무선 업데이트(OTA)와 ISO 24089
Over-The-Air Automotive Updates
2021년 07월호 지면기사  /  글 | 리 해리슨(Lee Harrison) 매니저, 지멘스 디지털 인더스트리 소프트웨어

신뢰점(RoT)과 추적성의 탑재는 보안 위험을 경감시키기 위한 심층방어 전략에 필수적이다. 지멘스 디지털 인더스트리 소프트웨어가 제공하는 기술로 상위 수준의 애플리케이션 및 데이터 관리로부터 실리콘 레벨의 위협 모니터링 IP에 이르기까지 무선 업데이트 및 해당 법규와 관련된 많은 문제를 해결할 수 있게 되었다.

글 | 리 해리슨(Lee Harrison) 매니저, 지멘스 디지털 인더스트리 소프트웨어



무선 업데이트 기능의 필요성        

오늘날의 자동차는 인터넷 연결이 점점 더 강화되면서 탑재되는 전자 시스템도 늘어나는 추세이다. 이처럼 시스템이 복잡해지면서 평균적인 차량 설계조차도 ECU 수가 150개를 넘어가고 있다. 이러한 ECU는 인포테인먼트 및 통신뿐만 아니라 파워트레인, 안전 및 주행 시스템까지 제어한다(그림 1). 전자 하드웨어 뿐만 아니라 소프트웨어의 양과 복잡성도 급증하는 추세이다. 새로운 자동차에 탑재되는 코드의 길이는 약 1억 행에 이르며, 그 규모는 빠르게 증가하고 있다.




그림 1 | 자동차에 탑재되는 수많은 전자 하드웨어와 소프트웨어



이처럼 복잡한 시스템이 제대로 안전하게 작동하도록 하기 위해 디자이너는 기능 모니터링 기능을 내장시켜 기능안전성, 의도된 기능안전성(SOTIF) 및 보안성을 보장해야 한다. 칩 내부에 탑재된 신뢰점(RoT) 및 기타 계층화된 보안 메커니즘은 해당 칩의 안전이 제조 시나 공급망에서, 또는 현장 사용 중에 침해받는 일이 없도록 보장해준다.

하지만 자동차 장치의 하드웨어와 소프트웨어도 장치의 수명주기 동안에 업데이트되어야 한다. 예를 들어, 소프트웨어 오류가 자동차 업계의 전체 리콜에서 차지하는 비율은 46% 정도로 큰 데다가 점점 더 증가하는 추세다.

우리는 데스크탑 컴퓨터는 물론, 휴대폰이나 TV, 심지어는 가전제품의 업데이트에도 매우 익숙해져 있다. 현재는 어떠한 형태로든 무선 업데이트(OTA) 기능을 갖추고 있는 차량 수가 2,200만 대 정도에 불과하다. 하지만 2025년경에는 이 숫자가 2억 5,000만 대 이상으로 증가할 것으로 예상된다. 글로벌 정보 제공업체인 IHS Markit의 예상에 따르면, 무선 업데이트를 통해 절감되는 총 OEM 비용이 2025년경에는 609억 달러 규모에 이를 것이라고 한다.


자동차 안전 및 보안 법규     

무선 연결되어 원격 업데이트가 가능한 차량에는 이점뿐 아니라, 사이버 보안 위험도 따른다. 올해부터 시행 예정인 새로운 유엔 유럽경제위원회(UNECE) 법규 R155(일명 WP.29/GRVA/79)는 차량의 사이버 보안을 하나의 독립체로 취급해 OEM이 자동차의 사이버 보안에 대해 법적 책임을 지도록 하려는 의식적인 움직임이다. 실제로, 자동차 OEM은 차량의 전체 수명주기 동안 그 사이버 보안을 전적으로 책임져야 한다. 유엔 유럽경제위원회 법규의 접근방법은 ISO의 기존 및 개발 중인 표준(26262 기능안전성) 및 21434(사이버 보안)과 매우 흡사하다.

유엔 유럽경제위원회의 R155 법규를 준수하지 않을 경우 분명하게 미치는 재정적 영향은 두 가지이다.

