이봐, 찰리 밀러! 자율주행차 보안에 대해 이야기하자

Charlie Miller(Jeep의 원격 해킹 및 제어로 악명 높은)에 대한 Wired의 최근 기사에서는 안전한 자율 주행 차량을 구축하기 위해 "기업 간의 열린 대화와 협력"이 필수 전제 조건이라고 주장합니다. 한 때 거의 죽었지만 새롭게 부활한(빅 3 구제 금융을 기억하는가?) 자동차 산업의 미래를 지배하기 위해 많은 회사가 경쟁하고 있는 상황에서 이것은 다소 터무니 없는 것처럼 보입니다. 기사의 그 부분이 순진하게 들리긴 하지만, 내 마음을 정말로 사로잡은 것은 보안을 재설계하는 해답은 오로지 자율주행 자동차 산업에만 있다는 암시였습니다.

보안 개념은 자율주행 차량에만 국한된 것이 아닙니다. 그래서 그것이 사실인 척하는 것은 아무 유익이 없습니다. 모든 IIoT 산업은 유사한 문제를 해결하기 위해 노력하고 있으며 결과를 공유하는 데 놀라울 정도로 개방적입니다. 나는 Miller가 보안을 위한 이상적인 솔루션을 만들기 위해 다른 모든 산업을 통해 깨달음의 여정을 가야 한다고 말하는 것이 아닙니다. IIC(Industrial Internet Consortium)의 칭찬으로 이 작업은 이미 완료되었습니다.

IIC는 Bosch, Denso 및 TTTech와 같은 자동차 공급업체를 포함하여 여러 산업에 걸쳐 250개 이상의 회사로 구성되어 있으며 연결된 시스템에 대한 보안, 안전, 성능 및 비용의 균형을 유지하는 동일한 근본적인 문제를 가지고 있습니다. 유선인 경우 Miller는 열린 대화를 찾고 있습니다. IIC에서 진행 중입니다. IIC는 "무료 맥주"와 같이 모든 사람이 무료로 사용할 수 있는 Industrial Internet Reference Architecture를 발표했습니다. 특히 자동차가 운전자를 대신해 운전하는 경우에 그렇습니다! 이 문서의 확장은 산업 인터넷 연결 프레임워크(IICF) 및 산업 인터넷 보안 프레임워크(IISF)입니다. 이 문서는 비즈니스 관점에서 구현에 이르기까지 지침을 제공하며 IISF는 특히 Wired 연결 엔드포인트 및 이들 사이를 전달하는 데이터 보안에 대한 간략한 언급

나와 함께 잠재적인 적들로부터 보호하기 위해 커넥티드 카의 아키텍처를 수정하는 방법을 알아보십시오. 자동차에 대한 알려진 악의적인 공격이 없기 때문에 Miller의 Jeep 해킹으로 시작할 수 있습니다. Harmon Kardon 헤드 유닛의 백도어 "기능" 덕분에 Miller는 보호되지 않은 원격 명령을 아주 쉽게 실행할 수 있었습니다. 이 초기 익스플로잇을 통해 그는 CAN 버스에 연결된 칩을 다시 프로그래밍할 수 있었습니다. 거기에서 그는 차를 거의 완전히 제어할 수 있었습니다. "보호되지 않는 인터페이스를 제거하세요"라고 생각하고 계시나요?

