2026 unknown 하계 세미나

자동차 보안

해피가스트 2026. 7. 8. 00:52

안녕하세요

오늘은 자동차 보안에 대해서 알아보도록 하죠

그럼 바로 가시죠....

(2026-06-30에 진행한 UNKNOWN 세미나)


자동차 보안 이해

CVE-2025-2082

  • Tesla Model 3 차량의 VCSEC 모듈에서 발견된 심각한 정수 오버플로우(Integer Overflow)
    취약점
  • 이 취약점을 이용하면 원격 코드 실행이 가능
  • 이 취약점은 VCSEC 모듈 내에서 공격자는 TPMS (Tire Pressure Monitoring System, 타이어 공기압 모니터링 시스템)에서 전송되는 인증서 응답(certificate response)을 조작하여 특정 조건에서 메모리에 쓰기(writing to memory) 전에 정수 오버플로우를 유발

  • 정수 오버플로우
    • 컴퓨터가 처리할 수 있는 정수의 최대 범위를 초과하는 값을 계산하거나 저장하려고 할때 발생하는 현상
    • 잘못된 메모리 주소 게산이나 버퍼 크기 할당 등으로 이어져 보안 취약점을 발생시킬 수 있음
  • 네트워크 인접 공격
    • 공격자가 피해 시스템과 동일한 물리적 네트워크 세그먼트에 있어야 공격이 가능함을 의미

CVE-2024-23957

  • Autel MaxiCharger AC Elite Business C50 충전소의 DLB(Dynamic Load Balancing) 프로토콜 구현 내의 특정 핸들러(DLB_HostHeartBeat)에서 발생
  • AV:A (공격 벡터: 인접): 공격자가 피해 시스템과 동일한 물리적 네트워크(예: 충전소의 Wi-Fi나 LAN 세그먼트)에 접근할 수 있어야 함
  • AC:L (공격 복잡도: 낮음): 공격에 필요한 조건이 복잡하지 않아 공격이 상대적으로 쉽게 이루어질수 있음
  • PR:N (필요 권한: 없음): 공격을 실행하는 데 사용자 인증이 필요하지 않음
  • 영향 (C:H, I:H, A:H): 성공 시 기밀성, 무결성, 가용성 모두에 심각한 영향을 미쳐 장치 탈취,
    데이터 유출, 서비스 중단 등의 결과를 초래할 수 있음

원인

  • 취약점은 AES 키를 파싱하는 과정에서 발생
  • 해당 프로세스가 사용자로부터 입력된 데이터의 길이를 고정 길이의 스택 기반 버퍼에 복사하기 전에 적절하게 검증하지 않아 생김

공격

  • 공격자는 이 결합을 악용하여 할당된 버퍼의 경계를 넘어 데이터를 덮어쓸 수 있음(버퍼 오버플로우)

결과

  • 성공적인 공격은 공격자가 장치에 임의 코드를 실행할 수 있도록 허용
  • 충전소 장치에 대한 완전한 제어권을 획득할 수 있음을 의미

CVE-2020-8539

  • 기아(Kia) Gen5 Head Unit의 Android 앱 취약점과 관련 보고됨
  • 기아차 헤드 유닛(차량 인포테인먼트 시스템)과 관련된 문제
  • 공격자가 micomd 실행 데몬을 실행하여 허가되지 않은 명령 삽입 및 기능 작동 허
    • micomd 실행 데몬 : 시스템의 특정 하드웨어, 특히 마이크로컨트롤러 관련 장치를
      백그라운드에서 관리하고 제어하는 역할을 수행하는 프로세스

공격

  • AV (Attack Vector: 공격 경로), L (Local: 로컬)
    • 공격자가 취약한 시스템과 동일한 물리적 또는 논리적 환경 내에 있어야 함
  • AC (Attack Complexity: 공격 복잡도), L (Low: 낮음)
    • 공격이 성공하기 위한 특별한 조건이 필요하지 않음
    • 공격자가 상대적으로 쉽게 취약점을 이용할 수 있음
  • PR (Privileges Required: 필요한 권한), L (Low: 낮음)
    • 공격자가 기본 사용자 수준의 권한만 가지고 있어도 됨
  • UI (User Interaction: 사용자 상호 작용), N (None: 없음)
    • 공격 성공을 위해 사용자가 아무런 행동(예: 링크 클릭, 파일 열기)을 할 필요가 없음

