테스팅 심포지움

펜타시큐리티, 유럽에서 전기차 보안 솔루션 소개

펜타시큐리티, 유럽에서 전기차 보안 솔루션 소개

 

정보보안전문기업 ‘펜타시큐리티시스템’은 네덜란드에서 개최된 ‘CCS & ISO/IEC 15118 테스팅 심포지엄’에 참가해 전기차 충전 보안 솔루션 ‘AutoCrypt V2G’를 시연했다.

테스팅 심포지움

<‘CCS & ISO/IEC 15118 테스팅 심포지엄’에서 연설 중인 펜타시큐리티 제이슨유 이사>

 

세계적으로 전기차 통신 규격 표준화 움직임이 활발하다. ‘CCS & ISO/IEC 15118 테스팅 심포지엄’은 전기차와 전원공급장치 간 통신 규격 표준화를 위한 기술학회다. 본 행사에서 펜타시큐리티는 PKI 기반 전기차 충전 보안 솔루션 ‘AutoCrypt V2G(아우토크립트 V2G)’를 시연했다. 해당 기술은 펜타시큐리티가 스마트에너지전문기업 ‘그리드위즈’와 함께 상용화에 성공한 Plug and Charge 솔루션에도 적용된 바 있다.

 

전기차 충전 보안 문제가 뜨거운 이슈로 떠오름에 따라 이번 행사에서는 PKI(Public Key Infrastructure, 공개 키 기반구조) 워크샵이 신설되었다. 펜타시큐리티는 보안 부문 패널 토의에 참여해 전기차 충전 시 발생 가능한 보안 위협과 그에 대응하는 전기차 충전 보안 솔루션을 소개함으로써 유럽 전기차 충전 서비스 사업자들로부터 많은 관심을 받았다.

 

펜타시큐리티는 전기차 통신 표준화 컨소시엄 ‘CharIN’ 멤버 참여 등 국내외 전기차 보안 사업을 활발히 전개하고 있다. 펜타시큐리티 IoT융합보안연구소장 김의석 상무는 “AutoCrypt V2G 솔루션을 통해 안전하면서도 편리한 전기차 인프라 구축에 앞장서겠다. 우선 전기충전 사업자, 전기차 업체와의 파트너십을 통해 간편하게 인증서와 계약 정보 등을 실시간으로 주고받을 수 있는 온라인 시스템을 구축할 예정”이라고 말했다.

art_1543724306

펜타시큐리티가 11년 전부터 ‘자동차 보안’을 시작한 이유

펜타시큐리티가 11년 전부터 ‘자동차 보안’을 시작한 이유

[인터뷰] 심상규 펜타시큐리티시스템 최고기술책임자(CTO) 겸 이사

 

 

시장조사기관 IHS에 따르면 전세계 커넥티드카는 오는 2020년까지 1억5200만대로, 시장이 커질 전망이다. 커넥티드카는 정보통신기술과 자동차를 연결한 것으로, 인터넷과 모바일 서비스가 가능한 차량을 말한다.

도로상황 위험경고, 실시간 내비게이션, 원격차량제어, 멀티미디어 스트리밍, 소셜네트워크서비스(SNS) 등이 가능하다. 이 때문에 자동차도 차세대 보안 디바이스 중 하나로 주목받고 있다.

펜타시큐리티는 2007년부터 자동차 보안 사업에 뛰어들었다. 당시에는 ‘커넥티드카’란 말이 생소했는데, 그만큼 일찌감치 자동차 보안 사업에 뛰어들었다.

 

심상규 펜타시큐리티 이사<사진>는 최근 <디지털데일리>와 만나 자동차 보안 사업을 일찍 시작한 이유에 대해 설명했다. 그는 “자동차가 똑똑해지려면 더 많은 데이터를 주고받아야 한다”면서 “앞으로 자동차 관련 서비스가 늘어날 것으로 내다봤으며, 데이터의 활용 값어치를 늘릴 수 있는 방법을 생각했다”고 밝혔다.

이어 “이미 자동차 데이터를 가진 제조사들이 많다”면서 “데이터를 가진 주체는 많으나 아직까지 안전하게 데이터를 주고받을 방법이 없다”고 사업시작 배경을 설명했다.

펜타시큐리티가 이러한 생각을 가지게 된 계기는 2007년부터 자동차 제조사들과 자동차 보안 부문에서 협력한 데 있다. 당시 회사는 제조사들과 운전석에 부착된 단자를 자동차 소프트웨어(SW)와 연결하거나, SW 업그레이드 등을 진행하면서 자동차 보안에 발을 들였다.

심 이사는 “제조사와 협력한 뒤로 2014년 정부 제안이 들어왔다”면서 “정부에서 도로공사 등에 필요한 보안 기술을 이해하도록 3년간 자문을 하고, 관련 정부사업도 했다”고 밝혔다.

커넥티드카 기술은 이제 더이상 먼 얘기가 아니다. 정부에서도 관련 프로젝트를 진행하고 있다. 심 이사는 “세종시에서 프로젝트 일환으로 커넥티드 기술을 3000대의 차량에 적용했다”면서 “내년 만해도 몇 만대 수준으로 늘어날 것”이라고 내다봤다.