Miller는 거기서 멈추지 않았을 것이고, 우리도 마찬가지입니다. ARM 칩을 다시 프로그래밍할 수 있는 액세스 권한을 부여한 익스플로잇을 여전히 찾을 수 있다고 가정하면 Wired 이 기사는 기본 커널에 대한 보안 부팅으로 시작하여 중요 전용 소프트웨어의 다음 단계에 ARM Trust Zone을 활용하고 더 높은 수준의 OS 및 응용 프로그램 프로세스에 대해 일종의 인증을 구현하는 등 인증된 응용 프로그램을 설정하는 것을 올바르게 제안합니다. 디바이스 엔드포인트가 신뢰할 수 있는 애플리케이션 스택처럼 보이기 시작할 수 있습니다(아래 그림 1). 현재 이 헤드 유닛의 비용이 얼마인지 짐작할 수 있을 뿐이지만 공정하게 말하자면 이는 신뢰할 수 있는 애플리케이션을 실행하기 위한 유효한 고려 사항입니다. 이제 문제는 보안은 고사하고 실제로 아무 것도 연결하지 않았다는 것입니다. 걱정 마세요. 길가에 두지 않을 거에요.

이러한 신뢰할 수 있는 응용 프로그램 중 다수는 CAN 버스에 직접 연결되어 공격 표면을 차량 제어로 확장합니다. 이러한 응용 프로그램 간에 전달되는 데이터는 승인되지 않은 데이터 작성자 및 판독기로부터 보호되지 않습니다. 자율 택시의 경우 유선 잠재적인 해커는 이제 대상에 물리적으로 액세스할 수 있으므로 응용 프로그램을 인수하거나 사기꾼을 도입할 가능성이 높아집니다. 이제 문제는 다음과 같습니다. 애플리케이션이 CAN 버스의 데이터와 서로를 신뢰할 수 있습니까? 계기판은 외부 온도 데이터를 어떻게 신뢰합니까? 정말 그럴 필요가 있나요? 아닐 수도 있고 괜찮습니다. 그러나 나는 차량 제어가 LIDAR, 레이더, 카메라 등을 신뢰해야 한다고 확신합니다. 누구나 마지막으로 걱정하고 싶어하는 것은 해커가 원격으로 차를 타고 즐거운 시간을 보내는 것입니다.

우리는 실제로 데이터 신뢰성과 액세스 제어에 대해 이야기하고 있습니다. Miller의 해킹에 대한 위험을 더욱 완화할 수 있는 두 가지 조항입니다. 레거시 응용 프로그램을 보호하는 것은 좋은 단계이지만 승인되지 않은 데이터 생산자가 시스템에 도입되는 시나리오를 고려해 보겠습니다. 이 침입자는 조향 및 제동을 제어하는 ​​메시지인 CAN 버스에 명령을 주입할 수 있습니다. CAN 버스는 데이터의 무단 게시자를 방지하지 않으며 데이터가 인증된 생산자로부터 오는 것을 보장하지도 않습니다. CAN 버스를 교체하는 것이 앞으로 나아갈 길이라고 제안하는 것은 아닙니다. 하지만 데이터 중심 솔루션으로 교체하는 것에 반대하지는 않습니다. 현실적으로 DDS(Data Distribution Services)와 같은 프레임워크를 사용하면 IISF의 지침에 따라 계층화된 아키텍처를 만들 수 있습니다(아래 그림 2). CAN 버스 및 중요한 드라이브 구성 요소는 DDS 데이터 버스 장벽을 생성하여 보안 위험을 완화할 수 있는 사실상 레거시 시스템입니다. 그런 다음 차량 제어를 더 이상 손상시키지 않고 DDS를 사용하여 새 구성 요소를 안전하게 통합할 수 있습니다. 그렇다면 DDS는 무엇입니까? 내 차량을 보호하는 데 어떻게 도움이 됩니까? 질문해 주셔서 감사합니다.

P2P 통신을 하는 자동차 센서, 컨트롤러 및 기타 "참가자"의 네트워크를 상상해 보십시오. 모든 참가자는 다른 참가자로부터 필요한 데이터만 수신하며 그 반대의 경우도 마찬가지입니다. P2P를 사용하면 해당 네트워크의 참가자가 상호 인증할 수 있으며 신뢰할 수 있는 응용 프로그램이 유지되는 경우 신뢰할 수 있는 연결도 마찬가지입니다. 이러한 P2P 연결을 어떻게 보호합니까? TLS, 맞죠? 가능하지만 차량 보안의 복잡성으로 인해 성능과 보안 사이에서 균형을 유지하고 액세스 제어 메커니즘을 적용할 수 있는 유연성을 원합니다.