👉 결과적으로, 공격자가 차량의 M-CAN 버스(멀티미디어 CAN 버스)로 전송되는 CAN 프레임을 생성하는 명령을 삽입 가능

Kia 딜러/포털 및 모바일 API 취약점

Kia 딜러/포털 API 취약점 분석: 번호판 → 차량 원격 제어

기술적 원인

  • 과도한 딜러 권한
  • 권한 경계 오류
  • 취약한 식별자 사용
  • 약한 계정 생성

공격 시나리오

  • 정보 수집
  • 권한 획득
  • 차량 조회
  • 계정 탈취/추가
  • 원격 제어

-공격 체인 HTTP 요청 4단계

  1. 딜러 토큰 생성
  2. 피해자 이메일 및 전화번호 조회
  3. 기존 차량 소유자의 권한 해제
  4. 공격자를 차량의 또 다른 소유자로 추가

CVE-2022-37418

  • 키 포브
    • 자동차의 문을 원격으로 잠그거나 해제하고, 시동을 걸거나 트렁크를 열 때 사용하는 작고 휴대하기 쉬운 무선 전송 장치
    • 보통 자동차 열쇠와 함께 붙어있는 리모컨 형태
    • 운전자의 명령을 무선 주파수 신호로 변환하여 차량의 원격 키리스엔트리(RKE) 수신 장치로 전송
  • 롤링 코드
    • 키 포브가 보낸 무선 신호가 해커에게 가로채이거나 재사용되는 것을 방지하기 위해 사용하는 보안 매커니즘

👉 만약 키 포브가 항상 동일한 코드를 보낸다면 해커는 이 코드를 한 번 가로채서(스니핑) 나중에 그 코드를 차량에 재생하여 차량의 잠금을 해제할 수 있음

  • 롤링 코드의 작동 원리
    • 동기화된 카운터
    • 새로운 코드 생성
    • 일회용 코드
    • 보안 강화

차량 전기/전자 아키텍쳐

ECU(전자 제어 장치)

  • 자동차 핵심 요소로, 주로 조향, 정보 표시, 좌석 제어 등 하나 이상의 차량 기능을 수행하는 데 필요한 처리 요소와 전자 부품으로 구성
  • ECU의 전자 부품은 열, 진동, 전자기 간섭과 같은 가혹한 환경 조건을 견딜 수 있도록 설계된 밀폐된 인클로저에 보관
  • 보안 관점에서 중요 자산
    • 전원 입력
    • 네트워크 버스 라인
    • 하드와이어 센서 입력
    • 액추에이터 출력

MCU 및 SoC 소프트웨어 계층

AUTOSAR는 차량 제조업체, 공급업체, 서비스 제공업체, 그리고 자동차 전자, 반도체, 소프트웨어 산업 분야의 회사들이 참여하는 전 세계적인 개발 파트너십

  • AUTOSAR RTOS
    • 실시간 운영체제 기반
    • 메모리, 타이밍, 하드웨어 리소스 보호 → 안정성 + 보안성 강화
    • 하드웨어 추상화 계층
  • 보안에 중요한 소프트웨어 계층들
    • 통신 서비스: 잘못 설정 시 CAN 네트워크에 스푸핑 메시지 전송 가능
    • 메모리 스택: NVM 변조 위험
    • 진단 계층: 가짜 데이터 조작, 안전하지 않은 조건에서 진단 서비스 해제 위험
    • 암호화 서비스: 키 보안 파라미터 유출 또는 불법 사용 가능

AUTOSAR RTE (Runtime Environment)

  • 역할
    • 애플리케이션 SW 기본 SW 모듈을 분리하는 표준 인터페이스 계층
    • 자동차 공급업체가 RTE 인터페이스 정의를 준수한다면 애플리케이션 소프트웨어 구성 요소를 상호 교환 가능
  • 장점
    • SW 컴포넌트 교체·재사용 가능 (공급사 간 호환성 확보
  • 보안 포인트
    • RTE 설정 변조 시 → SW 컴포넌트 간 잘못된 상호작용 유발
    • ECU SW 보안에 직접적인 영향

