일본산업뉴스요약

Nikkei X-TECH_2021.8.11

자동차 시큐리티, 2022년 의무화
도요타자동차 등 21사 제휴, 자동차 취약성 정보를 싸게 구입 및 공유

도요타자동차와 닛산자동차 등의 자동차업체 14개 회사와 덴소나 파나소닉 등의 부품업체 7개 회사, 21사가 제휴해 21년 4월에 설립한 Japan Automotive ISAC(J-Auto-ISAC). 자동차의 사이버보안 정보를 업계 내에서 공유∙분석하는 ‘비경쟁 영역’의 대책을 추진한다. 21년 7월부터 본격적인 활동을 개시했다. 연간 2~3억 엔의 비용이 드는 취약성 정보를 일괄 구입해 회원 간에 공유한다. 중소 규모의 기업을 포함한 공급체인 전체의 지원 체제가 갖추어지기 시작했다.

ISAC(Information Sharing and Analysis Center)는, 소프트웨어의 취약성 및 사이버 위협에 관한 정보를 공유하고 분석하는 조직을 말한다. 97년 미국에서 탄생했다. 주요 인프라 등 18개 업계에 ISAC가 만들어졌고, 자동차 업계의 ISAC인 미국 Auto-ISAC는 15년 8월 설립되었다. “국가가 지원하는 ‘공적 지원’에는 한계가 있으므로, ‘공적 지원’이라는 틀로서 업계 별로 ISAC가 필요하게 되었다”(J-Auto-ISAC 지원센터의 나카지마(中島) 센터장).

Auto-ISAC의 초대 체어맨이 도요타 미국법인에 소속되어 있었기 때문에 일본판 Auto-ISAC를 만들 필요성이 없다는 논란도 당초에는 있었던 것으로 알려졌다. 그러나 도요타 ‘크라운’과 같은 국내 한정 자동차나, 경차 등이 사이버 공격을 받았을 경우에 시차가 있는 미국 조직에서는 민첩하게 대응하기 어렵다는 과제가 있었다. “먼저 설립된 통신업계나 금융업계의 일본판 ISAC와 정보를 제휴하기 위해서라도 일본판 Auto-ISAC가 필요했다”(나카지마 센터장).

현재 일본에는 8개의 ISAC가 있다. 02년 Telecom-ISAC(ICT-ISAC) 이후 순차적으로 발족하고 있으며, ISAC 간에 협력을 추진하고 있다. 이 밖에 일본에는 관민 연계 구조로서 'CEPTOAR(Capability for Engineering of Protection, Technical Operation, Analysis and Response)'가 있다. 다만 대상은 전기나 통신 등의 중요 인프라이며, 자동차는 포함되어 있지 않다. 또한 초동 체제인 CSIRT(Computer Security Incident Response Team) 간에 연계를 도모하는 ‘일본 CSIRT 협의회’도 있다. 이곳은 업종이나 규모를 불문하고 CSIRT를 설립하면 가입할 수 있다.

그래서 17년 1월에 일본자동차공업회 내에 워킹그룹(WG)을 만들어, 활동 기반 확립이나 정보 공유, 분석, 일본자동차부품공업회와의 제휴 등을 추진해 왔다. 21년 4월에 일반사단법인으로 독립해, 21년 7월부터 본격적인 활동을 개시했다. 7월말 시점의 회원 수는 90사에 이른다.

-- 연간 2~3억 엔의 비용이 수십만 엔으로 --
J-Auto-ISAC는 이사회나 운영위원회 산하에 ‘기술위원회’ ‘SOC(보안운영센터)’ ‘지원 센터’의 3개 조직을 두고 있다.

기술위원회는 ‘정보 공유’ ‘스킬 업’ ‘과제 추출∙해결 추진’의 3개의 WG와, 그 아래의 서브워킹그룹(SWG)으로 이루어진다. 사이버보안은 개별 회사에서 대응하기에는 너무나 테마가 크기 때문에 WG와 SWG를 통해 자원을 공유하고, 공통의 과제에 대응한다.

SOC는 보안에 관련되는 취약성 정보를 회원 사이에 공유하는 구조다. 보안 기업이 유료로 판매하는 취약성 정보는 연간 2~3억 엔의 비용이 든다고 한다. 대형 자동차업체와 부품업체는 구입할 수 있어도 중소 규모 업체가 구입하기에는 어려움이 많다. 이에 J-Auto-ISAC에서는 복수의 보안 기업으로부터 취약성 정보를 구입해 회원에게 분배한다.