 

그렇다면 자동차 보안 기술은 무엇일까? 향후 커넥티드카가 활성화되면 도로에 달리는 각 차량들은 서로 통신을 주고 받는다. 예를 들어 차량이 옆 차선으로 끼어들 경우, 옆 차선의 차량에 신호를 줘 사고를 막는다. 이때 해커들이 자동차 통신을 해킹해 이를 조작하지 않도록 방어하는 것이 자동차 보안 기술이다.

자동차 보안 기술은 세분화되어 있다. 현재 펜타시큐리티에서는 ▲보안통신시스템 ▲공개키반구조(PKI) 인증 시스템 ▲전기차 충전 보안시스템 ▲차량·모바일기기·클라우드 서비스 위한 보안통신 시스템 ▲차량 내부보호 시스템 ▲차량 내부 암호화키 관리 시스템 사업을 진행하고 있다. 기존의 보안기술처럼 자동차 보안 기술도 도처에 도사린 위협을 막기 위해 세분화할 수 밖에 없다.

다만 아직까지 수익성은 크지 않다. 펜타시큐리티에서 자동차 보안이 차지하는 매출은 전체 비중 가운데 약 10~20% 차지하는 만큼 미미하다. 이 또한 처음과 비교했을 때 5~6배 성장한 수치다. 심 이사는 2020년께 수익 매출이 견고해질 것이라고 내다봤다. 그는 “2020년 커넥티드카가 공식적으로 궤도에 오를 것”이라면서 “전국에 커넥티드카 도로망 시스템이 어느 정도 완성될 것”이라고 전망했다.

또 자동차는 산업 특성상 완제품이 시장에 나오기까지 상당한 시간이 길다. 때문에 수익화는 2~3년 뒤부터 본격화될 것이란 것. 심 이사는 “제조사들은 자동차 테스트를 1~2년간 거친다”면서 “지금 협력을 해도 2~3년 뒤에 고객들이 사용할 수 있다”고 설명했다.

현재 펜타시큐리티는 국내외 기업들과 협력중이다. 그는 “전세계 지능형교통시스템(C-ITS) 기업 15곳 가운데 절반 가량 협력 관계를 맺고 있다”고 강조하면서 “국내에서는 현대기아차와 협력하고 있다”고 설명했다.

앞으로의 목표에 대해 심 박사는 “아시아태평양 지역에서 자동차 보안기업으로 1위로 성장하는 것”이라고 포부를 밝혔다. 그는 “동북아지역에서 점유율을 차지하는 것은 전세계 시장 50~60%를 점유하는 것과 마찬가지”고 덧붙였다.

그가 동북아 지역을 노리는데는 이유가 있다. 유럽, 미국과 비교했을 때 시차가 크게 나지 않아 일하는 시간이 겹치기 때문이다. 심 이사는 “이는 중국과 일본에서도 공감할 만큼 굉장히 매력적인 요소”라고 강조했다. 이어 “아시아태평양 지역에서 자동차 보안 기업은 아직까지 우리가 유일하다”면서 “향후 후발업체들이 생겨도 그동안 쌓인 노하우가 강점이 될 것”이라고 강조했다.

 

[기사 원문 보기 – 디지털데일리 http://www.ddaily.co.kr/news/article.html?no=175459]

[펜타시큐리티] 파트너데이

펜타시큐리티, ‘웹방화벽 WAPPLES 파트너스 데이’ 개최

펜타시큐리티, ‘웹방화벽 WAPPLES 파트너스 데이’ 개최

 

정보보안전문기업 ‘펜타시큐리티시스템’은 웹방화벽 ‘WAPPLES’의 유통, 판매, 기술지원 협력사를 초청해 파트너스 데이 행사를 개최했다.

 

[펜타시큐리티] 파트너데이

<펜타시큐리티 ‘WAPPLES 파트너스 데이’ 모습>

 

펜타시큐리티는 지능형 웹방화벽 ‘WAPPLES(와플)’을 필두로 소프트웨어형 웹방화벽 ‘WAPPLES SA’ 등 제품 라인업을 소개하고, 신규 5.0 버전에 추가된 기능과 2019년 제품 로드맵 등 사업정보를 협력사들과 공유했다.

 

‘WAPPLES’은 지능형 탐지엔진 ‘COCEP’을 탑재해 신종 공격에도 대응 가능하며, 미국 성능측정기관 톨리그룹(Tolly Group) 테스트를 통해 TPS, CPS, 오탐률 등 주요성능이 경쟁제품 대비 월등함을 인정받았다. 최근 10대 웹 애플리케이션 취약점(OWASP TOP 10)에 대한 보안정책을 강화하고, 자동화 툴에 의한 부정접근 방지 기능을 추가하는 등 보안성을 한층 더 높였다. 신 버전 ‘WAPPLES 5.0’은 머신러닝 기반 자가진단 기능을 탑재하고, 설정 및 로그 DB 관리 이분화, 백업과 복구 등 기능 업그레이드를 통해 안정성을 강화했다.