산업 제어 시스템을 위한 연결에 대한 지침을 제공하는 IICF에 대한 대화를 잠시 백업하고 다시 방문하겠습니다. IICF는 기존 개방형 표준을 식별하고 이를 산업용 IoT 시스템의 정확한 기능에 간결하게 설명합니다. 자율주행 차량의 핵심은 멋진 공기역학적 차체와 가죽 시트 옵션이 있는 산업용 IoT 시스템입니다. 그렇다면 IICF는 산업용 IoT 시스템, 보다 구체적으로 자율 시스템을 위한 소프트웨어 통합에 대해 무엇을 제안합니까? 당신은 그것을 추측! DDS:OMG(Object Management Group)의 공개 대화를 통해 설계 및 문서화된 공개 표준 세트입니다. DDS를 활용하는 이상적인 자동차 솔루션을 통해 시스템 애플리케이션은 필요한 메시지만 게시하고 구독할 수 있습니다(자율 아키텍처에 대한 아래 그림 3 참조). 이 데이터 중심 접근 방식을 사용하면 안전에 대한 중요도 또는 데이터 무결성의 필요성에 따라 메시지를 구조적으로 분류할 수 있습니다.

이제 자율 주행 차량을 위한 연결 솔루션을 구축했으므로 보안과 TLS 대안에 대해 다시 이야기할 수 있습니다. 데이터 중심 메시징 프레임워크를 위한 데이터 중심 보안 솔루션입니다. DDS Security를 ​​통해 산업용 IoT 시스템 설계자는 보안 플러그인을 사용하여 TLS에서 제공하지 않는 필수 기능인 보안 및 성능 균형을 미세 조정할 수 있습니다(아래 그림 4). 선택한 데이터 주제만 인증하고 더 이상은 인증하지 않으시겠습니까? 확인하다. 민감한 정보만 암호화하고 더 이상은 암호화하지 않으시겠습니까? 확인하다. 사실 더 있습니다. 중앙 집중식 브로커를 제외하고 DDS Security는 단일 취약 지점 없이 참가자가 특정 주제를 게시하거나 구독할 수 있는 항목을 지시하는 분산 액세스 제어 메커니즘을 제공합니다. 즉, Miller의 무단 응용 프로그램은 제동 또는 조향을 제어하는 ​​명령을 게시할 수 있는 권한이 거부됩니다. 또는 Miller가 이동 중인 데이터를 손상시킨 경우 데이터 가입자는 메시지를 암호화 방식으로 인증하고 기존 정책과 일치하지 않는 모든 것을 삭제할 수 있습니다. 우리의 자율주행 차량이 이제 완전히 안전하다고 말할 수 있습니까? 아니요. Miller가 완전히 명확하게 말했듯이 아직 더 많은 대화가 필요하기 때문입니다. 그러나 DDS와 DDS Security는 자율 시스템을 연결하고 보호하는 데 필요한 미래 지향적인 유연성을 제공한다고 확실히 말할 수 있습니다.

Charlie Miller 씨(물론 Chris Valasek 씨도 마찬가지임)에게 귀하의 작업은 훌륭하고 비전을 불러일으키지만 원하는 경우 여러 산업 분야를 살펴볼 필요가 있다고 생각합니다. 자동차 아키텍처 재설계에 대해 공개적으로 이야기합니다. 당신과 세상의 다른 모든 Charlie Millers가 열린 대화를 원할 때 우리의 문을 두드리십시오. RTI에서는 자율성, 산업용 IoT, 안전 및 보안, 그리고 미래의 자동차를 정의해야 한다고 생각하는 모든 것에 대해 이야기할 준비가 되어 있습니다.