오늘날의 자동차는 기계(Machine)의 개념보다는 컴퓨터의 범주로 분류되도록 발전하고 있습니다. 자동차에서 S/W가 차지하는 비중이 급속도로 증가하고 있으며, 오늘날의 자동차는 복수의 컴퓨터가 상호 간에 통신하며 동작하는 작은 시스템이라고 봐야 합니다. 이러한 자동차 시스템은 점점 더 복잡해지고 있으며, 증가한 복잡성에 따른 문제를 해결하기 위해 자동차 업계는 ISO 26262와 같은 자동차의 ‘안전성(Safety)’을 검증할 수 있는규격들을 도입했습니다.

#차량용SW #자동차시스템 #ISO26262 #자동차안전성 #자동차보안 #AUROSAR4.1 #통신암호화 #HSM #차량용HSM

​

하지만 이미 자동차 업계는 안전성을 담보하는 것만으로 해결할 수 없는 문제에 부딪치고 있습니다. 자동차는 이미 ‘개방된 네트워크’에 접속하기 시작했으며, 이는 자동차 내부 시스템이 외부에 노출된다는 것을 의미합니다. 그리고 현대 사회에서 외부에서 접속 가능한 시스템은 필수적으로 외부로부터의 공격에 대해 방어할 수 있어야 합니다. 즉, 자동차에서도 ‘보안(Security)’이 필요해지게 된 것이죠.

​

실제로 자동차에 대한 원격 해킹 시도는 나날이 증가하고 있으며, 해킹으로 자동차의 일부 시스템에 대한 권한을 탈취하는데 성공한 사례들이 발표되고 있습니다. 자동차 업계에서도 자동차에 대한 해킹 시도를 점점 더 심각한 시선으로 바라보고 있고 테슬라와 같은 회사는 자사의 자동차 시스템을 해킹하는데 성공한 단체에게 상금까지 주면서 취약점 발견에 열을 올리고 있습니다. 자동차에서도 ‘보안’이 ‘안전’을 담보하는 시대가 온 것입니다.

​

이러한 시대에 발맞춰, 자동차 업계에서도 자동차 보안에 대한 여러 가지 대비가 이루어지고 있습니다. AUTOSAR 컨소시엄에서도 AUTOSAR 4.1 규격에서부터 자동차 보안에 대한 여러 가지 규격이 추가되었으며, 여기에는 ECU 간 통신을 암호화하는 기능과 자동차 S/W에 대한 위/변조 탐지 기능, 그리고 암호화 키 보관 및 암호화 알고리즘을 고속으로 실행하기 위한 SHE(Secure Hardware Extension) 기능이 포함되어 있습니다.

​

본 포스팅에서는 #AUTOSAR #SHE 규격이 형상화된 차량용 HSM(Hardware Security Module)에 대해 소개하고, 차량용 HSM이 어떻게 자동차 제어기를 외부로부터의 침입에 대해 방어하는지 간략히 살펴보겠습니다.

차량용 HSM은 제어기 ECU에 내장된 보안 모듈로서, 자동차 제어기 S/W에 향상된 암호화 기능 및 위/변조 방지 기능을 제공합니다. 차량용 HSM은 HSM H/W와 HSM S/W로 구성되며, 각각의 특징은 아래와 같습니다.

​

▶ HSM H/W

ECU에 on-chip 형태로 존재하며, 일반적으로 다른 AUTOSAR S/W가 동작하는 영역과 완전히 분리되어 있습니다. HSM H/W는 내부에 독립적인 연산 장치 및 별도의 RAM, ROM 공간을 가지며, 이를 이용하여 암호화 키를 안전하게 보관하고 보다 빠른 암호화/복호화 기능을 제공합니다.

​

예를 들어, Infineon 사의 Tricore Mcu에 탑재된 HSM H/W가 제공하는 기능은 아래와 같습니다.

- 암호화 키를 사용한 데이터 암호화/복호화

- AUTOSAR MAC(Message Authentication Codes) 생성 및 검증

- 보다 향상된 난수 생성(True Random Generation) 기능

- 안전한 부팅(Secure Boot)

- 암호화 알고리즘 가속 기능

​

▶ HSM S/W

HSM S/W는 HSM H/W 상에서 동작하는 보안 소프트웨어로서, HSM H/W의 자원을 이용하여 AUTOSAR 플랫폼에 다양한 암호화 관련 기능을 제공합니다. 일반적으로 HSM S/W는 framework의 형태로 구현되며, AUTOSAR 플랫폼은 framework에서 제공하는 API를 호출하여 HSM S/W의 기능을 사용하게 됩니다.

