAN 버스 명령을 원격으로 주입하는 데 악용될 수 있음을 확인하여 향상된 게이트웨이 보안의 필요성을 보여줍니다.

CAN 버스 보안: 현재와 미래

이러한 취약성에 맞서기 위해 업계 리더들은 하드웨어 및 소프트웨어 보안 전략을 결합한 다층적 접근 방식을 배포하고 있습니다.

1. 침입 탐지 및 예방 시스템(IDPS)

서명 기반 탐지는 자동차 CAN 네트워크에서 알려진 사이버 위협을 식별하는 데 사용되는 기본 기술입니다.

이 방법은 무단 명령 주입, 재전송 공격 또는 스푸핑된 ECU 메시지와 같은 악성 활동과 관련된 고유한 패턴의 미리 정의된 공격 서명 데이터베이스에 의존합니다.

CAN 버스 트래픽이 모니터링될 때 시스템은 각 메시지를 이러한 저장된 서명과 비교하여 실시간으로 의심스러운 활동을 감지하고 플래그를 지정합니다.

심층 신경망(DNN)을 통한 이상 탐지는 컨트롤러 영역 네트워크(CAN) 내의 취약성을 해결하기 위해 특별히 설계된 고급 방법입니다.

CAN 버스가 인증 및 암호화와 같은 기본 보안 기능이 부족하므로 랜섬웨어 공격을 포함한 사이버 위협에 매우 취약해집니다.

이를 해결하기 위해 Zhou 외(2019)의 최근 연구는 CAN 버스 메시지의 실시간 이상 탐지를 위해 심층 신경망을 활용하는 혁신적인 시스템을 제안했습니다.

이 방법은 CAN 버스 데이터 패킷의 시퀀스를 동시에 처리하는 교차 도메인 모델링 문제로 이상 탐지를 다루는 것입니다.

특히 데이터 패킷은 세 가지 그룹으로 구성됩니다—앵커(알려진 정상 데이터), 긍정(정상 작동 데이터), 부정(이상 데이터)—그리고 공유 가중치 훈련 전략을 사용하는 심층 신경망 아키텍처에 공급됩니다.

이 접근 방식은 원래 얼굴 인식에 사용된 내장된 삼중 손실 함수 네트워크를 활용하여 이러한 그룹 간의 거리를 최적화합니다.

DNN은 메시지 빈도, 메시지 ID 시퀀스 및 페이로드 내용과 같은 중요한 행동 패턴을 캡슐화하는 CAN 버스 메시지에서 독특한 특징 벡터를 추출합니다.

실시간 시나리오에 배포될 때 이 시스템은 들어오는 CAN 메시지를 지속적으로 모니터링하여 학습된 기준 행동에서의 편차를 신속하게 식별합니다.

랜섬웨어 또는 악성 조작을 나타내는 이상 활동이 감지되면 IDPS는 즉각적인 경고 및 네트워크 격리 또는 ECU 중단과 같은 자동 보호 응답을 트리거합니다.

이상 기반 탐지와 함께 네트워크 분할은 차량의 내부 통신 인프라를 격리된 세그먼트로 나누어 CAN 버스 보안을 더욱 강화합니다.

이 접근 방식은 조향, 제동 및 에어백과 같은 안전에 중요한 시스템을 인포테인먼트 및 텔레매틱스와 같은 비중요 시스템으로부터 분리합니다. 게이트웨이 전자 제어 장치(ECU)는 엄격한 통신 정책을 시행하여 측면 이동을 제한하고 랜섬웨어가 차량 네트워크에 퍼지는 것을 방지합니다.

2. 메시지 인증 및 암호화

메시지 인증은 메시지가 합법적인 출처에서 발생하고 전송 중에 변경되지 않도록 보장합니다. 해시 기반 메시지 인증 코드(HMAC)와 같은 기술은 신뢰할 수 있고 효율적인 솔루션을 제공합니다.

Zhang 외(2021)는 HMAC과 Tiny Encryption Algorithm(TEA)을 결합하면 무단 메시지 수정 및 재전송 공격에 대해 강력한 보안을 제공하면서 성능 오버헤드가 최소화된다는 효과를 입증했습니다.

또한 물리적 복제 불가능 함수(PUF)와 같은 하드웨어 기반 인증 방법은 ECU의 고유한 제조 특성을 사용하여 안전한 암호화 식별자를 생성하여 무단 접근 위험을 크게 줄입니다.

암호화는 인증을 보완하여 메시지 기밀성을 보호하고, 오직 승인된 ECU만 전송된 데이터를 해석할 수 있도록 보장합니다.

대칭 암호화 방법은 최소한의 계산 요구로 인해 자동차 사용에 선호되며, 실시간 통신에 적합한 빠르고 효율적인 메시지 암호화를 가능하게 합니다.

