일본산업뉴스요약

Nikkei X-TECH_2021.4.16

자동차 사이버 공격, 디지털 트윈으로 지킨다
이스라엘의 신흥 기업 사이벨럼

자동차 사이버 보안 대책이 2022년부터 의무화됨에 따라 차량용 소프트웨어의 취약성을 평가 및 관리하는 기술에 대한 관심이 높아지고 있다. 이스라엘의 신흥기업 사이벨럼(Cybellum)은 사이버 디지털 트윈(Digital Twin)이라고 하는 독자적인 기술을 무기로 닛산자동차, 르노∙닛산∙미쓰비시 얼라이언스, 독일 아우디 등 자동차 대기업들과의 제휴를 가속화하고 있다.

사이벨럼의 툴은 차량용 소프트웨어의 바이너리코드(Binarycode)를 분석해 사이버 보안 상의 취약성을 찾아낸다. 이 툴이 가진 가장 큰 특징은 바이너리코드를 분석할 때 보안에 관련된 정보를 추출하고, 이후에도 추출한 정보를 이용해 취약성을 지속적으로 관리한다는 점이다. 사이벨럼은 이 기술을 ‘사이버 디지털 트윈’이라고 부른다.

구체적으로는 SBOM(Software Bill of Material, 소프트웨어의 구성 요소 목록), 라이선스, 하드웨어 아키텍처, 운영체제(OS) 구조, 암호화 메커니즘, 제어 플로우, API(Application Programming Interface) 호출 등의 정보를 추출한다. “바이너리코드 자체를 보관하는 경우에 비해 서버 상의 스토리지 용량을 극적으로 줄일 수 있다”(사이벨럼 일본법인의 오쿠다(奧田) 제너럴 매니저)라고 한다. 또한 취약성 체크를 통해 누락이 발생하는 일도 없다고 한다.

사이벨럼은 이 사이버 디지털 트윈과 일반에 공개된 취약성의 데이터베이스 등을 조합해 차량용 소프트웨어의 보안 건전성을 지속적으로 체크. 이 때 비공개 정보도 함께 활용한다고 한다. 예를 들면, “다크웹(Dark Web)이라고 불리는 암거래 사이트에서 화제가 되고 있는 취약성은 위험성이 높다고 판단한다”(오쿠다 제너럴 매니저). 사이벨럼은 CEO와 CTO 모두 이스라엘군의 보안 부문 출신으로 취약성을 파악하는 노하우에 강점을 갖고 있다.

-- 자동차 특유의 소프트웨어 형식에 대응 --
소프트웨어의 취약성을 체크하는 툴은 대부분 IT용으로, “자동차 전용으로는 사용하기 어렵다”(오쿠다 제너럴 매니저)라고 한다. 자동차회사나 1차 부품업체(티어 1)가 자체적으로 개발한 소프트웨어의 경우에는 설계도인 소스 코드를 분석하는 IT용 툴을 사용할 수 있다. 하지만 대부분의 차량용 소프트웨어는 부품업체나 하청 기업들이 개발하고 있어, 자동차회사나 티어 1은 소스코드를 보유하고 있지 않는 경우가 많다.

그럼에도 불구하고 보안 상의 취약성은 자동차회사나 티어 1이 파악 및 관리할 필요가 있다. 이를 위해 자동차회사나 티어 1은 소스코드가 아니라 각각의 부품에 내장된 바이너리코드를 분석한다. 바이너리코드를 분석할 수 있는 IT 전용 툴도 존재하지만 “차량용 마이크로컴퓨터 등을 통해 움직이는 자동차 특유의 ‘결합된 소프트웨어 형식’에는 대응하고 있지 않는 것들이 많다”(오쿠다 제너럴 매니저)라고 한다. 사이벨럼의 툴은 다양한 형식의 결합된 소프트웨어에서도 바이너리코드 분석이 가능하다.

