[첨단 헬로티]
전기차 도입이 가속화됨에 따라서 산업 전반으로 중대한 영향을 미치고 있다. 이것은 단지 자동차의 대안적 연료로 전기를 사용한다는 의미만이 아니고, 모빌리티에 있어서 근본적인 패러다임의 변화를 뜻하는 것이다.
e-모빌리티는 자동차 설계, 유지관리, 사용에 있어서 근본적인 변화를 필요로 한다. 자율 운전을 위한 커넥티드 카를 위해서는 자동차를 이전에 생각할 수 없던 방식으로 접근할 수 있어야 한다. 업계는 레벨 3부터 레벨 5에 이르기까지 자동화 운전을 구현하기 위한 솔루션들을 분주히 개발 중이다. 연결성을 필요로 하는 것은 전기차도 마찬가지다. 이것은 자동차와 충전 인프라 간에 상호 연결이 필요하기 때문이다. 현재 전세계적으로 각국의 도시들에서 충전 인프라가 빠르게 확충되고 있다. 서비스 및 통신 허브로서 진화하고 있는 자동차에서 핵심적인 기능 중의 하나가 충전이다.
아키텍처의 필수적인 부분으로서 보안
오늘날에는 생활의 모든 면이 서비스화되고 있다. 이것은 산업 분야도 마찬가지로서, “서비스로서의 플랫폼(PaaS)”이라고 하는 개념이 점차 일반화되고 있다. IEC와 ISO 같은 표준화 기구에서는 보안과 관련해서 TCG(Trusted Computing Group)에서 제정한 표준들을 도입하고 있다. 자동차가 서비스 플랫폼으로 진화함에 따라서, 자동차 회사들은 연결성이 높아지는 것에 따른 잠재적 위험성에 대비해야 하게 되었고, 그러기 위해서 필요로 하는 솔루션들을 갖추어야 한다. 이러한 용도로 TPM(Trusted Platform Module)을 활용함으로써 e-모빌리티의 보안을 높일 수 있다.
e-모빌리티가 성공적으로 도입되기 위해서는, 자동차와 충전소 사이에 거래를 할 때 신뢰할 수 있는 보안을 유지해야 한다. 개방적인 시장의 특성상 다수의 충전소 사업자들이 경쟁할 수 있는데 이 때문에 소비자들에게 불편을 초래하지는 말아야 한다. 그러므로 보안을 위해서 일이 훨씬 더 까다로워진다. 이 기본적인 서비스가 주된 공격 표적이 될 수 있기 때문이다. 충전을 하기 위해서는 자동차와 다양한 사업자들로 이루어진 충전 인프라 사이에 통신이 가능해야 한다.
자동차는 지난 100년 넘게 우리 생활에서 중요한 부분을 이루어 왔으며, ICE의 기본적인 작동 원리는 그대로이나 성능은 초기와 비교해서 몰라보게 발전했다. 또 한편으로 자동차 연비를 향상시키기 위한 개발 노력을 대대적으로 펼쳐왔다. 자동차로 연료를 저장하고 소비하며, 액체 연료를 손쉽게 보충할 수 있었다.
액체 연료에서 전기 충전으로 전환하기 위해서는 모든 것이 달라진다. 전기에 대해서는 현재 거의 규제가 이루어지고 있지 않다. 전기는 허가된 사업자로부터만 입수할 수 있는 것이 아니기 때문이다. 전기차 소유주들은 거의 아무 전기 콘센트로나 자신의 차를 충전할 수 있다. 그러므로 제한은 최소화하면서 일정한 규제가 필요해 보인다.
접근의 편리성과 보호를 둘 다 잘 하고 있는 분야가 컴퓨팅 분야이다. 그러므로 자동차 업계는 e-모빌리티로 표준을 구축하기 위해서 컴퓨팅 분야로 눈을 돌리고 있다. TCG가 접근하기 편리하게 하면서 보호 또한 향상시키고자 제정한 표준이 TPM(Trusted Platform Module)이라고 하는 것이다.
이 표준은 전용 TPM을 사용해서 구현하거나, 다른 디바이스에 한 부분으로 통합해서 구현하거나, 또는 전적으로 소프트웨어로 구현할 수도 있다. TCG는 전문적인 TPM을 사용하는 것을 가장 보안적이라고 본다. Common Criteria(ISO/IEC 15408)나 TPM을 정의하고 있는 표준(ISO/IEC 11889)을 충족하는 디바이스는 공격을 막아낼 수 있을 것으로 신뢰할 수 있다. 인증이나 암호화 같은 보안 기능들을 구현함으로써 안전하게 저장된 키를 사용해서 커넥티드 시스템을 보안적으로 보호한다. TPM 2.0은 가장 최근 표준으로서, 솔루션 개발과 관련해서 좀더 유연한 접근법을 취하고 있다.