플래시 부트로더 (Flash Bootloader)

  • AUTOSAR 표준에 포함되지 않는 부분, 하지만 ECU 관점에서 보안 핵심 영역 중 하나
  • 기능
    • 부팅 시 HW 초기화 + 파티션 검증 후 실행
    • 런타임 중 SW/캘리브레이션 이미지 업데이트 (진단 툴, OTA)
  • 보안 위협
    • 부트 단계 조작 → 변조된 SW 실행, 안전/보안 초기화 실패
    • 불법 업데이트 접근 → 악성 SW 주입 위험
    • 부트 파티션 선택 플래그 변조 → 잘못된 이미지 실행
    • 플래시 드라이버 악용 → SW/캘리브레이션 데이터 임의 삭제·재프로그램

AUTOSAR Adaptive OS 및 보안 포인트

  • 보안 관련 클러스터
    • Persistency Cluster (비휘발성 데이터 보호)
    • Platform Health Management (플랫폼 건강/안전 보장)
    • Communication Management (통신 무결성/인증/기밀)

Cross-domain (도메인 간 통신)

  • 역할: 차량 내 모든 도메인(파워트레인, 섀시, 인포테인먼트 등)을 연결 → 신뢰성 있는 메시지 교환 보장
  • 특징: 도메인 간 상호작용 필수 → 보안 위협 시 전 시스템 전파 가능

In-Vehicle Network (IVN) 개요

  • 등장 배경
    • 수많은 ECU, 센서, 액추에이터 간 안정적이고, 지연이 예측 가능하고, 순서가 보장되는 통신 필요
    • Harsh(물리적/전자적으로 가혹한) 환경 + 저비용 제약 속에서도 신뢰성 확보

CAN (Controller Area Network) 개요

  • 특징
    • 직렬 통신 프로토콜 → 실시간·고신뢰성 통신에 적합
    • 저비용 + 견고성 → 자동차, 트럭, 농기계, 선박, 항공기까지 폭넓게 사용
    • 에러 처리 기능 내장: 전송 오류 발생 시 해당 노드를 bus-off 상태로 격리 → 전체 네트워크 안정성 보장

CAN 프로토콜 종류

  • CAN 2.0
    • 가장 널리 사용되는 레거시
    • Payload: 최대 8 byte
    • 속도: ~500 kbps
  • CAN-FD (Flexible Data Rate)
    • Payload: 최대 64 byte
    • 속도: 최대 ~2 Mbps
  • CAN XL
    • Payload: 최대 2,048 byte
    • 속도: 최대 ~20 Mbps

CAN 메시지 구조 (핵심 요소)

  • CAN ID: 메시지 식별자 → 수신 필터링 기준
  • DLC (Data Length Code): 페이로드 크기 지정
  • Data Field: 실제 데이터 (PDU: Protocol Data Unit)
  • CRC: 자동 계산 → 물리 계층 오류 탐지

E/E Vehicle Architecture 진화

  • 분산형 (Distributed Architecture)
    • 기능별 ECU가 각각 존재, 직접 연결
    • 장점: 설계 단순, 점진적 확장 용이
    • 단점: ECU 수 과다 → 네트워크 복잡, 보안 침투 경로 많음
  • 도메인 집중형 (Domain-Centralized Architecture)
    • 기능별 ECU들을 도메인 전용 ECU로 통합
    • 장점: 관리 효율↑, 비용 절감
    • 단점: 도메인 ECU 해킹 시 영향 범위 ↑
  • 존 아키텍처 (Zone Architecture)
    • 차량을 물리적 구역(zone) 단위로 분할
    • 각 Zone ECU가 센서·액추에이터 집결 → 상위 Vehicle Computer와 연결
    • 장점: 배선 단순화, 고성능 컴퓨팅 집중, 자율주행/차량 클라우드 대응
    • 보안 관점: Zone ECU·Vehicle Computer = 핵심 공격 표면

