Cybersecurity for autonomous vehicles:Review of attacks and defense

출처 : https://reader.elsevier.com/reader/sd/pii/S0167404820304235?token=99B22C4E7DFA4AFA4158B4DABD52B6513DAA469AE642A15452EDDD590DF9415C9BD72DBDC3243B0784FDEE4688BE20BD&originRegion=us-east-1&originCreation=20230206032810 

Cybersecurity for autonomous vehicles: Review of attacks and defense

1. Introduction

스마트 카는 스마트 시티의 중요한 요소 중 하나임. 2005년에 jeep 차에서 차를 즉시 멈출 수 있는 취약점이 발견됨.

이 논문은 2008년부터 2019년까지 자동차에 관한 공격과 방어 기법에 대한 논문 151개를 정리한 것이다.

논문 키워드는 autonomous vehicles, connected-car, cyber, V2X, autonomous, attack, autonomous, security이다.

미래엔 자동차 내부의 요소 보다는 V2X기술에 관한 공격과 방어가 더 진행될 것이다.

인공지능을 활용한 보안이 연구 트랜드로 나타난다.

 

5. Summary and conclusion

CAN과 ECU에 관한 연구가 2017년에 활발히 진행됐다. 최근엔 위험 디자인과 공격 가능  시나리오에 대해 연구가 진행됐다.

방어에 관해선 CAN 네트워크, 인증 프로토콜 보안, 침입탐지에 관한 방어 연구가 진행됐고 머신러닝을 활용한 기술들도 제안된다.

베이지안 네트워크나 DBN과 같은 머신러닝과 딥러닝 기술을 활용한 IDS 모델이 연구된다.

미래엔 폭스바겐, BMW, 벤츠, 현대 같은 자동차 회사들이 구글이나 애플 같은 IT 기업들 수준으로 드라이빙 기술을 발전시킬 것이다.

자동차에 대한 사이버공격이 발전되면서 도시에서의 인간의 안전에 큰 영향을 미칠 것이다. 

 

2. Key Elements of autonomous vehicles

 

(1) Automotive Control System

(2) Autonomous Driving Systems Components

(3) Vehicle to Everything

 

3가지로 자동차의 주요 구성요소 구분

(1) Automotive Control System

ACS는 메인 장비를 다른 장비와 연결해주는 자동차 네트워크로 구성되어 있다. 

주요 부품은 유닛과 네트워크로 구분된다. 가장 중요한 유닛은 electronic control units(ECU)이다. ECU는 자동차 엔진의 변속상태를 조종하고 차량 내부의 센서를 관리한다. ECU의 대표적인 타입은 차량 몸체 컨트롤 모듈과 동력 전달 장치 컨트롤 모듈이다. 몸체 컨트롤 모듈은 문, 의, 파워락, 에어백, 에어컨, 시스템, 라이트 컨트롤 등을 포함하고, 동력 전달 장치 컨트롤 모델은 ABS, 엔진 컨트롤 유닛, 변속 컨트롤 유닛 등이 있다. 

특히 소형, 중형 차는 50개 정도의 ECU를 가지고 있고, 세단의 경우엔 70개 정도의 ECU를 가지고 있다.

 

네트워크는 ECU들 사이에서 데이터를 전송하는 역할을 한다. 이 네트워크에는 controller area network(CAN), local interconnect network(LIN), domestic digital bus, FlexRay, Ethernet, media-oriented systems transport, interface description block, low-voltage diffierential signaling 등이 있다.

 

CAN 프로토콜은 ISO 표준 데이터 커뮤니케이션이다. CAN은 차량 시스템, 엔진관리 및 변속에서 가장 핵심 네트워크다. CAN ID(identifier)는 11비트 프레임워크이고 IDH와 IDL로 구분되거나 싱글 ID로 사용되는 합쳐진 형태이다.

CAN ID가 02B3이면 IDH는 02이고, IDL은 B2이다. 

LIN은 느린 속도의 single-master 네트워크로 도어락이나, 기온 조절, 안전 벨트, 선루프, 사이드 미러 컨트롤 등을 담당한다. 

FlexRay는 차세대 자동차 버스 기술로 빠른속도와 오류방지를 제공한다. 

 

(2) Autonomous-Driving-System 구성요소

자동운전시스템의 가장 중요한 요소는 불빛탐지와 LIDAR 센서, 비디오 카메라 , GPS, radio detection and range(RADAR), 중앙 컴퓨터, ultrasonic sensor이다.

 

LIDAR는 물체를 탐지하고 거리를 조절하는 기술이다. LIDAR는 단파장레이저를 이용해 높은 측정 정확도를 보여주고 RADAR보다 공간 해상도가 높다.

비디오 카메라는 신호 불빛과 로드 사인을 읽거나 보행자와 사물을 모니터하는데 사용한다. 

GPS는 세개 이상의 GPS 위성으로부터 자동차의 위치를 결정하기위한 신호를 전달받는다.

RADAR는 거리, 방향, 각도, 주파수를 이용해 대상의 속도 등 즉각적인 차량환경을 인식하는데 사용한다.

중앙컴퓨터는 모든 센서로부터 오는 정보를 받고 조정장치, 악셀, 브레크 등을 관리하고 컴퓨터 소프트웨어는 정규적이나 비정규적인 도로 상태를 해석한다.

초음파 센서는 커브나 가까운 자동차와 같이 매우 가까운 물체의 위치를 측정하는데 사용한다.

 

(3) V2X 

자동차와 외부 장치간의 네트워크 커뮤니케이션은 V2X를 선호한다. V2X 기술은 V2V, V2I, vehicle to network로 구성되어 있다.

