안녕하세요
오늘은 자동차 보안에 대해서 알아보도록 하죠
그럼 바로 가시죠....
(2026-06-30에 진행한 UNKNOWN 세미나)
자동차 보안 이해
CVE-2025-2082
- Tesla Model 3 차량의 VCSEC 모듈에서 발견된 심각한 정수 오버플로우(Integer Overflow)
취약점 - 이 취약점을 이용하면 원격 코드 실행이 가능
- 이 취약점은 VCSEC 모듈 내에서 공격자는 TPMS (Tire Pressure Monitoring System, 타이어 공기압 모니터링 시스템)에서 전송되는 인증서 응답(certificate response)을 조작하여 특정 조건에서 메모리에 쓰기(writing to memory) 전에 정수 오버플로우를 유발
- 정수 오버플로우
- 컴퓨터가 처리할 수 있는 정수의 최대 범위를 초과하는 값을 계산하거나 저장하려고 할때 발생하는 현상
- 잘못된 메모리 주소 게산이나 버퍼 크기 할당 등으로 이어져 보안 취약점을 발생시킬 수 있음
- 네트워크 인접 공격
- 공격자가 피해 시스템과 동일한 물리적 네트워크 세그먼트에 있어야 공격이 가능함을 의미
CVE-2024-23957
- Autel MaxiCharger AC Elite Business C50 충전소의 DLB(Dynamic Load Balancing) 프로토콜 구현 내의 특정 핸들러(DLB_HostHeartBeat)에서 발생
- AV:A (공격 벡터: 인접): 공격자가 피해 시스템과 동일한 물리적 네트워크(예: 충전소의 Wi-Fi나 LAN 세그먼트)에 접근할 수 있어야 함
- AC:L (공격 복잡도: 낮음): 공격에 필요한 조건이 복잡하지 않아 공격이 상대적으로 쉽게 이루어질수 있음
- PR:N (필요 권한: 없음): 공격을 실행하는 데 사용자 인증이 필요하지 않음
- 영향 (C:H, I:H, A:H): 성공 시 기밀성, 무결성, 가용성 모두에 심각한 영향을 미쳐 장치 탈취,
데이터 유출, 서비스 중단 등의 결과를 초래할 수 있음
원인
- 취약점은 AES 키를 파싱하는 과정에서 발생
- 해당 프로세스가 사용자로부터 입력된 데이터의 길이를 고정 길이의 스택 기반 버퍼에 복사하기 전에 적절하게 검증하지 않아 생김
공격
- 공격자는 이 결합을 악용하여 할당된 버퍼의 경계를 넘어 데이터를 덮어쓸 수 있음(버퍼 오버플로우)
결과
- 성공적인 공격은 공격자가 장치에 임의 코드를 실행할 수 있도록 허용
- 충전소 장치에 대한 완전한 제어권을 획득할 수 있음을 의미
CVE-2020-8539
- 기아(Kia) Gen5 Head Unit의 Android 앱 취약점과 관련 보고됨
- 기아차 헤드 유닛(차량 인포테인먼트 시스템)과 관련된 문제
- 공격자가 micomd 실행 데몬을 실행하여 허가되지 않은 명령 삽입 및 기능 작동 허
- micomd 실행 데몬 : 시스템의 특정 하드웨어, 특히 마이크로컨트롤러 관련 장치를
백그라운드에서 관리하고 제어하는 역할을 수행하는 프로세스
- micomd 실행 데몬 : 시스템의 특정 하드웨어, 특히 마이크로컨트롤러 관련 장치를
공격
- AV (Attack Vector: 공격 경로), L (Local: 로컬)
- 공격자가 취약한 시스템과 동일한 물리적 또는 논리적 환경 내에 있어야 함
- AC (Attack Complexity: 공격 복잡도), L (Low: 낮음)
- 공격이 성공하기 위한 특별한 조건이 필요하지 않음
- 공격자가 상대적으로 쉽게 취약점을 이용할 수 있음
- PR (Privileges Required: 필요한 권한), L (Low: 낮음)
- 공격자가 기본 사용자 수준의 권한만 가지고 있어도 됨