이러한 툴을 사용하지 않을 경우, 자동차 제조사나 티어 1은 공급망 내 소프트웨어 개발처에 연락을 해, 데이터베이스에서 공개된 취약성이 차량에 어떤 영향을 미치는지 조사해야 한다. “개발처로부터 결과가 올 때까지 수 일이 걸리는 경우도 많다”(오쿠다 제너럴 매니저). 취약성에 대한 데이터베이스는 매 순간 갱신되기 때문에 인력으로는 따라잡을 수 없다. 이로 인해 보안 대책에서 뒤쳐진다면 자동차회사의 브랜드에 큰 타격을 입게 된다.

2022년부터 시작되는 자동차의 사이버 보안 대책 의무화에서도 차량 개발 단계에서의 대책에 이어 출하에서 폐차에 이르는 차량의 라이프 사이클 전체에서의 취약성 체크도 요구되고 있어, 툴의 활용은 반드시 필요하다. 자동차 대기업들 중에는 차량의 보안을 상시 감시하는 VSOC(Vehicle Security Operation Center)를 설치하려는 움직임도 있지만, VSOC의 성능 및 비용 개선을 위한 열쇠도 툴에 있다.

사이벨럼의 툴은 이미 유럽과 북미, 일본의 자동차회사, 티어1 등이 라이선스를 구입한 것으로 알려졌다. 중국 및 한국에서의 채택 사례도 많다고 한다. 라이선스에는 몇 가지 등급이 있다. 저렴한 것은 일반에 공개된 취약성 데이터베이스를 참조하는데 반해, 상위 등급은 미지의 취약성을 검출하는 기능과 보안 설정 미비를 파악하는 기능, 보안에 관한 베스트 방안을 체크하는 기능 등을 갖추고 있다. 가격은 개별 견적이다.

-- 르노-닛산-미쓰비시 얼라이언스와 차세대 기술 공동개발 --
사이벨럼은 닛산, 르노∙닛산∙미쓰비시 얼라이언스, 아우디 등과 기술 협력 관계를 구축하고 있다. 예를 들어 2020년 7월에는 이스라엘에 있는 르노∙닛산∙미쓰비시 얼라이언스의 연구시설에서 차세대 보안관리 기술을 공동으로 개발한다고 발표했다. 이 성과는 아직 제품에 반영되지 않았다고 한다.

사이벨럼의 툴은 차량용 소프트웨어의 각종 개발 툴과도 연계가 가능하다. 올 1월, 사이벨럼은 미국 PTC 툴과의 접속을 발표. “이 이외에도 다양한 툴과 접속할 수 있다”(오쿠다 제너럴 매니저)라고 한다. 소스 코드를 통해 자동적으로 바이너리코드를 생성하는 CI/CD(지속적 통합/지속적 제공) 툴이나 바이너리코드를 클라우드 상에 보관하는 저장소(Repository) 관리 툴 등과 결합시키면 바이너리코드와 동시에 사이버 디지털 트윈을 자동적으로 생성, 축적할 수 있다.

2019년 1월, 사이벨럼은 미국 HARMAN International과 OTA(Over The Air) 분야에서의 제휴를 발표했다. HARMAN International은 차량용 임베디드(Embedded) 소프트웨어와 백엔드(Back-end) 서버 소프트웨어로 구성된 OTA 제품에서 강점을 가지고 있다. 이 제품에서 OTA용 바이너리코드가 생성되면 사이벨럼의 툴을 통해 취약성을 자동으로 체크한다.

3월, 사이벨럼은 일본 오피스를 개설했다. “일본에서는 파트너 기업과의 제휴에 주력하고 있으며, 포괄적인 보안 솔루션을 제공하고 싶다”(오쿠다 제너럴 매니저)라고 한다. 이미 딜로이트 토마쓰 그룹과의 협업을 발표. 앞으로는 IT벤더, 소프트웨어 회사 등과의 연대를 추진할 방침이다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.