Domain-Centralized E/E Architecture

  • 등장 배경
    • Highly Distributed 구조의 비용·유지보수 문제 해결 → 도메인별 ECU 통합
  • 구조 특징
    • ECU들을 도메인 단위(파워트레인, 섀시, 인포테인먼트 등)로 그룹화
    • 도메인 간 통신은 전용 게이트웨이를 통해 수행
    • Ethernet Backbone 채택 → 고대역폭 데이터 전송 지원
  • 중앙 게이트웨이 (CGW)
    • 차량의 네트워크 허브 역할
    • 여러 CAN/CAN-FD + Ethernet 인터페이스 포함
    • 네트워크 필터링/분리 기능 수행 → 도메인 간 간섭 방지
    • TSN(Time-Sensitive Networking) 지원 → 실시간 통신 가능
    • DoIP (Diagnostics over IP) 지원 → 고속 ECU 병렬 플래싱·진단 가능
  • 보안 관점
    • CGW에서 도메인 분리·필터링 가능 → 보안성 분산형보다 향상
    • 하지만 CGW가 **단일 장애점(SPoF, Single Point of Failure)**이 됨
      → 공격당하면 모든 도메인 위험

Domain Control Unit (DCU)

  • 다수의 소규모 ECU를 통합한 고성능 ECU
  • 강력한 프로세서, 대용량 메모리, 다양한 네트워크 인터페이스 보유
  • 소프트웨어 정의 차량(Software-Defined Vehicle, SDV)의 핵심
    → HW 교체 없이 SW 업데이트로 기능, 활성화/비활성화 가능

구조

  • 고성능 MCU/SoC 기반
  • 하나의 플랫폼에 여러 애플리케이션 병행 실행
  • 일반 구현:
    • AUTOSAR Adaptive (POSIX OS 기반, 복잡한 앱 처리)
    • AUTOSAR Classic (RTOS 기반, 안전·실시간 제어) 병행

보안 고려사항

  • 공유 하드웨어 플랫폼 → 공격 표면 확대
  • Spatial Isolation (메모리·자원 분리) 필요
  • Temporal Isolation (시간/스케줄링 간섭 방지) 필요
  • 실시간 인스턴스의 안전 보장 가정이 약화될 수 있음 → 별도 보안 설계 필수

Central Compute Cluster

  • 차량 내 고성능 통합 컴퓨터
  • CPU + GPU + 실시간 코어(heterogeneous domains) 통합
  • 자율주행, 인포테인먼트, 디지털 콕핏 등 연산 집약적 기능을 한 HW 플랫폼에서 지원
  • AUTOSAR Classic: 실시간 코어에서 안전·실시간 기능 실행

보안 고려 사항

  • 단일 HW 플랫폼에서 다수의 OS·서비스 실행 → 격리 실패 시 전체 시스템 위험
  • OTA/클라우드 서비스 연결 → 외부 공격 노출면 확대
  • Hypervisor·OS 취약점 → 안전 영역(자율주행)까지 침투 가능

NIST Security Strength in Automotive

NIST 기준

  • 안전한 암호 알고리즘 및 최소 키 길이 정의
  • 공격자 연산능력 증가를 고려하여 Crypto Period(암호 유효 기간) 설정

자동차 적용 시 고려사항

  • 차량 수명(Lifetime) 고려
  • 차량 수명 = 10~20년 → 설계 시 미래 공격 가능성까지 대비
  • 키 업데이트 가능성
  • ECU는 현장에서 Key Rotation/Update 가능해야 함
  • 알고리즘/키 길이 선택

실패 원인

  • 암호 자체 취약성보다는잘못된 구현, 잘못된 사용때문인 경우가 대부분

Chinese Cryptography Standards

배경

  • 중국 시장 판매 차량은 국가암호관리국 규격 의무 지원 필요
  • NIST 승인 알고리즘과 유사하지만 별도 HW/SW 지원 필요
알고리즘 기능 특징
SM2 ECC 기반 키 합의 & 전자서명 256-bit 곡선 사용
SM3 해시 함수 256-bit 출력
SM4 블록 암호 128-bit 키, 128-bit 블록
SM9 디지털 서명, 키 교환, 신원 기반 암호화 중국 특화 기능