TPM 2.0을 충족하는 보안 마이크로컨트롤러(MCU : Microcontroller)는 범용 마이크로컨트롤러는 제공할 수 없는 보안 수준을 제공하며, e-모빌리티의 충전 같은 활용 사례에 따라서 적합하게 개발할 수 있다. RoT(root of trust)를 구축함으로써 파워업 시에 보안 부트를 할 수 있다. 이것은 인증을 사용해서 외부 메모리에 저장되어 있는 코드/데이터가 무단으로 변경되지 않았는지를 확인한 다음에 프로세서의 메인 메모리로 로드하는 것을 말한다. 또 다른 공격 형태로는 “부채널” 공격이라고 하는 것이 있는데, 이것은 시스템에 관해서 손쉽게 접근할 수 있는 정보를 사용한 공격을 말한다.
이러한 공격의 한 기법으로서 차분 전력 분석을 사용해서 원래의 데이터를 복원할 수 있다. 또한 자동차와 충전소 둘 다 물리적으로 접근할 수 있으므로 물리적 공격 또한 고려해야 한다. 커넥티드카로 접근 가능한 지점들을 보호해야 할 뿐만 아니라, TPM을 사용해서 최신 자동차로 생성되는 민감한 데이터를 보호해야 한다. 이것은 자동차 작동 및 유지보수와 관련한 데이터뿐만 아니고, 운전자나 소유자에 관한 데이터도 마찬가지다. 이러한 데이터의 무결성, 정식성, 기밀성을 보호해야 한다.
e-모빌리티 인터페이스와 레퍼런스 아키텍처
e-모빌리티 충전 인프라는 전기차(EV)와 전기차 충전 설비(EVSE)로 이루어진다. EV 안에서 전기차 통신 컨트롤러(EVCC)와 충전 설비 통신 컨트롤러(SECC)가 ISO/IEC 15118 표준에 따른 연결을 통해서 협상을 한다. EVCC가 온보드 충전 회로를 제어하고, HMI를 통해서 자동차 사용자에게 피드백을 제공하고, 자동차의 ECU와 긴밀하게 협상한다.
EVSE 측에서는 SECC가 자체적인 전기 에너지 미터와 협상을 하고 생성된 데이터를 지불 장치로 전달하고 EV로 물리적인 전기 공급을 최종적으로 제어한다. 또한 HMI를 통해서 자동차 사용자에게 매 단계의 진행 상황을 알려준다.
이러한 각각의 기능들이 연결되는 지점에서 보안을 위해서 최신 암호화 기법을 사용해서 사용자 데이터와 인프라 무결성을 보호해야 한다.
보안의 중요성
최신 자동차들이 통신 채널을 통해서 어떻게 공격을 받을 수 있는지 다양한 사례들이 드러나고 있다. 제삼자로부터 이러한 귀중한 자산을 보호하기 위해서 제공되는 기술들까지도 공격에 취약한 것으로 밝혀지고 있다. 공격자들이 원격으로 자동차에 대한 제어를 장악하고 운전자가 차를 운전하고 있는 중에도 공격을 할 수 있다. e-모빌리티의 연결성이 높아짐에 따라서 공격 가능한 지점들이 빠르게 늘어나고 있다.
운전자의 스마트폰으로 블루투스 연결이나 다른 탑승자들을 위한 와이파이 같은 것들 또한 고려해야 한다. 모든 잠재적인 보안 위험성과 공격 가능한 지점들을 TPM 같은 하드웨어 보안을 갖춘 중앙의 보안 ECU를 거치도록 해야 한다.
대중적으로 접근 가능한 충전소에서 충전을 할 때는 전체적인 네트워크로 연결되고 그로 인한 모든 가능한 위험성을 내포한다는 점을 고려해야 한다. 이러한 시스템을 위해서는 고전력 고효율 반도체와 수백 볼트를 처리할 수 있는 수동 부품들을 필요로 한다. 이 점에서 자동차 설계의 대대적인 변화를 필요로 하며, 공공 장소에서 충전을 할 때 자동차와 인프라 사이에 전달되는 정보를 식별하고, 인증하고, 안전하게 보호하는 것이 필요하다.
암호화를 사용해서 충전 인프라뿐만 아니라 이를 사용하는 자동차를 보호해야 한다. 충전소는 네트워크로 접근하는 관문으로서, 동일한 네트워크로 연결된 다른 디바이스들로부터 접근이 가능해질 수 있다. 이 점에서 전력망은 가장 규모가 큰 네트워크라고 할 수 있다. 그렇기 때문에 전력망으로 연결되는 자동차내에 고도로 보안적인 시스템이 필요하다.
ISO 15118 국제 표준에서는 “Plug & Charge”라고 하는 개념을 도입하고 있다. 이것은 현재 및 미래의 e-모빌리티 요구를 충족하기 위한 것으로서, AC 및 DC 서브시스템에 기반한 유선 및 무선 충전 기술을 사용해서 전기차를 보안적이고도 편리하게 충전할 수 있게 하기 위한 것이다.
“Plug & Charge”의 핵심은 기밀성, 데이터 무결성, 진정성을 보호하기 위한 것이다. 이것은 ISO 15118에서 대칭 및 비대칭 암호화와 관련해서 정의하고 있는 알고리즘을 사용해서 달성할 수 있다.