- 비인증 차량은 2024년부터 EU, 아시아 및 호주에서 판매할 수 없다.
- 차량 리콜 비용이 높아진다.

OEM은 이미 생산 중인 차종을 포함해 법규 준수 체제로 즉시 전환에 착수해야 재정적 영향이 미칠 가능성을 최소화할 수 있다. R155(또는 WP.29/GRVA/79) 법규는 소프트웨어 보안 프로세스를 모든 설계에 내재시키고 이를 소프트웨어 업데이트로도 확장시켜야 하는 점을 분명히 하고 있다. 즉, 개발 중인 차량은 물론, 이미 주행 중인 일부 차량까지도 해당 시스템을 ‘업그레이드’해 이러한 표준을 준수하도록 해야 한다는 것이다.


실생활에 요구되는 임베디드 분석 기능     

복잡한 자동차 시스템의 SoC는 시스템에 대한 위협과 시스템 변경 문제를 지속적으로 인지하면서 업데이트를 받을 수 있어야 한다. 이러한 소프트웨어 및 보안 패치를 통해 보안 위협보다 한발 앞서 나가고 발전해 나가는 규제 요건을 따를 수 있다.

지능형 임베디드 분석 기능이 설계된 자동차 애플리케이션용 실리콘은 제품 개발 시의 검증 및 인증이라는 혜택을 누릴 수 있다. 그뿐만 아니라, 이러한 임베디드 분석 IP는 ‘실생활’에서도 강력한 모니터링 기능을 제공해 시스템 오류와 랜덤 오류를 모두 탐지해내므로 새로운 수준의 안전 기능을 제공하고 현장에서의 시스템 상태 모니터링 및 첨단 사이버 보안 포렌식 기능을 수행할 수 있다.

디자이너는 오늘날의 자동차 전장 핵심부에 자리 잡고 있는 SoC에 Tessent Embedded Analytics 반도체 IP(SIP)를 이용해 지능형 자기분석 기능을 통합시킬 수 있다.

올해에 설계된 자동차는 2030년대까지 계속 최신 상태로 유지 및 업그레이드될 수 있으며 최소한 향후 15년간은 무선 업데이트 기능을 지속적으로 지원할 수 있는 시스템을 갖춰야 한다. 즉, 오늘날 자동차 시스템에 설계되는 SoC는 최소한 해킹 위협뿐 아니라, 보안 및 안전 요건의 변경 문제도 극복해낼 수 있어야 한다. 임베디드 분석 인프라는 생명을 위협할 수 있는 차량 시스템에 대한 위협을 나타내는 변경 사항을 모니터링할 수 있도록 지원한다.

위협과 설계 요건이 진화함에 따라 자동차 설계를 좌우하는 산업 표준도 끊임없이 변화 및 발전하고 있으며, 이는 위협과 자동차 시스템 자체가 변화함에 따라 지속적으로 업그레이드 되고 있다.


심층방어  

따라서 ‘심층방어(Defense in Depth)’ 전략을 살펴볼 필요가 있다. 이것은 위협 및 보안 솔루션을 다차원적인 것으로 봄으로써 안전한 제어 시스템을 구현하는 전략이다. 오늘날의 위협을 방어하는 것도 중요하지만 앞으로 또 어떤 일이 닥칠지 누가 알겠는가? 지금 가능한 한 많은 위협 예방, 탐지 및 대응 조치를 마련해 향후 닥쳐올 수 있는 미지의 위협으로부터 우리 자신을 보호할 수 있도록 최선을 다해야 한다. 심층방어 접근방법을 택하면 차량의 생산 및 사용과 관련된 모든 측면을 전체론적으로 살펴보고 이를 가능한 한 많은 다양한 기법들로 층층이 에워싸게 된다(그림 2).




그림 2 | 시스템의 수명주기 전반에 걸친 보안 및 무결성을 위한 심층방어 전략



무선 업데이트 기능 
구현 시의 보안 액세스 문제 


칩이 제조 시나 공급망에서, 또는 현장에서 사용 중에 침해받지 않도록 하는 일은 칩 내부의 신뢰점(RoT) 및 기타 보안 메커니즘에 의해 가능하다. 무선 업데이트에서는 승인된 ‘적합한’ 소프트웨어만 자동차 시스템으로 이식되어야 한다. 따라서 하드웨어에 내장된 신뢰점을 갖추는 것이 필수적이다. 유엔 유럽경제위원회는 OEM이 무선 업데이트를 위한 최고의 보안 표준을 구현하도록 R156(소프트웨어 업데이트 프로세스 및 관리 시스템)을 정의했으며, 여기에 수반되는 ISO 24089가 현재 개발되고 있다.