J-Auto-ISAC의 연회비는 수 십만 엔부터이며, 중소 규모 기업은 대폭적인 비용 절감이 가능해진다. 간사 회원은 연간 1,000만 엔 가까운 회비를 부담하지만, 그래도 단독으로 취약성 정보를 구입하는 경우에 비하면 비용이 절감된다. 자동차의 사이버보안에서는, 공급체인 전체에서 대책을 세워야 하므로 이러한 구조가 중요해진다.

-- 사이버 대책은 ‘팀 스포츠’ --
J-Auto-ISAC 운영위원장으로 도요타자동차 제어전자플랫폼개발부의 우에하라(上原) 주임은 “사이버보안은 팀 스포츠다”라고 지적한다. “팀 내의 디펜스에 한 사람이라도 만만한 사람이 있으면, 그곳이 공격을 받으면서 시합에 지게 된다. 따라서 업계 전체의 수준 향상이 중요하다. ‘시큐리티 홀’이라는 말에서도 알 수 있듯이, 업계에서 구멍이 있어서는 안 된다”(우에하라 주임). J-Auto-ISAC에서는 업계 내의 기업들이 자금을 내서 취약성 정보를 공유한다. “대기업은 단독으로라도 취약성 정보를 구입할 수 있다. 그러나 공급체인의 어딘가에 구멍이 생기게 되면 결국은 자신들도 위험해진다”(우에하라 주임).

취약성 정보 중에서 중요도가 높은 것을 추출하는 ‘필터링’이라 부르는 작업도 J-Auto-ISAC가 대신한다. 예를 들어 스마트폰의 취약성 정보 등 자동차와 직접 관련되지 않는 것은 필터링한다. “이 작업은 힘들지만 보안의 핵심이 된다”(나카지마 센터장). 정보를 누설해서는 안 되는 한편, 그 수가 너무 많아도 효율이 떨어진다. J-Auto-ISAC에서는 필터링이 끝난 정보를 회원에게 분배하는 방법으로 업계 전체의 부담을 경감한다.

수집하는 취약성 정보는 커넥티드카의 차량(인 카)에 관한 것이 중심이다. 실제로는 생산 공장이나 판매점 등 차량 외(아웃 카)의 취약성 정보도 필요하지만 우선 중요도가 높은 인 카 영역에 집중한다. 현재도 아웃 카의 취약성 정보를 취득할 수 있는 경우에는 회원 간에 공유하는 체제가 마련되어 있다. 자율주행 차나 커넥티드카의 보급에 맞춰서 아웃 카 영역도 서서히 넓혀나갈 방침이라고 한다.

-- 미래에는 사고 정보도 공유 --
현재는 취약성 정보의 공유가 중심이 되고 있지만, 장기적으로는 자동차 제조업체가 사이버 공격을 받았을 때, 그 사고 정보를 회원 간에 공유하는 것에도 주력한다. 사이버 공격의 피해를 최소화하려면 신속한 대응이 필수적이다. 예를 들면 사고 정보를 공적 기관에 보고하고, 그 기관으로부터 정보를 얻는 구조라면 제시간에 대응하기 어렵다.

다만 현재로서는 커넥티드카가 그만큼 보급되어 있지 않기 때문에 사이버 공격에 관한 사고 정보는 그다지 많지 않다. 한편으로 보안대책의 기본 중의 기본인 취약성 정보를 파악하지 못한 기업은 매우 많다. 이 때문에 우선은 취약성 정보의 공유를 확실히 추진할 방침이다.

이미 사고 정보를 공유하는 체제는 갖추어지고 있다고 한다. “사고가 발생했을 때 어느 포맷에 무엇을 기입하고, 어디에 제출하고, 어떻게 익명화할까 등은 일본자동차공업회의 WG 때에 결정되었다”(우에하라 주임). 취약성 정보는 매일매일 나오기 때문에, 그것을 공유하는 체제가 마련되어 있으면 사고가 발생했을 때도 신속히 대응할 수 있다고 본다.

이 외에 지원 센터에서는 보안 진단이나 컨설팅, 교육∙인재 육성 등을 실시한다. 보안 진단은, 간이 진단이라면 입회 시에 무상으로 받을 수 있다. 또한 동영상 교재를 만들어, 자동차 보안 의무화에 관한 동향이나 취약성의 중요성 등을 초보적인 내용부터 알기 쉽게 설명하고 있다고 한다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.