대칭 암호화는 단일 키를 사용해서 암호화와 암호해독 둘 다를 하는 것으로서, 가장 오래된 암호화 방식이다. 대칭 암호화를 위해서는 보내는 측과 받는 측이 보안 채널의 양 측에서 사용되는 단일 키에 대해서 합의해야 한다. 이 키를 사용해서 “Plug & Charge” 시스템내에서 데이터를 보안적으로 교환할 수 있다.
이와 달리 비대칭 암호화는 두 개의 서로 다른 키를 사용한다. 하나는 암호화를 위한 것이고, 다른 하나는 암호해독을 위한 것이다. “Plug & Charge” 시스템내에서 데이터 무결성과 인증을 위해서 이 방식을 사용할 수 있다. 비대칭 암호화는 암호화에는 공용 키를 사용하고 암호해독에는 개인 키를 사용한다. 두 키 사이에 근본적인 차이점은 없다. 공용이라는 용어를 붙인 것은 이 키를 비밀로 유지하는 것이 그렇게 중요하지 않기 때문이다.
공용 키가 노출되더라도 이를 사용해서 메시지를 암호화할 수는 있으나 메시지를 복원하거나 암호해독을 하지는 못한다. 그러므로 개인 키만 비밀로 유지하면 된다. 첨단 하드웨어 보안 기술을 사용해서 무단조작을 방지하는 보안적이며 인증 받은 마이크로컨트롤러로서 TPM은 개인 키를 보안적으로 저장할 수 있으며 이러한 암호화 키를 생성할 수 있도록 난수 생성기를 포함한다.
적절하게 설계된 비대칭 암호화는 공용 키나 암호화된 데이터로부터 개인 키를 도출할 수 없어야 하며 특정한 공용 키와 연관된 개인 키를 사용해서만 메시지를 해독할 수 있어야 한다. 일반적으로 보안 통신을 구현할 때는 플레인 텍스트를 공용 키를 사용해서 암호화하고 개인 키를 사용해서 해독하는데, 디지털 서명을 사용한 인증은 이것을 거꾸로 한다. 다시 말해서 개인 키를 사용해서 서명을 생성하고, 연관된 공용 키를 사용해서 서명을 확인하는 것이다.
“Plug & Charge” 애플리케이션에서는 비대칭 암호화를 사용해서 보안적인 연결을 구축하고, 디지털 서명을 사용해서 인증을 하고, 공통 키를 합의할 수 있다. 그런 다음 충전을 하는 동안의 나머지 모든 메시지 교환을 위해서는 대칭 암호화를 사용할 수 있다. 이것은 Elliptic Curve Diffie-Hellman 알고리즘을 포함하는 비대칭 암호화를 사용함으로써 필요한 컴퓨팅 용량이 대칭 암호화보다 높기 때문이다. 그러므로 두 암호화 방식을 모두 사용함으로써 프로세싱 부담을 덜면서 적절한 보안 수준을 달성할 수 있다.
이 전체적인 프로세스는 ISO 15118에서 공용 키 인프라(PKI)에 기반해서 정의하고 있는 디지털 인증서를 사용해서 제어된다. 이 표준에서는 인증 기관(CA)이 디지털 인증서를 어떻게 생성하고, 저장하고, 분배하고, 파기할 수 있는지 정의하고 있다.
“Plug & Charge”에 디지털 인증서를 사용해서 충전소 사업자, 인증서 제공 서비스(CPS), 모빌리티 사업자(MO), 자동차 제조사 또는 OEM을 비롯해서 전기차 충전 인프라에 관여된 당사자들을 인증하고 권한을 부여할 수 있다.
EV 충전 인프라에 관여된 이러한 당사자들의 정식성(authenticity), 교환되는 데이터의 무결성, 민감한 정보의 기밀성을 보호하기 위해서는, TPM 2.0에 따라서 인증을 받은 것과 같이 무단조작을 방지할 수 있는 인증 받은 마이크로컨트롤러가 필요하다. 이러한 마이크로컨트롤러를 사용해서 EV 충전 활용 사례를 보호하고 신뢰할 수 있는 e-모빌리티를 달성할 수 있다.
인피니언 테크놀로지스의 OPTIGA TPM SLI 9670은 AEC Q100 인증을 취득한 TPM으로서, 무단조작을 방지하고 보안적이며 인증 받은 마이크로컨트롤러를 기반으로 한다. 포괄적인 턴키 솔루션으로서 TCG 표준에 따른 펌웨어를 제공한다. 텔레매틱스 제어 유닛, 커넥티드 게이트웨이, 그 밖에 강력한 보안을 필요로 하는 여타 ECU에 사용하기에 적합하다.
맺음말
EV와 e-모빌리티를 지원하기 위한 인프라가 활발히 개발됨에 따라서 보안을 위해서 TPM(Trusted Platform Module)이 필요하게 되었다. 순수 전기차와 완전 자율 모빌리티를 향한 진화가 점점 빨라지고 있다. TPM을 사용함으로써 소비자와 자동차 회사 모두를 위해서 안전과 보안을 높일 수 있다.
글 / 마틴 브루너(Martin Brunner) 인피니언 테크놀로지스