HSM H/W의 경우 Infineon, STMicro 등 차량용 MCU 제조사의 MCU에 탑재되어 있으며, HSM S/W의 경우 국내에서는 현대오토에버에서 개발, 공급하고 있는 것으로 알려져 있습니다. 이제부터 실제 AUTOSAR 플랫폼과 HSM이 어떻게 연동하여 동작하는지 국산 AUTOSAR 플랫폼인 mobilgene 플랫폼의 사례를 기준으로 살펴보겠습니다.

AUTOSAR에서는 다양한 영역에 대해서 암호화 기능을 사용할 수 있도록 규격 상에 관련 내용을 정의하고 있습니다. mobilgene 플랫폼 역시 AUTOSAR 규격을 충실히 반영하여 해당 기능이 구현되어 있으며, 이러한 기능 들은 필연적으로 HSM의 암호화/복호화 기능을 사용하게 됩니다.

​

예를 들어, mobilgene 플랫폼은 UDS 프로토콜을 이용한 플랫폼 펌웨어 재 프로그래밍 시 암호화된 데이터를 사용하는 기능을 지원합니다. 재 프로그래밍 시 암호화된 데이터를 사용할 경우 펌웨어의 위/변조 방지 및 통신 데이터 감청에 따른 해킹 위협을 방어하는데 뛰어난 효과를 발휘하기 때문에 향후 FOTA(Firmware On-The-Air)와 같은 기능이 자동차에 탑재될 경우 필수적인 기능이 될 가능성이 높습니다.

​

아래는 암호화된 데이터를 이용한 재 프로그래밍 기능의 수행 과정을 도식화한 것입니다.

​

1. UDS 장치가 CAN 등의 통신 채널을 통해 제어기에 암호화된 데이터를 전달합니다.

2. 제어기의 mobilgene 플랫폼이 해당 데이터를 받아 데이터의 유효성을 검증한 후, HSM에 데이터의 복호화를 요청합니다.

3. HSM이 데이터를 복호화한 후, 복호화한 데이터를 mobilgene 플랫폼에 전달합니다.

4. mobilgene 플랫폼이 복호화된 데이터를 flash에 저장합니다.

보안 부팅은 제어기 부팅 시 HSM에서 mobilgene 플랫폼의 무결성을 검사하여 부팅 여부를 결정하는 기능입니다. 만일 제어기가 해킹되어 mobilgene 플랫폼이 위/변조되더라도 보안 부팅 기능이 적용된 경우 HSM이 mobilgene 플랫폼의 위/변조 여부를 탐조하여 제어기의 부팅을 차단, 시스템의 권한이 탈취당하는 등의 상황을 방지합니다.

이를 위하여 HSM에서는 최초 공장에서 제어기에 이식된 직후 제어기에 탑재된 mobilgene 플랫폼에 대해서 일정의 스냅샷을 만들어 HSM 내부의 보안 적용된 저장소에 저장합니다. 이후 제어기에 전원이 들어와 부팅이 시작되면, HSM은 저장된 스냅샷과 현재 제어기의 mobilgene 플랫폼을 비교하여 mobilgene 플랫폼의 위/변조 여부를 판단합니다.

1. 제어기의 전원이 인가되면, HSM S/W와 mobilgene 플랫폼이 각각 해당 H/W에서 실행됩니다.

2. mobilgene 플랫폼은 최소한의 초기화 과정을 수행한 후, HSM으로부터의 신호를 기다리며 대기합니다.

3. HSM은 저장된 스냅샷 정보가 정상적인지 확인한 후, 스냅샷 정보와 mobilgene 플랫폼 펌웨어 정보를 비교합니다.

4. 비교 결과 mobilgene 플랫폼 펌웨어가 정상적인 펌웨어라면, HSM은 mobilgene 플랫폼에 부팅 신호를 보내고 다음 동작을 준비합니다.

5. 비교 결과 mobilgene 플랫폼 펌웨어가 정상적인 펌웨어가 아니라면, HSM은 제어기를 reset 합니다.

6. HSM의 부팅 신호를 받으면, mobilgene 플랫폼은 정상적으로 제어기 부팅 절차에 진입합니다.

​

앞으로의 자동차 제어기에 있어 보안은 점점 더 중요해질 것입니다. 그리고, 자동차 보안에 있어 HSM의 역할 또한 점점 더 중요해질 것입니다. 앞으로 HSM에 요구되는 기능과 성능은 점점 더 많아지고 높아질 것이며, 따라서 HSM은 여러 요구 사항에 더욱 유연하게 대응하면서도 주어진 자원을 효율적으로 사용할 수 있어야 할 것입니다.

​

#한컴MDS에서는 현재#AUTOSAR플랫폼, 특히 AUTOSAR BSW(#mobilgene)와 관련된 사업을 진행 중입니다. AUTOSAR BSW 관련된 문의사항은mse@hancommds.com로 문의해 주시면 친절하게 답변드리겠습니다.

​