 

펜타시큐리티 남경문 기획실장은 “이번 행사를 통해 ‘WAPPLES’ 라인업, 신기능, 로드맵 등 정보를 공유함으로써 파트너 협조체계를 더욱 강화했다. 앞으로도 협력사들과의 지속적 소통을 바탕으로 보다 향상된 제품과 서비스를 제공하겠다” 라고 말했다.

 

WAPPLES 5.0

펜타시큐리티, 웹방화벽 ‘WAPPLES’ v5.0 업그레이드

펜타시큐리티, 웹방화벽 ‘WAPPLES’ v5.0 업그레이드

 

IoT∙클라우드∙엔터프라이즈 보안전문기업 ‘펜타시큐리티시스템㈜’이 웹방화벽 ‘WAPPLES (와플)’ v5.0 출시를 발표하고 신규 장비 라인업을 선보였다.

 WAPPLES 5.0

<펜타시큐리티의 웹방화벽 WAPPLES>

 

펜타시큐리티의 ‘WAPPLES’은 웹 애플리케이션 보안에 특화된 웹방화벽(WAF)으로서 전반적 웹 공격에 대응하고 정보 유출, 부정 로그인, 웹사이트 위변조 방지 기능을 제공한다. 자체 개발한 지능형 탐지 엔진 ‘COCEPTM’을 탑재함으로서 아직 알려지지 않은 신종 공격에 대한 대응이 가능하며, 논리적 판단 방식이므로 미탐 및 오탐이 거의 발생하지 않는다. ‘WAPPLES’은 국내 시장뿐 아니라 아시아-태평양 시장 점유율 1위 제품이다.

이번에 업그레이드된 ‘WAPPLES’ v5.0은 룰과 예외 처리 기능을 개선해 WAF의 기본인 탐지 기능을 강화하고, 자동화 툴에 의한 부정 접근 방지 기능을 통해 보안성을 강화했다. 또한 설정 및 로그 DB 관리 이분화, 백업과 복구 기능 등의 업그레이드를 통해 안정성을 강화하고, UI 개선으로 사용자 편의성을 한층 더 높였다. 그리고 신규 H/W 출시를 통해 전체 라인업 모델의 성능이 향상되었다.

펜타시큐리티 남경문 기획실장은 “실제 현장의 고객 니즈를 적극 반영해 보안성과 성능 그리고 안정성을 모두 높였고, 고객 상황에 따라 보다 안정적으로 WAF 하드웨어를 사용할 수 있도록 전체 제품 라인업 구성을 최적화했다. 앞으로도 시장 1위 타이틀에 안주하지 않고 고객 만족도를 높이기 위해 항상 노력하겠다” 라고 말했다.

펜타 MOU

펜타시큐리티-그리드위즈, 전기차 사업 파트너 되다

펜타시큐리티-그리드위즈, 전기차 사업 파트너 되다

 

IoT∙클라우드∙블록체인 보안전문기업 ‘펜타시큐리티시스템’이 지난 14일에 스마트그리드 전문 에너지기업 ‘그리드위즈’와 전기차 충전 인프라 솔루션 사업 및 스마트 에너지 솔루션 사업 협력을 약조하며 MOU를 체결했다.

 

펜타 MOU

<좌 그리드위즈 김현웅 상무, 우 펜타시큐리티 김의석 상무>

이에 따라 펜타시큐리티는 그리드위즈의 차세대 전기차 자동결제 시스템 ‘플러그 앤 차지 (Plug and Charge)’ 솔루션에 자사의 자동차보안 토탈 솔루션 ‘아우토크립트 (AutoCrypt)’를 적용하게 되었다.

 

‘플러그 앤 차지’는 전기차 충전 시 사용자 인증 및 결제가 자동으로 이루어지는 간편한 과금 방식을 적용한 새로운 충전 기술이다. 카드를 이용하는 기존 방식에 비해 높은 편의성을 제공하지만, 차량과 충전기 간 정보 교환이 일어남에 따라 고도의 보안성이 필요하다. 양사는 이번 협업을 통해 ISO/IEC 15118 등 전기차 충전 시스템의 보안 요구사항을 만족하는 인증 및 검증 시스템을 구축함으로써 편리하고 안전한 충전 및 결제 솔루션을 전기차 인프라 시장에 선보일 계획이다.

 

‘아우토크립트’는 차량 외부에서 내부로 침입하는 공격 트래픽을 탐지하는 차량용 방화벽 ‘AutoCrypt AFW’, 차량과 외부 인프라의 안전한 통신을 보장하는 ‘AutoCrypt V2X’, 차량용 PKI 인증 시스템 ‘AutoCrypt PKI’, 차량 내부용 키 관리 시스템 ‘AutoCrypt KMS’ 등 자동차보안에 필수적인 모든 기능을 제공하는 토탈 솔루션이다. 펜타시큐리티는 ‘아우토크립트’를 통해 지난 2016년부터 연속해 ‘차세대 지능형 교통시스템 시범사업용 인증시스템 구축 및 시범운용’ 주관사업자에 선정되는 등 지속적으로 국가적 교통 인프라 사업에 참여해 오고 있다.