- UI (User Interaction: 사용자 상호 작용), N (None: 없음)
- 공격 성공을 위해 사용자가 아무런 행동(예: 링크 클릭, 파일 열기)을 할 필요가 없음
👉 결과적으로, 공격자가 차량의 M-CAN 버스(멀티미디어 CAN 버스)로 전송되는 CAN 프레임을 생성하는 명령을 삽입 가능
Kia 딜러/포털 및 모바일 API 취약점
Kia 딜러/포털 API 취약점 분석: 번호판 → 차량 원격 제어
기술적 원인
- 과도한 딜러 권한
- 권한 경계 오류
- 취약한 식별자 사용
- 약한 계정 생성
공격 시나리오
- 정보 수집
- 권한 획득
- 차량 조회
- 계정 탈취/추가
- 원격 제어
-공격 체인 HTTP 요청 4단계
- 딜러 토큰 생성
- 피해자 이메일 및 전화번호 조회
- 기존 차량 소유자의 권한 해제
- 공격자를 차량의 또 다른 소유자로 추가
CVE-2022-37418
- 키 포브
- 자동차의 문을 원격으로 잠그거나 해제하고, 시동을 걸거나 트렁크를 열 때 사용하는 작고 휴대하기 쉬운 무선 전송 장치
- 보통 자동차 열쇠와 함께 붙어있는 리모컨 형태
- 운전자의 명령을 무선 주파수 신호로 변환하여 차량의 원격 키리스엔트리(RKE) 수신 장치로 전송
- 롤링 코드
- 키 포브가 보낸 무선 신호가 해커에게 가로채이거나 재사용되는 것을 방지하기 위해 사용하는 보안 매커니즘
👉 만약 키 포브가 항상 동일한 코드를 보낸다면 해커는 이 코드를 한 번 가로채서(스니핑) 나중에 그 코드를 차량에 재생하여 차량의 잠금을 해제할 수 있음
- 롤링 코드의 작동 원리
- 동기화된 카운터
- 새로운 코드 생성
- 일회용 코드
- 보안 강화
차량 전기/전자 아키텍쳐
ECU(전자 제어 장치)
- 자동차 핵심 요소로, 주로 조향, 정보 표시, 좌석 제어 등 하나 이상의 차량 기능을 수행하는 데 필요한 처리 요소와 전자 부품으로 구성
- ECU의 전자 부품은 열, 진동, 전자기 간섭과 같은 가혹한 환경 조건을 견딜 수 있도록 설계된 밀폐된 인클로저에 보관
- 보안 관점에서 중요 자산
- 전원 입력
- 네트워크 버스 라인
- 하드와이어 센서 입력
- 액추에이터 출력
MCU 및 SoC 소프트웨어 계층
AUTOSAR는 차량 제조업체, 공급업체, 서비스 제공업체, 그리고 자동차 전자, 반도체, 소프트웨어 산업 분야의 회사들이 참여하는 전 세계적인 개발 파트너십
- AUTOSAR RTOS
- 실시간 운영체제 기반
- 메모리, 타이밍, 하드웨어 리소스 보호 → 안정성 + 보안성 강화
- 하드웨어 추상화 계층
- 보안에 중요한 소프트웨어 계층들
- 통신 서비스: 잘못 설정 시 CAN 네트워크에 스푸핑 메시지 전송 가능
- 메모리 스택: NVM 변조 위험
- 진단 계층: 가짜 데이터 조작, 안전하지 않은 조건에서 진단 서비스 해제 위험
- 암호화 서비스: 키 보안 파라미터 유출 또는 불법 사용 가능
AUTOSAR RTE (Runtime Environment)
- 역할
- 애플리케이션 SW 기본 SW 모듈을 분리하는 표준 인터페이스 계층
- 자동차 공급업체가 RTE 인터페이스 정의를 준수한다면 애플리케이션 소프트웨어 구성 요소를 상호 교환 가능
- 장점
- SW 컴포넌트 교체·재사용 가능 (공급사 간 호환성 확보
- 보안 포인트
- RTE 설정 변조 시 → SW 컴포넌트 간 잘못된 상호작용 유발
- ECU SW 보안에 직접적인 영향
플래시 부트로더 (Flash Bootloader)
- AUTOSAR 표준에 포함되지 않는 부분, 하지만 ECU 관점에서 보안 핵심 영역 중 하나
- 기능
- 부팅 시 HW 초기화 + 파티션 검증 후 실행
- 런타임 중 SW/캘리브레이션 이미지 업데이트 (진단 툴, OTA)
