닫기

글로벌이코노믹

이스라엘 스타트업 카람바 시큐리티 "자동차 해킹 위험 휴대전화보다 훨씬 높다"

공유
1

이스라엘 스타트업 카람바 시큐리티 "자동차 해킹 위험 휴대전화보다 훨씬 높다"

휴대전화보다 훨씬 해킹에 위험한 자동차.이미지 확대보기
휴대전화보다 훨씬 해킹에 위험한 자동차.
이스라엘 스타트업인 카람바 시큐리티(Karamba Security)는 자동차 해킹 위험이 휴대 전화보다 훨씬 높다고 주장했다.

자동차가 연결성을 가능하게 함에 따라 사이버 보안이 위험에 처할 가능성이 높아졌다. 카람바는 설계에서 취약성 관리에 이르기까지 제품 보안을 포괄하는 종단간 솔루션을 제공한다. 이 회사는 동남아시장에서 더욱 많은 기회를 모색하기 위해 여러 아시아 기업과 투자 및 파트너십을 획득했다.
카람바는 아미 도탄(Ami Dotan), 데이비드 바르질라이(David Barzilai), 탈 벤-데이비드(Tal Ben-David) 및 아사프 하렐(Assaf Harel)에 의해 2016년 설립됐다. 자동차 및 EV 산업 외에도 이 신생 기업의 소프트웨어는 엔터프라이즈 에지 및 소비자 IoT를 지원한다.

카람바의 영업 및 마케팅 부사장 바르질라이는 자동차 해킹 위험이 휴대전화나 서버 보안 침해보다 훨씬 더 높다고 말했다. 왜냐하면 잠재적으로 생명에 영향을 미치고 사회에 막대한 피해를 줄 수 있기 때문이다.

EV 채택이 증가하고 자율주행차(AV) 개발이 추진력을 얻는 시기에 OEM(original equipment manufacturer)과 공급업체가 사이버 보안 문제를 올바르게 처리하는지 여부가 더욱 중요해졌다. 그러나 바르질라이는 테슬라와 같은 OEM이 자동차 사이버 보안을 다룰 때 휴대전화 제조업체와 동일한 사고 방식을 사용한다고 설명했다.

예를 들어, 19세의 독일 보안 연구원은 제3자 데이터 로거인 테슬라메이트(TeslaMate)를 통해 15개국에서 25개 이상의 테슬라를 해킹했다고 밝혔다. 미국 금융·비즈니스 뉴스 웹사이트인 비즈니스 인사이더에 따르면 이 연구원은 원격으로 자동차 문과 창문의 잠금을 해제하고 열쇠 없는 운전 기능에 액세스할 수 있었다.

바르질라이는 취약점이 타사 애플리케이션에서 발견되었지만 테슬라도 이 문제에 책임이 있다고 말했다. 이 회사는 자동차의 API (application program interface)를 타사 애플리케이션 개발자에게 공개하였고 휴대전화 생태계와 유사한 저품질·고위험의 타사 애플리케이션을 가능하게 했다. 따라서 이 차량은 사이버공격에 노출되었다. 그는 OEM이 최종 고객에게 제공되도록 승인하기 이전에 타사 보안품질을 검증해야 한다고 지적했다.

EV 단점은 내장형 충전기와 배터리 관리 시스템이 해킹에 약하다는 점이다. 바르질라이는 내장형 충전기가 와이파이(WiFi) 연결과 통신할 수 있기 때문에 보안에 취약하다고 말했다. 또 배터리와 매우 가깝기 때문에 해커가 EV 속도를 제어하고 원격으로 정지시킬 수 있다.
단일 목적 장치를 위한 결정적 솔루션

바르질라이에 따르면 자동차 산업은 기존 하드웨어 및 소프트웨어 라이브러리에 의존하는 경향이 있다. 이 전략은 변경의 필요성을 줄이고 사업계획이나 수익성에 영향을 줄 가능성이 적다. 따라서 카람바의 사업은 OEM과 공급업체가 비용이 많이 드는 R&D 프로세스와 공급망에 영향을 미치지 않으면서 차량과 장치를 보호할 수 있도록 함으로써 시작되었다.