 

양사는 전기차 충전 및 결제뿐 아니라 향후 에너지 저장 솔루션, 에너지 효율화, 태양광 솔루션 등 그리드위즈의 스마트에너지 사업 분야에 펜타시큐리티의 아우토크립트 및 IoT 보안 솔루션을 확대 적용하기로 합의했다. 이로써 에너지 사업 분야의 고객 데이터를 보다 안전하게 보호하며 빅데이터에 기반한 산업 활성화에 크게 기여할 것으로 전망된다.

 

펜타시큐리티 IoT융합보안연구소장 심상규 공학박사는 “전기차 충전은 배터리에 전하를 채우는 단순한 일이 아니다. 전기 전달 뿐 아니라 데이터 송수신도 함께 이루어진다. 스마트폰을 컴퓨터에 연결하면 충전과 데이터 동기화가 함께 이루어지는 것과 같다”고 전제하고, “전기차 충전은 통신이고 안전한 통신을 위해 인증, 암호화, 전자서명 등 모든 보안 기술이 전면적으로 적용되어야 한다. 이번 그리드위즈와의 협력을 통해 편리하고 안전한 전기차 인프라 구축에 이바지하겠다”고 선언했다.

IBRC

펜타시큐리티, 인터블록체인 연구센터 IBRC 참여

펜타시큐리티, 인터블록체인 연구센터 IBRC 참여

 

IoT∙클라우드∙블록체인 보안전문기업 ‘펜타시큐리티시스템’이 정부지원 산학협력 컨소시엄 ‘인터블록체인 연구센터 IBRC(InterBlockchain Research Center)’ 설립에 참여한다.

 

IBRC

< IBRC 프로젝트 구성도>

 

‘인터블록체인 연구센터 IBRC’는 인터블록체인을 이용한 차세대 블록체인 기술 국제적 선도기관을 지향하며 국내 지자체, 대학교, 기업이 연합해 설립한 융합 컨소시엄이다. 본 IBRC 사업에는 펜타시큐리티 외에도 국내 기업이 개발한 암호화폐 중 세계 시장에서 가장 높은 가치를 인정받고 있는 ‘아이콘(ICX)’를 만든 ‘노매드커넥션’, ‘더루프’ 등 블록체인 업계에서 역량을 인정받은 기업이 참여한다.

 

‘IBRC’의 사업은 크로스 도메인 호환성을 위한 블록체인 플랫폼 및 비즈니스 모델 개발을 목표로 하며, 이를 위해 제1 프로젝트: 블록체인 플랫폼 상호 연동 기술 개발, 제2 프로젝트: 상호 운용 가능한 자동차 데이터 블록체인 연구, 제3 프로젝트: 블록체인 의료 정보 플랫폼 연구, 제4 프로젝트: 서비스 시나리오 기반의 블록체인 네트워크를 활용한 인슈어테크 등 총 4가지 프로젝트를 진행한다. 이중 펜타시큐리티는 제2 프로젝트를 담당한다.

 

IBRC 사업 중 자동차 데이터 블록체인 연구를 담당한 펜타시큐리티는 지난 2007년부터 자동차 데이터 보안 사업을 시작해 그 기술과 노하우를 바탕으로 지난 2015년 자동차부터 인프라까지 이르는 자동차 및 교통 환경 전체를 아우르는 자동차보안 토탈 솔루션 ‘AutoCrypt(아우토크립트)’를 출시했다. 그리고 2016년부터 지금까지 국토부 주도 전국 C-ITS(협력형 지능교통체계) 사업과 C-ARS, K-City 등 교통 관련 정부사업에 참여하고 있다.

 

펜타시큐리티가 IBRC 사업 주체가 된 이유는 자동차 데이터 기술 전문성뿐 아니라 블록체인 기술 전문성을 인정받았기 때문이다. 펜타시큐리티는 국내 첫 이오스 기축 거래소 ‘Daybit’에 암호화폐 거래소 보안 솔루션 ‘CryptoXchange(크립토익스체인지)’를 공급하는 등 블록체인 보안 사업뿐 아니라 직접 블록체인 사업에 뛰어들어 암호화폐 지갑 ‘Pallet(펠렛)’을 출시하고, 블록체인 사업 국제화를 위해 싱가폴에 자회사 ‘AMO Labs’를 설립해 자동차 데이터 블록체인 ‘AMO(아모)’ 사업을 시작했다. 펜타시큐리티는 최근 국제적 복합-전략형 크립토커런시 펀드 기업 ‘Coefficient Ventures’, 국내 최초 블록체인 컴퍼니 빌더 ‘Chain Partners’ 등 기업과 파트너십을 맺는 등 블록체인 사업에 박차를 가하고 있다.

 

펜타시큐리티에서 자동차 데이터 사업을 맡고 있는 심상규 공학박사는 “펜타시큐리티는 현재 자동차보안 ‘AutoCrypt’, 사물인터넷보안 ‘AuthentiCA’, 암호화폐지갑 ‘Pallet’ 등 기존 제품과 기술을 융합한 자동차 데이터 블록체인 ‘AMO’ 사업을 추진 중이다. 이에 IBRC 컨소시엄을 통해 포항공과대학 등 한국 최고의 연구진과 자동차 블록체인 기술 분석, 블록 및 트랜잭션 설계, 블록체인 상호운용성 및 확장성 연구 등을 함께 진행할 수 있게 된 것은 우리에게 너무나 큰 기회다” 라고 말했다

 

pallet

펜타시큐리티, 암호화폐 지갑 ‘Pallet’ 출시

펜타시큐리티, 암호화폐 지갑 ‘Pallet’ 출시

 

IoT∙클라우드∙블록체인 보안전문기업 ‘펜타시큐리티시스템’이 지난 28일 모바일 암호화폐 지갑 ‘Pallet’ 안드로이드 버전을 출시했다고 밝혔다.

