자동차 보안에서의 기업 시스템과 임베디드 시스템 통합

최근 몇 년간 자동차 산업은 특히 기업 시스템과 임베디드 시스템의 통합을 통해 상호 연결된 시스템으로의 상당한 전환을 경험해 왔다. 이러한 통합은 공격 표면을 확대시켜 보안 전문가들이 취약점을 해결하기 위해 협력하는 것이 매우 중요해졌다.

웹 애플리케이션 및 클라우드 구성 요소와 같은 엔터프라이즈 시스템이 차량 내에서 무선 업데이트 및 원격 측정 데이터 등 다양한 기능을 위해 점점 더 많이 사용되고 있습니다. 이로 인해 보안이 최우선 과제로 부상하며, 취약점을 식별하고 시스템의 안전성을 보장하기 위한 테스트가 필요합니다. 바로 여기에 이타스가 등장합니다.

2025년 2월 방송된"미래 자동차 소프트웨어의 역량 강화" 팟캐스트 에피소드에서는 기업용 침투 테스트를 주제로 이타스의 제인 펠레티에와 마이클 샤를이 전문성을 공유했습니다. 전체 에피소드는 여기에서 또는 팟캐스트를 청취하는 모든 플랫폼(예: Spotify, Apple Podcasts, Amazon Music, iHeart Radio 등)에서 들으실 수 있습니다. 제인과 마이클이 다룬 주요 주제는 다음과 같습니다.

온보드 시스템 대 오프보드 시스템: 두 사람은 차량 내부에 물리적으로 설치된 온보드 시스템과 백엔드 시스템인 오프보드 시스템의 차이점, 차량 내에서의 상호 연결성 및 상호 영향력에 대해 논의하며, 차량 보안을 위해 양쪽 모두에 대한 철저한 테스트가 필요함을 강조한다.

클라우드화: 자동차 업계에서 클라우드 기반 백엔드 시스템으로의 전환이 가속화되고 있으며, 차량은 업데이트 및 데이터 모니터링을 위해 클라우드 시스템에 연결됩니다. 다양한 차량 서비스의 호스트 역할을 하는 클라우드에 접근할 수 있다면 해당 서비스와 기능을 이용할 수 있으므로, 강력한 보안 조치의 필요성이 증가하고 있습니다.

중대한 취약점: 샘 커리의 기사를 인용하며, 제인과 마이클은 여러 자동차 제조업체 시스템의 중대한 취약점을 지적합니다. 이러한 취약점은 자동차 산업에서 기업 보안의 필요성을 보여줍니다. 한 대의 차량이 해킹당하면 전체 차량 군이 위험에 빠질 수 있기 때문입니다.

시뮬레이션: 레드팀 훈련은 Same Curry의 글에서 언급된 것과 유사한 실제 공격 시나리오를 모의 실험하고 보안 조치를 개선하는 데 도움이 됩니다. 여기서 핵심은 단순히 차량 시스템을 테스트하는 것이 아니라 클라우드 기반 인프라를 개별적으로 그리고 통합적으로 테스트한다는 점을 이해하는 것입니다. 레드팀 훈련에 대한 자세한 내용은 이 에피소드를 참고하세요.

사일로 해체: 제인과 마이클은 앞으로 많은 개선이 필요하다는 점에 동의합니다. 기업 보안 전문가와 임베디드 보안 전문가는 진화하는 보안 과제를 성공적으로 해결하기 위해 협력하고 지식을 공유해야 합니다. 서로 다른 유형의 테스터, 레드팀과 블루팀(전통적으로 대립하는 진영)을 한데 모아 종합적인 솔루션을 구축하는 것은 모두에게 이점입니다.

자동차 보안 분야에서 기업 시스템과 임베디드 시스템의 통합은 새로운 도전과 기회를 제시합니다. 보안 전문가들은 차량의 안전과 보안을 보장하기 위해 협력하고 철저한 테스트를 수행하며 최신 동향을 지속적으로 파악해야 합니다. 제인과 마이클이 지적했듯이, 어떤 자동차 제조사도 안전하지 않으며 단 한 사람도 해답을 가지고 있지 않습니다. 미래 차량의 보안을 확보하기 위해서는 소통과 전문가 집단이 함께 배우고 협력하는 과정이 필요합니다.