보안에 취약한 오픈소스 SW 채택 따라

커넥티드 카 등 미래 자동차를 준비 중인 완성차 업계는 오픈소스 기반 소프트웨어(SW)를 적극적으로 활용한다. 프로그램 설계에 들어가는 시간과 비용을 줄일 수 있기 때문이다.

하지만 반대급부로 보안 취약점이 발생할 가능성이 높다. 다수에 공개된 코드로 SW를 개발한 탓에 취약점을 노린 악성코드와 해킹 등 보안 위협이 수두룩할 수 있다. 제대로 된 보안 대책을 마련하지 않으면 안전에 치명적일 수 있다는 지적이 나온다.

5일 보안업계에 따르면 전기차와 커넥티드카 등 최신 차량에 추가되는 편의기능을 위한 SW는 차량의 네트워크 연결성을 증가시키는 장점이 있는 반면 오픈소스를 활용한 연결과 소프트웨어가 증가해 기존 자동차보다 보안상 허점도 많아져 악성코드 등 많은 위협에 노출된다.

현대자동차 그룹 기아에서 개발중인 커넥티드카에 대한 상세 설명 / 기아
현대자동차 그룹 기아에서 개발중인 커넥티드카에 대한 상세 설명 / 기아
오픈소스 SW는 소스코드(구체화된 프로그램 설계파일)를 기업이나 개발자 측에서 대중에 공개한 SW를 말한다. 곧바로 프로그램을 제작도 가능한 구체화된 설계파일을 활용할 수 있어 개발 기간이나 비용 단축에 큰 도움이 된다. 이에 많은 SW기업과 개발자가 적극적으로 이용하며 앱과 프로그램 등 ICT 서비스 개발에서 없어서는 안되는 존재로 자리매김했다.

완성차 업계는 커넥티드 카 등 미래차 시대로 접어들면서 SW와 오픈소스 개발 비중이 상승중이다. 과기정통부 분석에 따르면 자동차 원가 대비 SW 비중은 2030년까지 50% 수준이 된다. 30% 내외에 머물렀던 2010년 대비 2배 가까이 늘어나는 셈인데, 자동차에서 SW비중이 증가하면서 오픈소스 사용 SW도 자연스럽게 늘어났다. 업계에 따르면 자동차 SW에 사용된 오픈소스 비중은 30% 이상이다.

현대자동차와 볼보 등 완성차 기업은 자동차 SW의 개발자원을 일반에 제공하면서 완성차 업계 내 오픈소스 영역을 꾸준히 넓히고 있다. 볼보는 올해 2월 개방형 플랫폼인 ‘이노베이션 포털‘을 오픈하면서 자사의 안드로이드 오토모티브 운영체제(OS)를 공개했다. 안드로이드 오토모티브는 구글에서 제작한 자동차 개발용 오픈소스 플랫폼으로 완성차 기업이 입맛에 맞게 맞춤형 OS를 구성할 수 있다.

완성차 업계 관계자는 "과거 완성차 개발 단계에서 오픈소스를 활용한 소프트웨어가 활용되는 경우는 드물었다"며 "최근에는 플랫폼화를 통해 연구개발 단계에서 많이 사용되고 있고, 자율주행이나 커넥티드 카 적용을 위한 신뢰성 보장을 위해 구조 등에 대한 안전 기준이 높아졌다"고 말했다.

볼보에서 제공하는 안드로이드 XC40 리차지 오토모티브 오픈소스 플랫폼 / 볼보
볼보에서 제공하는 안드로이드 XC40 리차지 오토모티브 오픈소스 플랫폼 / 볼보
완성차 업계의 오픈소스 활용은 복잡도가 증가한 자동차 내 SW개발 속도와 완성도를 증가시키는 밝은 면도 있지만 노출된 코드의 취약점 공략으로 보안위협이 증가하는 양면성도 내포한다. 커넥티드 카와 자율주행차는 100개 내외 전자제어기(ECU)와 자동차 OS로 배터리 상태·주행상황 등 자동차 상태를 파악한다. 코드라인이 증가하고 네트워크와 연결이 잦은 만큼 보안위협과 접촉 가능성도 높아진다.

최근 완성차 업계에 제공되는 보안 솔루션도 오픈소스 증가와 취약점에 맞춰 개발단계에서 활용된 공개 소스코드를 분석하고 검증하는 형태로 운영되는 추세다. 완성차 기업은 자동차 내 SW안에 포함된 다량의 코드라인을 개별적으로 관리하고 평가하기 어려운데, SW에 사용된 오픈소스의 구성요소를 목록으로 만들고 각 취약점을 탐지하는 솔루션을 채용해 보안위협을 최대한 낮추기 위해 노력중이다.

보안 업계 관계자는 "자율주행과 커넥티드카의 핵심요소는 안전성과 보안으로 폭스바겐과 다임러 등 완성차 기업이 오픈소스 취약점 분석도구 등을 채용중이다"라며 "솔루션은 국제표준에 적합한 사이버보안과 기능안전 환경을 개발단계부터 구축하는데 활용된다"고 설명했다.

이민우 기자 minoo@chosunbiz.com