 

pallet

<암호화폐 지갑 ‘Pallet’ 안드로이드 버전>

 

‘Pallet’ 안드로이드 버전은 초보자도 쉽게 사용 가능하도록 단순하고 간결한 기능 구성에 초점을 맞춰 개발된 모바일 어플리케이션 타입 암호화폐 지갑이다. 회원 가입 등 번거로운 절차 없이 간편하게 자기 지갑을 생성할 수 있으며 사용자가 직접 암호화폐를 관리할 수 있다. 다중 지갑 기능 및 MyEtherWallet 등 외부 지갑 불러오기가 가능해 기존에 다른 지갑을 사용하던 사용자도 여러 지갑을 한데 모아 간편하게 통합 관리할 수 있다.

 

정보보안 전문기업 펜타시큐리티가 지난 20여 년 동안 쌓아 온 기술력을 적용한 ‘Pallet’은 경쟁사 대비 높은 보안성을 제공한다. 통신 전 채널을 암호화해 해킹 위험성을 최소로 낮추고, TEE(Trusted Execution Environment, 신뢰실행환경) 영역을 활용해 키 관리 안전성을 높이고, 생체인증 등 기능으로 보안성과 편의성을 높였다. ‘Pallet’은 블루투스, NFC 등 통신 채널을 통해 여타 하드웨어와 연동 가능하다.

 

‘Pallet’은 비트코인과 이더리움 그리고 펜타시큐리티 자회사 ‘AMO Labs’의 AMO(아모) 암호화폐를 지원하며, 향후 안전성이 충분히 검증된 플랫폼의 코인과 토큰들을 추가로 지원할 예정이다. ‘Pallet’ iOS 버전이 곧 출시되고 오는 8월에 카드 및 디바이스 등 하드웨어 지갑이 추가로 출시될 예정이라 활용 범위가 보다 높아질 것으로 기대된다.  ‘Pallet’ 안드로이드 버전은 구글 플레이 스토어에서 ‘Pallet Mobile’을 검색하면 찾아볼 수 있다.

 

심상규 펜타시큐리티 IoT융합보안연구소장은 “암호화폐의 급속한 대중화에 따라 암호화폐 환경에도 금융보안 수준의 높은 보안성이 절실함에도 현재 암호화폐 환경은 충분한 보안 기능을 갖추고 있지 않다. 펜타시큐리티의 보안 기술을 ‘Pallet’에 모두 담았다. ‘Pallet’은 암호화폐 거래소 보안 토탈 솔루션 ‘CryptoXchange’와 연동함으로써 암호화폐 환경 전체에 걸쳐 처음부터 끝까지 빈틈없이 완전한 E2E 보안을 이룬다”라고 말했다.

2017-06-14-1497416430-1422267-50_00-thumb

자동차회사=소프트웨어회사?

 

2017-06-14-1497416430-1422267-50_00-thumb
자동차회사 기술자들과 자동차보안 관련 회의를 할 때, 예전에 비해 분위기가 많이 달라졌음을 느낀다. 중공업 특유의 하드함이 접근을 거부하는 높은 벽 같아 왠지 답답했는데, 요즘은 많이 소프트해진 느낌이다. “자동차회사는 소프트웨어 개발사” 선언 전후로 확실히 달라진 것 같으니, 말이라는 것이 사람의 마음에 미치는 영향은 정말 크구나, 새삼 놀란다. 그리고 오늘날 자동차의 기술적 성질을 볼 때 이는 매우 긍정적인 변화라 생각된다.

그런데 대화가 원론적 수준에서 실무적 수준으로 넘어갈 때쯤, 확실한 변화에 도달하기엔 아직은 갈 길이 좀 멀구나 싶은 생각도 든다. 머리로는 ‘그래, 소프트웨어야’ 라고 생각을 고쳤다 하더라도 몸에 달라붙은 버릇을 바꾸기는 여간 쉬운 일이 아닌가 보다. 여전히 자동차산업은 소프트웨어가 아니라 하드웨어 조립산업으로 인식된다. 그러니 어떤 문제에 대해서든 조립의 단위인 부품 위주로 사고하려는 버릇이 남아 있다. 자동차보안 문제 또한 어떤 부품의 어떤 기능 정도로 생각하는 경향이 있다. 소프트웨어적으로 볼 때 이는 상당히 잘못된 인식이다. 이에, 현장에서 자주 듣는 질문에 답함으로써 ‘자동차=소프트웨어’ 등식을 다시 한 번 생각해 보자.

 

“자동차 부품에 어떤 보안 기능을 탑재해야 하나?”