SoC는 임베디드 분석 기능을 통해 안전성, 보안 및 사용 중인 하드웨어 구성과의 일치성을 준수하는지 비트 레벨에서 확인할 수 있다. 여기에는 추적 기능이 필수적이다. 즉, 임의의 소프트웨어를 빌드로부터 그 구현에 이르기까지 완전한 소프트웨어 인증과 암호화를 추적해 해당 페이로드가 제대로 전달되었는지 확인하는 것이다.

설계 레벨에서는 SoC에 센서, 보안 및 칩 식별자를 위한 IP가 통합되도록 설계하고 이러한 IP를 설계 흐름의 일환으로서 DFT IP와 함께 삽입함으로써 SoC 공급업체는 신뢰할 수 있고 안전한 Silicon Lifecycle Management를 위한 하드웨어 구현 기반을 확립할 수 있다. 
기본적으로 추적성을 하드웨어 설계에 포함시키고 각 칩에는 고유의 영구적 식별자를 부여해야 한다. 그래야 현장 프로비저닝, 데이터 수집, 모니터링, 그리고 OTA를 포함한 관리 기능을 모두 특정 칩의 히스토리 및 라이프사이클 데이터에 다시 연결시킬 수 있다(그림 3). 추적성과 신뢰점 식별자는 칩 레벨에서 확립되지만, ‘장치 ID’에 다수의 특정 칩 식별자를 포함시킬 수 있다.






그림 3 | 실리콘 수명주기 관리에서 확립되는 추적성


하드웨어를 구현하는 것만으로는 충분하지 않다. 칩과 클라우드 간의 소프트웨어 인프라 플랫폼, 개방형 API 및 표준을 통해 SoC 데이터를 안전하게 액세스해 SoC 임베디드 분석 기능을 실현해야 공급망과 현장에서 칩들을 모니터링하고 관리할 수 있다. 칩과 인프라 간의 소프트웨어 인프라는 PLM 및 클라우드 서비스 공급사와의 협력을 통해 발전할 수 있다. 단, 해당 SoC가 매우 다양한 사용 사례를 지원하도록 설계되어야 한다. 이러한 사용 사례에는 제조 시의 제로터치 대량 등록, 공급망을 통한 추적성, 클라우드 온보딩, 그리고 궁극적으로는 자동차 장치의 무선 모니터링 및 관리가 포함된다. 협업을 통해 가치를 창출하기 위해 칩 공급사는 최종 애플리케이션으로부터 요구사항을 수집하고 이를 차세대 SoC의 전략적 기반으로 활용하는 데 집중해야 한다. Secure Silicon Lifecycle Management 전략의 일환인 신뢰점(RoT)에 대한 자세한 내용은 필자의 이전 기사를 참조하면 된다.

물론 보안이 업데이트된 소프트웨어의 배포에서만 중요한 것은 아니다. 일단 이러한 첨단 보안 및 모니터링 기술을 구현하고 나면 SoC로부터 수집하는 데이터가 극히 중요해진다. 즉, 차량/장치로부터 데이터를 수집 및 저장하는 일이 극히 중요해지는 것이다. 업계에서는 수집되는 데이터의 유형과 이를 역시 차량에서 수집될 수 있는 모든 개인 데이터로부터 완전히 분리시키는 데 대해 많은 논의가 이뤄지고 있다.

이제 지멘스 디지털 인더스트리 소프트웨어가 제공하는 기술로 상위 수준의 애플리케이션 및 데이터 관리로부터 실리콘 레벨의 위협 모니터링 IP에 이르기까지 무선 업데이트 및 해당 법규와 관련된 많은 문제를 해결할 수 있게 되었다. [AEM]


[AEM] Automotive Electronics Magazine



<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


TOP