- 보안 위협
- 부트 단계 조작 → 변조된 SW 실행, 안전/보안 초기화 실패
- 불법 업데이트 접근 → 악성 SW 주입 위험
- 부트 파티션 선택 플래그 변조 → 잘못된 이미지 실행
- 플래시 드라이버 악용 → SW/캘리브레이션 데이터 임의 삭제·재프로그램
AUTOSAR Adaptive OS 및 보안 포인트
- 보안 관련 클러스터
- Persistency Cluster (비휘발성 데이터 보호)
- Platform Health Management (플랫폼 건강/안전 보장)
- Communication Management (통신 무결성/인증/기밀)
Cross-domain (도메인 간 통신)
- 역할: 차량 내 모든 도메인(파워트레인, 섀시, 인포테인먼트 등)을 연결 → 신뢰성 있는 메시지 교환 보장
- 특징: 도메인 간 상호작용 필수 → 보안 위협 시 전 시스템 전파 가능
In-Vehicle Network (IVN) 개요
- 등장 배경
- 수많은 ECU, 센서, 액추에이터 간 안정적이고, 지연이 예측 가능하고, 순서가 보장되는 통신 필요
- Harsh(물리적/전자적으로 가혹한) 환경 + 저비용 제약 속에서도 신뢰성 확보
CAN (Controller Area Network) 개요
- 특징
- 직렬 통신 프로토콜 → 실시간·고신뢰성 통신에 적합
- 저비용 + 견고성 → 자동차, 트럭, 농기계, 선박, 항공기까지 폭넓게 사용
- 에러 처리 기능 내장: 전송 오류 발생 시 해당 노드를 bus-off 상태로 격리 → 전체 네트워크 안정성 보장
CAN 프로토콜 종류
- CAN 2.0
- 가장 널리 사용되는 레거시
- Payload: 최대 8 byte
- 속도: ~500 kbps
- CAN-FD (Flexible Data Rate)
- Payload: 최대 64 byte
- 속도: 최대 ~2 Mbps
- CAN XL
- Payload: 최대 2,048 byte
- 속도: 최대 ~20 Mbps
CAN 메시지 구조 (핵심 요소)
- CAN ID: 메시지 식별자 → 수신 필터링 기준
- DLC (Data Length Code): 페이로드 크기 지정
- Data Field: 실제 데이터 (PDU: Protocol Data Unit)
- CRC: 자동 계산 → 물리 계층 오류 탐지
E/E Vehicle Architecture 진화
- 분산형 (Distributed Architecture)
- 기능별 ECU가 각각 존재, 직접 연결
- 장점: 설계 단순, 점진적 확장 용이
- 단점: ECU 수 과다 → 네트워크 복잡, 보안 침투 경로 많음
- 도메인 집중형 (Domain-Centralized Architecture)
- 기능별 ECU들을 도메인 전용 ECU로 통합
- 장점: 관리 효율↑, 비용 절감
- 단점: 도메인 ECU 해킹 시 영향 범위 ↑
- 존 아키텍처 (Zone Architecture)
- 차량을 물리적 구역(zone) 단위로 분할
- 각 Zone ECU가 센서·액추에이터 집결 → 상위 Vehicle Computer와 연결
- 장점: 배선 단순화, 고성능 컴퓨팅 집중, 자율주행/차량 클라우드 대응
- 보안 관점: Zone ECU·Vehicle Computer = 핵심 공격 표면
Domain-Centralized E/E Architecture
- 등장 배경
- Highly Distributed 구조의 비용·유지보수 문제 해결 → 도메인별 ECU 통합
- 구조 특징
- ECU들을 도메인 단위(파워트레인, 섀시, 인포테인먼트 등)로 그룹화
- 도메인 간 통신은 전용 게이트웨이를 통해 수행