원론적으로 말하자면, 보안이란 ‘기능’이 아니다. 소프트웨어 세계에서는 보안을 필요에 따라 추가하는 부가적 기능으로 보지 않는다. 언제나 보안을 고려해 시스템을 ‘설계’해야 한다. 보안을 무시하는 개발자는 결국 큰 문제를 일으키고 만다. 결정적으로, 보안과 관련된 기능이 있다고 해서 그 소프트웨어가 저절로 안전해지는 것도 아니다. 총체적으로 안전한 시스템을 설계하는 것이 보안적으로 가장 중요한 일이다.

실무적으로 보더라도, 보안 기능이 필요한 부품이 있고 아닌 부품이 있다. 크게 자동차 ‘내부(Internal)’ 통신 영역과 ‘외부(External)’ 통신 영역으로 나눠 보자면, 내부통신 영역에 해당하는 부품들은 대체로 특별한 보안 기능을 따로 추가할 필요가 없다. 주로 CAN(Controller Area Network)으로 통신하며 자동차 주행에 관련된 각종 장치들을 제어하는 내부 ECU(Electronic Control Unit)들이 여기에 해당한다. 그것들은 보안 기능 추가가 아니라 외부의 위험으로부터의 ‘격리’가 필요한 것들이다. 보안 기능은 CCU(Communication Control Unit)를 통해 자동차 외부와 통신하는 영역에 탑재하고 철저하게 관리하는 것이 일반적으로 적절한 설계다. 외부통신과 직접 관계되는 텔레매틱스(Telematics)나 인포테인먼트(Infotainment) 등이 여기에 해당한다.

특히 ECU 중 구동장치나 제동장치 등 자동차의 주행과 직접 관계되는 부품들은 애초에 주어진 바 각각의 목적에만 충실한 단순 사칙연산만을 수행하는 것이 소프트웨어적으로 오히려 안전하다. 단순해야 할 것은 단순해야 한다는 뜻이다. 안전하게 설계된 시스템이라면, 미국의 자동차 보안 및 사생활 보호 ‘SPY CAR(The Security and Privacy in Your Car)’ 법안에서도 언급하듯 보안이 꼭 필요한 영역과 보안이 불필요한 영역을 안전하게 ‘분리’한 시스템이라면 MCU 등의 부품에는 암호화나 키 관리 등 보안 기능을 따로 탑재할 필요가 없다. 오히려 괜한 복잡성 때문에 예기치 못한 오작동 등 위험성만 높아질 뿐이다.

 

“커넥티드 카 때문에 모든 부품에 보안 기능을 탑재해야 한다던데?”

아니, 오히려 안전을 위해서라도 피해야 할 일이다. ‘커넥티드 카’란 무선통신을 통해 내비게이션, 원격제어, 인포테인먼트, 자율주행 등의 서비스로써 자동차를 단순한 운송수단을 넘어 정보통신기기로 변화하게 만드는 기술을 통칭하는 개념이다. 앞서 말했듯 대체로 자동차 외부통신에 관계된 문제다. 내부통신 영역과 분리해 생각해야 한다.

간단히 말하자면, 커넥티드 카 보안이란 자동차 내부의 ECU 간의 통신을 외부통신으로부터 격리함으로써 안전하게 지키는 일이다. 즉, 자동차 외부에서 내부 장치를 임의로 조작할 수 없어야 한다는 뜻이다. 그렇기 때문에 커넥티드 카 때문에 “모든” 부품에 보안 기능이 탑재되어야 한다는 말은 별 의미가 없는 말이다. 정확히 분석된 보안적 필요에 따라 꼭 필요한 보안 기능을 꼭 필요한 적재적소에 적절하게 적용하는 일, 즉 안전한 시스템 설계야말로 자동차의 소프트웨어적 무결성을 이루는 올바른 방법이다.

“그렇다면 왜들 그리 보안부품을 사야 한다고 말하는가?”

일단은 자동차보안 기술 전반에 대한 이해 부족 때문이라고 생각되고, 부품기업들의 사업 전략적 필요 또한 의심해 볼 수 있겠다. 전장(電裝, E/E, Electrical/Electronic Components) 산업이 자동차 산업의 미래라는 말은 조금도 과장이 아니다. 자동차 제조원가에서 전장부품이 차지하는 비율은 현재 35% 정도에서 곧 50%를 넘으리라 예상된다. 그러니 이를 두고 전 세계적으로 경쟁이 아주 치열하다. 해당 시장의 기존 강자들뿐 아니라 후발주자인 세계적 전자기업들이 막강한 자본력을 무기 삼아 점점 더 커지는 전장 시장을 노리고 덤벼든다. 이를테면 한국의 ‘삼성전자’가 미국의 오디오 전문기업 ‘하만(Harman)’을 80억 달러에 인수한 것도 전장 사업의 미래 가치 때문이다. 그러니 자동차회사 입장에서도 그런 부품회사들에게 사업적으로 종속되지 않기 위해서라도 전장부품을 직접 생산하는 계획을 세울 수밖에 없는 처지다. 그렇기 때문에 기존 제품들과 다른 기술적 특수성이 과장되는 것일 뿐, 그 특수성이 실제로 필요한 것인지와는 전혀 무관한 이야기다. 자동차보안 기술적으로 보더라도, 불필요한 연산을 괜히 낭비할 뿐이다.

