블록체인, 취약한 자동차 보안의 구세주 될까?

각 자동차 제조사들은 커넥티드카 및 시스템의 구현에 많은 노력을 기울이고 있다. 이 시스템은 사물인터넷(IoT)을 기반으로 한다. 이를 통해 도로 시스템 및 인접 자동차들과의 통신, 일상생활의 다른 편의 기능과 연계가 가능하다. 또한 시스템의 효율적 제어를 통해 개선된 도로 안전과 편의 구현에 기여할 것으로 기대되고 있다. 하지만 취약한 보안은 아직 풀어야 할 과제다. 그런 가운데, 가상화폐 열풍의 기술적 토대인 ‘블록체인’이 취약한 자동차 보안의 구세주가 될 것인지 관심을 모으고 있다.

빅 브라더 대신
신뢰할 수 있는 타인?

각 자동차 제조사들은 커넥티드카 및 시스템의 구현에 많은 노력을 기울이고 있다. 이 시스템은 사물인터넷(IoT)를 기반으로 한다. 이를 통해 도로 시스템 및 인접 자동차들과의 통신, 일상생활의 다른 편의 기능과 연계가 가능하다. 또한 시스템의 효율적 제어를 통해 개선된 도로 안전과 편의 구현에 기여할 것으로 기대되고 있다. 하지만 취약한 보안은 아직 풀어야 할 과제다. 그런 가운데, 가상화폐 열풍의 기술적 토대인 ‘블록체인’이 취약한 자동차 보안의 구세주가 될 것인지 관심을 모으고 있다.
이처럼 보안이 취약한 이유는 중앙집중형 서버와 모바일 기기의 취약한 보안 능력이 맞물린 결과다. 블록체인을 개발한 나카모토 사토시 역시 중앙집중형 서버의 위험을 인지한 까닭이었다. 그 계기는 2007년 미국 발 금융위기였다. 나카모토 사토시는 개인 간 거래를 통해 거래 원장을 분산시키는 기술을 개발했고, 거래 참여자들의 상호 확인을 통해 투명성과 신뢰성을 구현하고자 했다. 참고로 나카모토 사토시는 실존하는 개인인지 단체인지, 혹은 가명인지도 알려진 바 없는 존재다.

하나의 블록은 헤더(header)와 바디(body)로 이루어져 있다. 바디에는 거래(transaction)의 내용, 헤더에는 이전 거래의 해시(#, hash)와 타임 스탬프 그리고 넌스(nonce, 암호화와 관련되는 임의의 수) 등이 기록된다. 이 블록들의 연결을 블록체인이라고 하며, 헤더의 해시로 인해 이전 거래의 기록을 위∙변조하기 어렵다. 또한 이전 기록이 없는 최초의 블록은 제네시스 블록이라고 한다. 성경의 창세기에 기원한 명칭이다.


블록체인, 취약한 자동차 보안의 구세주 될까?
블록과 블록체인의 기본 개념

블록체인은 모두에게 공개되는 거래 장부인 퍼블릭 블록체인과 1개의 주체가 내부 전산망을 활용하는 프라이빗 블록체인 그리고 미리 선정된 주체만 참여하는 컨소시엄 블록체인이 있다. 언급한 순으로 진입장벽이 높아진다. 퍼블릭 블록체인은 가장 탈 중앙화 경향이 강하며 각 개인의 활동을 제어하는 주체가 없다. 대표적인 것이 가상화폐 중 이더리움이다. 프라이빗 블록체인은 이와 달리 네트워크의 입력 권한을 특정한 주체가 갖고 있다. 특정한 조직 내부에서 의사 결정을 투명하게 하는 데 유리한 것으로 알려져 있으며 의료 시스템 등에서 응용될 조짐도 보이고 있다. 컨소시엄 블록체인은 이러한 프라이빗 블록체인 사이에 존재하는 것으로, 스마트 계약, 결제 등에 응용할 수 있는 것으로 알려져 있다.

블록체인이 자동차 보안을
구현하는 방법은?

자동차 제조사들의 스마트키 시스템 및 컴퓨터와 네트워크를 활용한 인포테인먼트 편의성은 매우 높은 수준으로 발전했다. 먼 거리에서도 자동차의 공조 장치를 미리 조절할 수 있고 전기차의 경우 충전 상태 등을 확인할 수 있다. 그러나 모바일 디바이스처럼, PC 환경보다는 보안 성능이 취약할 수밖에 없다. 실제 스마트키가 적용된 자동차들을 해킹해 탈취하는 범죄는 지구촌 곳곳에서 일어났다. 또한 2016년 독일의 아데아체(ADAC, 독일자동차클럽)은 BMW 7시리즈, 폭스바겐 골프, 현대차 싼타페 등을 포함한 24개 차종의 스마트키 시스템이 도난으로부터 취약하다는 점을 경고했다.