경량 암호화 및 인증 프로토콜(LEAP)과 같은 프로토콜은 자동차 환경을 위해 특별히 설계되어 강력한 보안과 성능 요구 사항의 균형을 맞춥니다.

LEAP는 경량의 보안 강화 스트림 암호 알고리즘을 활용하여 동시에 인증 및 암호화를 제공하여 상당한 지연이나 자원 제약 없이 안전한 CAN 통신을 보장합니다.

3. 보안 게이트웨이 및 네트워크 분할

네트워크 분할은 자동차 컨트롤러 영역 네트워크(CAN) 버스를 사이버 위협으로부터 보호하기 위한 중요한 사이버 보안 전략으로 부상했습니다.

이 접근 방식은 차량의 내부 네트워크를 여러 개의 격리된 세그먼트로 논리적으로 나누고, 각 세그먼트에 고유한 보안 프로토콜을 적용합니다.

이러한 세그먼트 간의 통신을 제한함으로써 분할은 공격자가 네트워크를 가로질러 측면 이동할 가능성을 효과적으로 최소화하여 위협의 확산을 크게 제한합니다.

하나의 세그먼트가 손상되더라도 분할은 제동, 조향 또는 안전 제어와 같은 중요한 시스템이 안전하고 운영에 영향을 받지 않도록 보장합니다.

네트워크 분할의 고급 구현은 엄격한 통신 규칙을 시행하고 실시간으로 네트워크 트래픽을 모니터링하는 게이트웨이 전자 제어 장치(ECU)를 활용합니다.

이러한 게이트웨이는 전용 보안 체크포인트 역할을 하여 비정상적이거나 무단 활동에 대한 메시지 흐름을 지속적으로 분석합니다.

악성 행동이 감지되면 영향을 받는 세그먼트는 즉시 격리되어 중요한 기능이 보호됩니다.

이 방법은 사이버 위협의 확산을 방지할 뿐만 아니라 신속한 대응 및 복구를 촉진하여 자동차 시스템의 안전성과 운영 무결성을 유지합니다.

4. 보안 부팅 및 펌웨어 무결성 검증

펌웨어의 무결성과 진위를 보장하는 것은 컨트롤러 영역 네트워크(CAN)를 잠재적인 사이버 위협으로부터 보호하는 데 매우 중요합니다.

이를 달성하기 위해 사용되는 두 가지 중요한 메커니즘은 보안 부팅 및 펌웨어 무결성 검증입니다. 이 프로세스는 무단 코드 실행을 방지하고 차량 내 시스템의 신뢰성을 유지하기 위해 함께 작동합니다.

보안 부팅: 신뢰의 사슬 구축

보안 부팅은 차량의 임베디드 시스템이 검증되고 신뢰할 수 있는 소프트웨어만 사용하여 부팅되도록 보장하는 보안 프로토콜입니다.

이는 하드웨어에 내장된 불변의 신뢰 루트(RoT)에서 시작하여 실행 전에 각 후속 소프트웨어 계층을 검증하는 신뢰의 사슬(Chain of Trust, CoT)을 설정합니다.

이 프로세스는 부팅 시퀀스 중에 악성 또는 변조된 코드의 로딩을 방지합니다.

보안 부팅의 구현은 다음을 포함합니다:

2. 신뢰 루트(RoT): 초기 코드와 첫 번째 검증 단계에 필요한 암호화 키를 포함하는 불변 구성 요소로, 종종 읽기 전용 메모리(ROM)에 저장됩니다.

3. 부트로더 검증: RoT는 비대칭 암호화(예: RSA 또는 ECC)를 사용하여 부트로더의 디지털 서명을 검증합니다. 서명이 유효하면 부트로더가 실행되고, 그렇지 않으면 부팅 프로세스가 중단됩니다.

4. 운영 체제 및 애플리케이션 검증: 이제 신뢰할 수 있는 부트로더는 운영 체제와 애플리케이션을 유사한 방식으로 검증하여 각 구성 요소가 실행되기 전에 인증되도록 보장합니다.

이 계층화된 검증 프로세스는 인증된 소프트웨어만 로드되도록 보장하여 CAN 네트워크를 잠재적인 사이버 위협으로부터 보호합니다.

펌웨어 무결성 검증: 지속적인 신뢰 보장

초기 부팅 프로세스를 넘어 펌웨어 무결성 검증은 런타임 동안 펌웨어의 무결성을 지속적으로 모니터링합니다. 이는 다음을 포함합니다:

• 암호화 해싱: 펌웨어 코드의 해시를 생성하고 이를 알려진 정상 값과 비교합니다. 불일치가 발생하면 잠재적인 변조를 나타냅니다.

• 디지털 서명: 펌웨어 업데이트가 신뢰할 수 있는 출처에서 발생하고 전송 중에 변경되지 않았음을 검증하기 위해 디지털 서명을 활용합니다.