수년간 이 회사는 사이버 노출에 대한 제품 사양 분석으로 시작하여 침투 테스트와 취약성 관리를 계속하는 제품 및 서비스의 종단 간 포트폴리오를 개발했다.

바르질라이는 카람바가 결정론적 알고리즘을 사용하여 소프트웨어에서 2진수들을 추출하고 해독하여 장치가 무엇을 하는지 이해한다고 밝혔다.

이 회사 부사장은 "단말기가 제대로 작동하지 않으면 분명히 해킹인지 확인하기 위해체크포인트를 설정할 수 있다. ECU(전자 제어 장치)와 같은 장치의 결정론적 특성을 통해 자동으로 장치를 무단(액세스)으로 잠글 수 있다"고 소개했다.

이 접근 방식은 휴대전화 솔루션에서 흔히 볼 수 있는 휴리스틱(자진발견적 교수법) 모델과 다르다. 바르질라이는 휴리스틱이 정상적인 것에 대한 통계적인 모델을 기반으로 한다고 주장했다. 따라서 모델과의 편차는 해킹 시도가 의심된다.

사람들이 휴대전화를 사용해 다양한 일을 하기 때문에 이 기기들은 개방형 플랫폼이어야 하고 휴리스틱 사이버 보안 솔루션에 적합해야 한다. 그러나 ECU와 같은 단일 용도 장치는 강화된 보호를 받기 위해 결정론적 솔루션이 필요하다.

아시아 시장에서의 존재감

2021년 12월, 카람바와 대만에 기반을 둔 반도체 메모리 제조업체 윈본드 일렉트로닉스(Winbond Electronics)는 자동차와 사물인터넷(Internet of Things, IoT) 요구사항에 맞는 협업 사이버 보안 솔루션을 발표했다.

바르질라이는 이 솔루션이 무선(OTA, Over-the-air programming) 업데이트를 위해 즉시 사용 가능한 윈본드 메모리를 포함한 장치를 제공하며, 이는 자동차 산업이 지향하는 방향이라고 소개했다.

윈본드 외에도 카람바는 많은 아시아 기반 회사와 관계를 구축했다. 예를 들어, 이 솔루션은 베트남 자동차 회사 빈패스트(VinFast)에서 만든 차량을 지원한다. 빈패스트는 또 2021년 12월 이 회사의 최신 자금 조달 라운드에 합류했다. 또 삼성 SDS는 카람바를 사물인터넷(IoT) 엔드포인트 보안 솔루션 제공업체로 선택하고 전략적 투자를 제안했다.

바르질라이는 아시아 시장, 특히 동남아시아 및 동아시아에 소재한시장들이 카람바에게 매우 중요하다고 말했다. 고품질 표준과 첨단 기술을 갖춘 많은 IoT 및 자동차 제품 제조업체가 이 지역에 모여 있다. 그들은 제품 사이버 보안을 보호하도록 요구하는 규정을 충족해야 한다. 카람바는 R&D, 검증 및 제조 프로세스에 값비싼 변경을 가하지 않고도 제조업체가 목표를 달성하도록 도울 수 있다.

차량 사이버 보안에 대한 우려가 높아짐에 따라, 사이버 보안 관리 시스템을 요구하는 ISO/SAE 21434 또는 UN 규정 155와 같은 업계 표준 및 규정이 작년에 발표되었다.

바르질라이는 자동차 공급업체가 충족해야 할 요구 사항이 있는지 OEM과 확인하도록 제안했다. 또한 격차 분석을 수행해 우선 순위를 지정해야 하는 사이버 보안 문제를 확인해야 한다.

바르질라이는 자동차 설계 및 구현 주기가 몇 년이 걸릴 수도 있기 ▲때문에 공급업체는 생산 지연과 비용 증가를 피하기 위해 요구 사항에 조기에 대응해야 한다고 강조했다.


김세업 글로벌이코노믹 기자