- Ethernet Backbone 채택 → 고대역폭 데이터 전송 지원
- 중앙 게이트웨이 (CGW)
- 차량의 네트워크 허브 역할
- 여러 CAN/CAN-FD + Ethernet 인터페이스 포함
- 네트워크 필터링/분리 기능 수행 → 도메인 간 간섭 방지
- TSN(Time-Sensitive Networking) 지원 → 실시간 통신 가능
- DoIP (Diagnostics over IP) 지원 → 고속 ECU 병렬 플래싱·진단 가능
- 보안 관점
- CGW에서 도메인 분리·필터링 가능 → 보안성 분산형보다 향상
- 하지만 CGW가 **단일 장애점(SPoF, Single Point of Failure)**이 됨
→ 공격당하면 모든 도메인 위험
Domain Control Unit (DCU)
- 다수의 소규모 ECU를 통합한 고성능 ECU
- 강력한 프로세서, 대용량 메모리, 다양한 네트워크 인터페이스 보유
- 소프트웨어 정의 차량(Software-Defined Vehicle, SDV)의 핵심
→ HW 교체 없이 SW 업데이트로 기능, 활성화/비활성화 가능
구조
- 고성능 MCU/SoC 기반
- 하나의 플랫폼에 여러 애플리케이션 병행 실행
- 일반 구현:
- AUTOSAR Adaptive (POSIX OS 기반, 복잡한 앱 처리)
- AUTOSAR Classic (RTOS 기반, 안전·실시간 제어) 병행
보안 고려사항
- 공유 하드웨어 플랫폼 → 공격 표면 확대
- Spatial Isolation (메모리·자원 분리) 필요
- Temporal Isolation (시간/스케줄링 간섭 방지) 필요
- 실시간 인스턴스의 안전 보장 가정이 약화될 수 있음 → 별도 보안 설계 필수
Central Compute Cluster
- 차량 내 고성능 통합 컴퓨터
- CPU + GPU + 실시간 코어(heterogeneous domains) 통합
- 자율주행, 인포테인먼트, 디지털 콕핏 등 연산 집약적 기능을 한 HW 플랫폼에서 지원
- AUTOSAR Classic: 실시간 코어에서 안전·실시간 기능 실행
보안 고려 사항
- 단일 HW 플랫폼에서 다수의 OS·서비스 실행 → 격리 실패 시 전체 시스템 위험
- OTA/클라우드 서비스 연결 → 외부 공격 노출면 확대
- Hypervisor·OS 취약점 → 안전 영역(자율주행)까지 침투 가능
NIST Security Strength in Automotive
NIST 기준
- 안전한 암호 알고리즘 및 최소 키 길이 정의
- 공격자 연산능력 증가를 고려하여 Crypto Period(암호 유효 기간) 설정
자동차 적용 시 고려사항
- 차량 수명(Lifetime) 고려
- 차량 수명 = 10~20년 → 설계 시 미래 공격 가능성까지 대비
- 키 업데이트 가능성
- ECU는 현장에서 Key Rotation/Update 가능해야 함
- 알고리즘/키 길이 선택
실패 원인
- 암호 자체 취약성보다는잘못된 구현, 잘못된 사용때문인 경우가 대부분
Chinese Cryptography Standards
배경
- 중국 시장 판매 차량은 국가암호관리국 규격 의무 지원 필요
- NIST 승인 알고리즘과 유사하지만 별도 HW/SW 지원 필요
| 알고리즘 | 기능 | 특징 |
| SM2 | ECC 기반 키 합의 & 전자서명 | 256-bit 곡선 사용 |
| SM3 | 해시 함수 | 256-bit 출력 |
| SM4 | 블록 암호 | 128-bit 키, 128-bit 블록 |
| SM9 | 디지털 서명, 키 교환, 신원 기반 암호화 | 중국 특화 기능 |
차량 부품 위협 지향
차량 진단
- OBD(On-Board Diagnostics)는 차량 정비와 진단을 위한 표준 인터페이스