 

“커넥티드 카 시대를 대비해 자동차회사는 어떤 일을 해야 하나?”

무조건 보안이다. 즉, 안전한 시스템의 설계다. 10년 뒤 가장 중요한 IT 기술은 자동차보안일 거라 전망한다. 소셜 네트워크, 클라우드 컴퓨팅, 빅 데이터, IoT 등 온갖 요란한 기술들보다 자동차보안이 훨씬 더 중요하다. 다른 것들에 비해 자동차보안은 사람의 목숨이 걸려 있는 일이기 때문이다. 천 번 만 번 잘했다더라도 혹시 단 한 번 잘못하면 기업의 존망까지 위태로워질 수 있다. 커넥티드 카는 하드웨어적으로 그리고 소프트웨어적으로 일단 안전해야 한다. 편의성 등 여타 성질들은 모두 다 안전성 한참 뒤에 놓인다.

그리고, 소프트웨어적 무결성에 도전해야 한다. 과거 자동차는 ‘기계장치’였지만 미래 자동차는 ‘전자장치’다. 지금도 차량 1대에 100개 정도의 ECU와 1억 줄 정도의 코드가 탑재된다. 고가의 차량일수록 탑재된 전장부품의 수가 많고 더 많은 코드를 넣었다고 자랑 아닌 자랑을 하기도 한다. 하지만 통계적으로만 보자면 상업용 소프트웨어는 일반적으로 코드 1,000줄에 7개의 버그를 가지고 있다. 그렇게 보자면 자동차에는 10만 개의 버그가 있다고 가정할 수 있다. 지금도 끊임없이 발생하는 원인을 알 수 없는 온갖 사고들이 이와 무관하지 않을 것이다. 그러니 소프트웨어 개발사가 그러하듯, 소프트웨어로서의 퀄리티 관리와 프로그램의 동작에는 변화 없이 프로그램 내부의 구조를 개선하는 리팩토링 등 사후 확인 작업을 통해 소프트웨어적 최적화에 집중할 것을 권한다. 그런 일들을 제대로 해내기만 해도 현재 원인 불명의 문제들이 대폭 해소되리라 예상한다.

그리고 거듭 강조하는 바, 기존의 하드웨어 조립산업의 패러다임으로부터 벗어나야 한다. 자동차회사는 소프트웨어 개발사로서 자동차를 ‘안전한 시스템’으로 ‘설계’하는 일에 집중해야 한다. 그 일은 부품회사 등 다른 누군가가 대신 해 줄 수 없는 일이다. 지금껏 자동차는 비싼 부품과 싼 부품으로 완제품의 가격을 조절했다. 그래서 값이 10배 이상 차이 나는 제품군이 성립 가능했다. 10배 비싸지만 10배 더 좋은 오디오는 가능하다. 하지만 10배 안전한 보안은 가능한가? 가장 비싼 차보다 10배 싸다고 해서 10배 불안한 자동차를 팔 것인가? 안전 때문에라도 자동차보안 문제는 부품 기준 사고방식으로 풀 수 있는 문제가 아니다. 부품과 무관하게 안전한 소프트웨어 시스템을 설계하고 이를 싼 차와 비싼 차에 모두 적용해야 할 일이다.

“자동차회사는 소프트웨어 개발사”, 정말 그렇게 되기를 기대하고 응원한다.

profile

[펜타 뉴스레터 1월호] 2018년, 펜타가 고른 보안 키워드는?

일본 오토모티브월드

펜타시큐리티, “현지화·제품 다각화로 일본 잡는다”

 

펜타시큐리티, “현지화·제품 다각화로 일본 잡는다

 

펜타시큐리티시스템이 국내에서 인정받은 보안 솔루션 기술력을 바탕으로 글로벌 완성차 기업이 대거 포진된 일본 자동차 시장에 출사표를 내고 커넥티드 카 시장 공략에 나선다. 솔루션 포트폴리오의 다양화, 로컬 기업 간 협업을 바탕으로 관련 시장 선점에 나선다는 계획이다.

17일 도쿄국제전시장에서 개최된 국제 전장시스템 전시회인 ‘오토모티브월드 2018 (AUTOMOTIVE WORLD 2018)’에 참가한 펜타시큐리티는 6개로 구성된 세부 전시회 중 하나인 커넥티드카 부문에 부스를 마련하고 통합 인증·보안 솔루션 ‘아우토크립트(AutoCrypt’를 필두로 본격적인 로컬 시장공략에 나섰다.

2017년 전시회 참가를 시작으로, 올해 두 번째 동일 전시회에 참가하면서 차량 간, 차량 대 인프라 간 보안 기술의 중요성과 브랜드 홍보에 나섰던 전년과 달리 올해에는 국내 시장에서 쌓아온 다양한 실증사례를 공개하고 관련 솔루션이 실제 어떻게 적용되는지 데모 시연을 통한 솔루션 홍보활동에 적극적인 행보에 나선다는 전략이다.