블록체인의 장점은 앞서 살펴보았듯 보안 키가 특정 서버에 집중되지 않고 거래에 참여하는 주체들에게 공개된다는 것이다. 즉 다수에 의한 감시체계 작동이 가능하다는 의미이다. 블록체인 기술은 자동차의 사물인터넷과 텔레매틱스 시스템 이용 시의 보안뿐만 아니라 생산, 자동차 금융, 스마트 계약, 보험, 기업 매니지먼트 등 자동차 산업 전반에 광범위하게 적용될 수 있다. 예컨대 보안의 경우 자동차 절도범들은 자동차를 훔치는 과정에서 단순히 전파만을 인식하는 것이 아니라 많은 유저들이 지켜보고 있는 가운데 생성되는 개별블록의 인증 키를 모두 획득해야 하는 번거로움이 생긴다. 뿐만 아니라 스마트 디바이스를 활용해 차를 작동시키는 렌터카의 보안도 더욱 철저하게 구현할 수 있다.

때문에 블록체인의 자동차 테크놀로지 접목은 자동차 제조사들에게 희소식이며 반드시 수행해야 할 과제다. 특히 포드, 르노, BMW 등 주요 제조사들은 2017년 IBM을 비롯한 주요 IT 기업들과 모비(MOBI, Mobility Open Blockchain Initiative)라는 컨소시엄을 출범했다. 이 컨소시엄은 자동차의 데이터, 히스토리 추적, 블록체인 추적 및 투명성 확보 등을 위해 협력을 진행 중이다.

블록체인 기반의 자동차 보안,
완전무결한가?

그렇다면 블록체인 기술과 자동차의 만남은 완벽한 보안 시스템을 만들어낼 수 있을까? 가부에 대해 이야기하기 전에 여기에는 몇 가지 전제 조건이 필요하다고 전문가들은 지적한다. 우선 디바이스 즉 자동차가 해당 네트워크에 안전하게 인증되어야 한다. 또한 이용자들의 신원정보 확인도 문제다. 이는 자동차의 수출 및 수입과도 직결되고, 해당 시장의 정책 등에 따라서도 달라질 수 있다. 예컨대 EU의 강화된 개인정보보호법(이하 ‘GDPR’)은 높은 수준의 신원 보장을 요구하는 암호화폐 시장에 부정적인 영향을 행사할 것으로 전망되고 있다. 실제 이더리움의 주요 계획은 GDPR로 인해 중단된 것으로 알려졌다. 블록체인이 저작권 보호의 수단으로도 고려되고 있는 점을 감안하면 역설적인 상황이다.
또한 블록체인을 이용한 차량의 데이터를 가로채는 중간자 공격이 불가능하리라고 단정할 수 없다. ‘지키는 사람이 열이라도 도적 한 명을 못 당한다’는 속담은 비단 한국에만 통용되는 것이 아니다. 부당한 수법으로 이익을 편취하려는 세력은 시스템이 아니라 인간의 욕망을 읽기 때문이다. 거래를 지켜보는 눈이 많다고 해서, 룰을 깨고 자신의 이익만을 극대화하려는 욕망이 완전히 사라졌다고 볼 수 없다. 블록체인의 보안성을 허물려는 공격이 사건화된 경우는 없지만 법조계는 조만간 이러한 문제가 등장할 수 있다고 보고 있다. 커넥티드카 시대를 바라보는 자동차의 보안 역시 이러한 문제들로부터 자유로울 수는 없을 것이다.

실제 지난 6월 6일, 한 암호화폐 거래소는 이중지불이라는 새로운 수단의 공격을 통해 해커의 주소로 상당한 액수의 암호화폐가 전송되는 사고도 있었다. 이는 해킹은 불가능하지만 비정상적인 거래를 정상적으로 위장하는 방법이다. 또한 아직 수법은 정확히 알려지지 않았으나, 6월 새벽에는 국내 최대 암호화폐 거래소가 해킹당해 350억 원 이상의 암호화폐가 도난당하기도 했다. 이 때문에 블록체인의 허점이 생각보다 큰 것이 아니냐는 우려도 낳고 있지만, 한편으로 IT와 법조계에서는 언제든 일어날 일이었다고 보는 시각도 강하다. 따라서 자동차가 연관되어 있는 다양한 사물인터넷 서비스에서도 이러한 일이 일어날 위험성은 배제할 수 없다.


블록체인, 취약한 자동차 보안의 구세주 될까?
이미 블록체인을 향한 범죄의 공격은 시작됐다

물론 이미 정보공학 분야에서는 중간자 공격, 세션 키 유출 등의 위험이 가시적인 것으로 보고 대응책을 연구하고 있다. 특히 일정 단계를 통과하는 보안 세션마다의 키를 탈취하려는 경우, 복잡한 연산을 통해 공격자가 원하는 정보가 아닌 다른 정보를 얻게 하도록 하는 전략의 연구가 진행 중이다. 또한 거래 검증 절차와 그 횟수를 늘리는 방법도 강구되고 있다.


블록체인, 취약한 자동차 보안의 구세주 될까?
화웨이와 협업으로 커넥티드카 플랫폼을 개발한 PSA 그룹

블록체인, 취약한 자동차 보안의 구세주 될까?
차량의 구매와 수리 등에 블록체인을 활용할 계획을 밝힌 르노

블록체인은 분명 네트워크상의 거래에서 높은 수준의 투명성과 안전성을 보장한다. 그러나 어떤 기술적 수단이 등장하든, 그것은 사용하는 인간의 의지에 따라 가치와 성격이 결정된다. 어쩌면 블록체인의 자동차 보안 적용이라는 과제는, 인간이 구축할 수 있는 윤리적 시스템의 한계에 대한 준엄한 시험일 수도 있다.


한명륜 기자