차량 부품 위협 지향

차량 진단

  • OBD(On-Board Diagnostics)는 차량 정비와 진단을 위한 표준 인터페이스
  • UDS(Unified Diagnostic Services)는 ECU의 진단, 설정 변경, 소프트웨어 업데이트 등에 사용
  • 진단 기능이 적절히 보호되지 않으면 공격자가 ECU 설정을 변경하거나 악성 소프트웨어를 설치할 수 있음

OTA(Over-The-Air) 업데이트

OTA는 인터넷을 통해 ECU 소프트웨어를 업데이트하는 기능

 

공격 방법

  • 도청(Eavesdropping) : 업데이트 파일 가로채기
  • MitM(중간자 공격) : 업데이트 차단·지연
  • Rollback Attack : 이전의 취약한 버전으로 강제 다운그레이드
  • Resource Exhaustion : 매우 큰 업데이트 파일을 보내 저장 공간을 고갈시킴
  • Mix & Match : 정상 서명된 다른 차량용 이미지를 조합하여 오작동 유발

→ 이를 막기 위해 전자서명, Secure Boot, 버전 검증, 암호화가 필요함

OBD 포트 보안

OBD 포트는 차량 점검을 위한 인터페이스이지만 공격자의 진입점이 될 수도 있음

  • 보안이 약하면 내부 CAN 네트워크 접근, ECU 제어, 브레이크·조향 관련 CAN 메시지 전송 등이 가능해질 수 있음
  • Gateway의 필터링과 네트워크 분리가 매우 중요함

Bluetooth 보안

차량의 블루투스는 스마트폰 연결, 핸즈프리, OBD-II 동글 등에 사용됨

공격 방법

  • Car Whisperer : 차량 오디오 및 대화 도청
  • Bluesnarfing : 연락처 등 데이터 탈취
  • Bluebugging : 기기 제어권 획득
  • BlueBorne : 블루투스 취약점을 이용한 원격 코드 실행
  • KNOB : 암호화 키 협상 약화 공격

차량 보안의 핵심

  • ECU 보호
  • CAN 통신 보호
  • Gateway를 통한 접근 제어
  • OTA 업데이트 무결성 검증
  • OBD 접근 통제
  • Secure Boot와 인증 기반 소프트웨어 실행

최신 취약 동향 (2024-2026)

최신 자동차 보안 동향

자동차 보안의 공격 대상은 차량 ECU보다 차량 외부와 연결되는 장치로 확대되고 있음

대표적인 대상

  • EV 충전기
  • 인포테인먼트(IVI)
  • 텔레매틱스 모뎀

최근 자동차 보안 4대 트렌드

1. 공격면이 ‘EV 충전 인프라’로 이동

  • 가정용 충전기부터 급속충전기(슈퍼차저)까지 매년 최대 타깃
  • 충전 신호 조작은 그리드·안전 영향으로 확대될 수 있음

2. IVI·USB는 여전한 root 진입점

  • Mazda·Tesla 등 인포테인먼트가 매년 USB로 뚫림
  • IVI 장악 → CAN 버스 측면 이동으로 안전까지 위협

3. 표준·API 레벨 결함의 확산

  • ISO 15118, 모바일/텔레매틱스 API 등 하나의 결함이 다수 차량·제조사에 동시 영향

4. ‘원격’ 표기를 비판적으로 읽기

  • 다수 사례가 물리/근접 접근 전제(AV:P / AV:A) CVSS 점수와 실제 공격 난이도·피해 범위를 구분

자동차 보안의 핵심 방향

자동차 보안은 차량 내부만 보호하는 것이 아니라, 차량과 연결되는 모든 시스템을 함께 보호해야 함


자동차 보안 내용이 엄청... 

광범위해서 추려서 정리해보았습니다

이해는 어렵지만 열심히 듣고 있습니다....!

 

다음에 계속.....

'2026 unknown 하계 세미나' 카테고리의 다른 글

보안 적합성 검사  (0) 2026.07.09
시큐어 코딩  (0) 2026.07.08
PQC II  (0) 2026.07.08
격자 기반 암호SIS · LWE부터 Kyber와 ML-KEM  (0) 2026.07.08
깨지는 암호의 해부학  (0) 2026.07.08