 

펜타시큐리티 부스 현장 모습

 

단순 이동의 1차원적인 자동차는 현재 최신 IT 기술과 융합하면서 텔레매틱스/인포테인먼트 기능, 자율주행과 같은 고도화된 스마트 디바이스로 진화하면서 원격 해킹 및 보안 키 탈취와 같은 보안 이슈도 주요 관심사로 떠올랐다. 기술 발전과 함께 외부에서의 원격 조작, 정보 유출과 같은 위험성 또한 높아지면서 보안 솔루션의 중요성도 부각되고 있다.

2016년 출시된 커넥티드카 보안 솔루션 ‘아우토크립트’는 외부에서의 공격 트래픽을 탐지하는 차량용 방화벽과 차량 대 인프라 간 통신을 완벽히 보호하는 V2x, 차량 PKI 인증 시스템과 내부 키 관리 시스템 등 커넥티드카 구현에 있어 차량과 인프라 부문에서 요구되는 모든 니즈를 충족하는 올인원 솔루션이다.

특히 생명과 연결되는 전장시스템에 있어 안정성은 무엇보다 중요하기에 빠르고 안전하며 패킷 손실없이 실시간으로 인증이 가능한 점, 특별한 암호화 기술과 혹여 외부에서의 해킹 공격에서도 완벽히 대응 가능한 점은 회사 측이 내세우는 기술적 강점으로 다수의 완성차·전장부품 기업이 포진된 일본에서의 입지를 강화한다는 계획이다.

회사 측은 일본에 다수의 글로벌 완성차 기업이 자리하고 있는 점, 2020년 도쿄올림픽을 기점으로 전기차(EV), 레벨2 기술 수준의 자율주행차 개발을 주도적으로 추진하고 있어 로컬 기업과의 협업에도 유리할 것으로 판단하고 있다.

이를 위해 일본 전장반도체 강자인 르네사스(RENESAS)가 주도하는 R-Car 컨소시엄에도 참여하며 관련 기업과 기술적 교류를 이어가는 한편 로컬 이슈를 반영, 세분화된 제품 포트폴리오를 통한 현지화 전략도 이어갈 계획이다.

 

도쿄 국제전시장 동(東)관 입구에 걸려있는 펜타시큐리티 홍보 문구. (내용은 “자동차 보안은 펜타시큐리티”)

아래는 김덕수 펜타시큐리티시스템 기획실장(전무)와의 일문일답

Q. 올해 2회째 전시회 출전이다. 목표는?
A. 브랜드 마케팅에 치중했던 전년과 달리 올해엔 그간 국내에서 쌓아왔던 실증사례를 구체적으로 설명할 계획이다. 눈에 보이지 않는 소프트웨어, 특히 보안 분야는 비가시적 분야이기 때문에 가급적 구체적인 사례를 바탕으로 솔루션 소개에 주력하며 부스에서도 실제 데모를 선보일 계획이다.
 
Q. IoT 인증 발급 솔루션 ‘어센티카(AuthentiCA)’도 올해 출품했다.
A. 아우토크립트 포트폴리오 솔루션 중 하나인 공개 키 기반의 인증서 발급 인프라 솔루션이다. 일본 시장 특성 상 맞춤화된 솔루션 니즈가 있다.

아우토크립트가 통합 솔루션으로 커넥티드카 구현에 필요한 모든 보안 솔루션을 제공할 수 있으나, 어떤 기능이 필요하지 않는 기업도 존재한다. 제품 포트폴리오의 다각화라고 할 수도 있겠다.

클라우드 기반 서비스로 사용자 시스템이나 네트워크를 변경하지 않고도 유연하게 적용할 수 있다. 특히 차량용 보안 시스템에 국한되지 않고 무수히 많은 센서(노드)에서 수집되는 정보를 검증해야 하는 산업용 IoT(IIoT) 플랫폼에도 적용할 수 있어 시장 가능성도 무궁무진하다.
 
Q. 일본이 지리적으로는 유리하지만 쉽게 접근하기 어려운 시장이다. 대안은 있는가?
A. 맞다. 보수적이고 쉽게 움직이지 않는다. 다양한 레퍼런스를 원한다. 눈에 보이지 않는 소프트웨어, 특히나 보안의 경우 더욱 그렇지 않은가.. 올해의 경우 국내에서 쌓아온 다양한 실증사례를 바탕으로 적극 홍보에 나설 계획이다. 행사장 중간에 마련된 세미나룸에서는 기술 강연도 진행할 예정이다.

일본 기업들과도 다각적인 채널을 통해 접촉하고 있다. 일본 산업계의 문화를 이해하면서 포트폴리오도 세분화할 계획이다. 아직 가시적인 거리에 있진 않으나, 관련 시장은 커질 것이라고 생각한다.

이를 대비해 일본 기업들과 주기적으로 미팅을 갖고 현지 니즈를 정확히 파악하면서 시장 분석에 나설 계획이다. 아직 시장 진출 초기단계이지만 기회는 올 것으로 본다. 시장이 열린다면, 기회가 온다면 기술력으로 승부해도 승산이 있다고 생각한다.

 

[기사 원문 보기 – IT Biz News http://www.itbiznews.com/news/articleView.html?idxno=8029]