- UDS(Unified Diagnostic Services)는 ECU의 진단, 설정 변경, 소프트웨어 업데이트 등에 사용
- 진단 기능이 적절히 보호되지 않으면 공격자가 ECU 설정을 변경하거나 악성 소프트웨어를 설치할 수 있음
OTA(Over-The-Air) 업데이트
OTA는 인터넷을 통해 ECU 소프트웨어를 업데이트하는 기능
공격 방법
- 도청(Eavesdropping) : 업데이트 파일 가로채기
- MitM(중간자 공격) : 업데이트 차단·지연
- Rollback Attack : 이전의 취약한 버전으로 강제 다운그레이드
- Resource Exhaustion : 매우 큰 업데이트 파일을 보내 저장 공간을 고갈시킴
- Mix & Match : 정상 서명된 다른 차량용 이미지를 조합하여 오작동 유발
→ 이를 막기 위해 전자서명, Secure Boot, 버전 검증, 암호화가 필요함
OBD 포트 보안
OBD 포트는 차량 점검을 위한 인터페이스이지만 공격자의 진입점이 될 수도 있음
- 보안이 약하면 내부 CAN 네트워크 접근, ECU 제어, 브레이크·조향 관련 CAN 메시지 전송 등이 가능해질 수 있음
- Gateway의 필터링과 네트워크 분리가 매우 중요함
Bluetooth 보안
차량의 블루투스는 스마트폰 연결, 핸즈프리, OBD-II 동글 등에 사용됨
공격 방법
- Car Whisperer : 차량 오디오 및 대화 도청
- Bluesnarfing : 연락처 등 데이터 탈취
- Bluebugging : 기기 제어권 획득
- BlueBorne : 블루투스 취약점을 이용한 원격 코드 실행
- KNOB : 암호화 키 협상 약화 공격
차량 보안의 핵심
- ECU 보호
- CAN 통신 보호
- Gateway를 통한 접근 제어
- OTA 업데이트 무결성 검증
- OBD 접근 통제
- Secure Boot와 인증 기반 소프트웨어 실행
최신 취약 동향 (2024-2026)
최신 자동차 보안 동향
자동차 보안의 공격 대상은 차량 ECU보다 차량 외부와 연결되는 장치로 확대되고 있음
대표적인 대상
- EV 충전기
- 인포테인먼트(IVI)
- 텔레매틱스 모뎀
최근 자동차 보안 4대 트렌드
1. 공격면이 ‘EV 충전 인프라’로 이동
- 가정용 충전기부터 급속충전기(슈퍼차저)까지 매년 최대 타깃
- 충전 신호 조작은 그리드·안전 영향으로 확대될 수 있음
2. IVI·USB는 여전한 root 진입점
- Mazda·Tesla 등 인포테인먼트가 매년 USB로 뚫림
- IVI 장악 → CAN 버스 측면 이동으로 안전까지 위협
3. 표준·API 레벨 결함의 확산
- ISO 15118, 모바일/텔레매틱스 API 등 하나의 결함이 다수 차량·제조사에 동시 영향
4. ‘원격’ 표기를 비판적으로 읽기
- 다수 사례가 물리/근접 접근 전제(AV:P / AV:A) CVSS 점수와 실제 공격 난이도·피해 범위를 구분
자동차 보안의 핵심 방향
자동차 보안은 차량 내부만 보호하는 것이 아니라, 차량과 연결되는 모든 시스템을 함께 보호해야 함
자동차 보안 내용이 엄청...
광범위해서 추려서 정리해보았습니다
이해는 어렵지만 열심히 듣고 있습니다....!
다음에 계속.....
'2026 unknown 하계 세미나' 카테고리의 다른 글
| 보안 적합성 검사 (0) | 2026.07.09 |
|---|---|
| 시큐어 코딩 (0) | 2026.07.08 |
| PQC II (0) | 2026.07.08 |
| 격자 기반 암호SIS · LWE부터 Kyber와 ML-KEM (0) | 2026.07.08 |
| 깨지는 암호의 해부학 (0) | 2026.07.08 |