이러한 조치는 펌웨어에 대한 무단 수정이 신속하게 감지되도록 하여 CAN 네트워크의 보안을 유지합니다.

자동차 시스템에서의 구현

차량에서 보안 부팅 및 펌웨어 무결성 검증을 구현하는 것은 차량 내 다양한 기능을 관리하는 전자 제어 장치(ECU)에 이러한 메커니즘을 통합하는 것을 포함합니다. 이 통합은 다음을 요구합니다:

• 하드웨어 지원: ECU는 보안 부팅 및 무결성 검사를 수행하는 데 필요한 암호화 작업을 수행할 수 있는 하드웨어 보안 모듈을 갖추어야 합니다.

• 소프트웨어 아키텍처: 소프트웨어는 성능을 저하시키지 않으면서 보안 부팅 시퀀스 및 런타임 무결성 검증을 지원하도록 설계되어야 합니다.

S32G274A 차량 네트워크 프로세서에 대한 연구는 포스트 양자 보안 부팅 메커니즘의 실용적인 통합을 입증하며, 현대 자동차 시스템에서 이러한 보안 조치의 중요성을 강조합니다.

결론: 자동차 사이버 보안의 미래

연결된 차량의 빠른 발전은 전례 없는 편리함을 가져왔지만, CAN 버스 아키텍처의 중요한 취약점을 드러냈습니다.

사이버 위협이 계속해서 정교해짐에 따라 자동차 네트워크를 보호하는 것은 더 이상 선택 사항이 아니라 필수입니다.

이 기사에서 강조된 연구 및 실제 공격은 능동적이고 다층적인 방어 전략의 긴급한 필요성을 보여줍니다.

AI 기반 이상 탐지, 암호화 인증, 보안 게이트웨이 및 규제 준수를 통합함으로써 자동차 제조업체는 새로운 사이버 위협에 대한 CAN 버스 보안을 강화할 수 있습니다.

기술이 발전함에 따라 업계는 포스트 양자 암호화, 블록체인 기반 보안 및 자가 치유 네트워크와 같은 미래 지향적인 솔루션에 투자해야 합니다.

자동차 사이버 보안의 미래는 제조업체, 정책 입안자 및 사이버 보안 전문가 간의 협력적인 노력을 필요로 합니다.

지속적인 혁신과 경계를 통해 우리는 내일의 차량이 안전하고 회복력 있으며 신뢰할 수 있도록 보장할 수 있습니다.

이 고위험 사이버 보안 전투에서 CAN 버스를 보호하는 것은 단순히 데이터를 보호하는 것이 아니라 도로에서 생명을 보호하는 것입니다.

참고 문헌

2. Miller, C., & Valasek, C. (2015). “Remote Exploitation of an Unaltered Passenger Vehicle.”

3. Petit, J., & Shladover, S. E. (2014). “Potential Cyberattacks on Automated Vehicles.”

4. Koscher, K., Czeskis, A., Roesner, F., et al. (2010). “Experimental Security Analysis of a Modern Automobile.”

5. Woo, S., & Kim, J. (2015). “A Practical Message Authentication Code for CAN Bus Security.”

6. Choi, W., Woo, S., & Kim, Y. (2018). “Denial-of-Service Attacks on CAN Networks.”

7. Dorri, A., Kanhere, S. S., Jurdak, R., & Gauravaram, P. (2017). “Blockchain for IoT Security and Privacy.”

8. Thiruloga, S., Kukkala, V. K., & Pasricha, S. (2021). “AI-Based Anomaly Detection in Automotive Networks.”

9. Zhou, Aiguo & Li, Zhenyu & Shen, Yong. (2019). Anomaly Detection of CAN Bus Messages Using a Deep Neural Network for Autonomous Vehicles.

10. Zhang, et al. (2021). “Authentication Method Combining HMAC-SHA256 with Tiny Encryption Algorithm for CAN Bus Security.” SAE International.

11. Siddiqui, et al. (2017). “Secure Communication over CAN Bus: A PUF-Based Mutual Authentication Framework.” ResearchGate.

이미지 출처

• 이미지 1 출처: Emad Aliwa, Omer Rana, Charith Perera, and Peter Burnap. 2021. Cyberattacks and Countermeasures for In-Vehicle Networks. ACM Comput. Surv. 54, 1, Article 21 (January 2022), 37 pages. https://doi.org/10.1145/3431233

• 이미지 2 출처: Zhou, & Li, & Shen,. (2019). Anomaly Detection of CAN Bus Messages Using A Deep Neural Network for Autonomous Vehicles. Applied Sciences. 9. 3174. 10.3390/app9153174.

• 이미지 3 출처: Research article from embeddedcomputing ” Secure Boot: An Integral Security Feature for Code Storage, Operating Systems, and Data Storagel” Link: https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

이 기사는 2024년 5월 21일에 처음 발표되었습니다.