Vehicle ad-hoc networks(VANETs)는 DSRC에서 사용된다. DSRC는 차량 내부 OBU와 도로 등의 RSU에 탑재되어 있다. 

OBU는 소통컨트롤유닛, 라우팅 테이블, 지역동적맵으로 구성되어 있다.

소통컨트롤유닛은 차량 내부와 외부가 소통하기위한 유닛이다. 

라우팅 테이블은 주변 차량 정보와 타임스탬프를 저장한다.

지역동적맵은 도로컨디션과 차량 주변 교통 상황 정보를 저장한 맵데이터베이스이다.

 

RSU는 V2I 소통을 위한 장비이다. 모든 차량의 트래킹 정보를 얻기위해 유무선 네트워크 지역서버를 이용해 소통한다.

서비스 구조는 교통관리 시스템, 공개키 시스템, RSU 관리 센터로 구성.

 

V2X를 위한 다른 구조는 LTE 등 모바일 네트워크인 Cellular V2X이다. C-V2X는 DSRC보다 넓은 지역, 인프라가 존재하고, 보안 요소가 있는 환경에서 뛰어나다.

3장에서는 V2X의 취약점을 확인한다.

 

3. Attacks on autonomous vehicles

자동차의 구성요소와 타임라인에 기조해서 사이버 공격을 알아본다.

공격은 (1)자동 컨트롤 시스템, (2)자동 드라이빙 시스템 구성요소, (3) V2X, (4) 위험관리 리뷰,조사 4개로 나뉜다.

 

1) Attacks on automative control system

컨트롤 시스템에 대한 공격은 ECU, 차량 내부 네트워크, 자동차 키에 대한 공격이다.

 

(1) ECU 공격

위 table 4는 CAN을 사용하는 ECU에 탑재된 요소들이다.

Experimental security analysis of a modern automobile, Security and Privacy (SP), 2010 IEEE Symposium on, IEEE (2010) 논문에서는스니핑, 리버싱 퍼징 등을 이용해 인증 부족, 약한 접근 제어, DoS 등의 취약점을 가지고 있다는 걸 증명했고, 펌웨어 로딩으로 원격 도어락 조절, 악의적인 차량 속도 조절과 계기판에 임의적인 메세지 노출 등을 할 수 있다.

 

Security and privacy vulnerabilities of in-car wireless networks: a tire pressure monitoring system case study논문에서는 타이어압력 모니터링 시스템(TPMS)에서 무선으로 개인 정보를 스니핑할 수 있다고 했다. TPMS는 암호화 알고리즘을 사용하지 않는다. 각 패킷에 고정된 센서ID를 보내는데 이걸로 차량 추적이 가능하다. 게다가 전송된 메세지엔 인증이 없어서 ECU에서도 입력 값에 대해 인증을 하지 않는다. 이를 이용해 공격자는 고속도로에서 옆의 차량의 타이어 압력 경고등에 악의적인 메세지를 띄우거나 TPMS를 끌수 있다.

 

Attack surface and vulnerability assessment of automotive Electronic Control Units논문에서는 ECU 개발 데이터와 소프트웨어 이미지를 이용해 자동화 공격 방법을 제시했다. 이 방법은 코드리뷰나 삽입 테스트를 쉽게하기 위한 방법이다.

공격 인터페이스는 진단 프로토콜과 USB, 드라이버,로우레벨 하드웨어 인터페이스 같은 외부 인터페이스를 포함한다.

 

 

Embedded Security for Vehicles 논문에서는 CAN과 같이 ECU소프트웨어의 취약점과  트리코어 아키텍쳐에서 가능한 보안 대응책을 설명한다. 논문에선 Automotive Open System Architecture(AU-TOSAR)프레임워크에 대해 설명한다.

 

Truck Hacking: an Experimental Analysis of the SAE J1939 Standard논문에서는 대형버스(스쿨버스, 덤프트럭)에 대해 설명한다. 대형버스들은 같은 표준을 사용하고 있고 특정한 공격이 버스의 ECU와 CAN 등에 중요한 영향을 미칠 수 있다고 설명한다. 

 

Free-Fall: hacking Tesla from Wireless to Can Bus 논문에서는 전기차의 취약점에 대해 다룬다. 논문에서는 어떻게 ECU가 임의적인 CAN 패킷을 최신 펌웨어의 테슬라에 보내 원격 조종하는 방법에 대해 설명한다.

브라우저의 취약점을 찾은 다음에, 와이파이 핫스팟으로 끌어들이는 공격을 한다.

무선기술을 통해 차량  시스템에 손상을 주고, 악의적인 CAN 메세지를 전송한다. 

 

Wireless Security Within New Model Vehicles논문에서는 해킹에 대해 어떻게 방어할건지 다룬다.

여기선 해킹을 3가지 스텝으로 정의했다. 1. 원격으로 타협하기 2. 사이버나 물리적 요소를 통해 메세지 삽입하기 3. ECU가 공격자가 원하는 일을 실행하기해킹 타입은 간접적 물리접근, 단거리 장거리 무선 접속, 동글기반 공격이 있다. 해킹 위협은 데이터 수집과 도청도 포함한다.

공격에 대한 대응방법은 안전한 차량을 디자인하고, 위협을 고려해야한다. 의심스러운 활동에대한 끊임없는 모니터링은 안전한 차량 네트워크를 위해 필요하다.

 

(2) In-vehicle network attacks

CAN과 FlexRay같은 내부 네트워크의 공격에 대한 연구가 있다.

Security threats to automotive CAN networks–practical examples and selected short-term countermeasures논문에서는  CAN 네트워크에서 차량 보안 위협에 대해 다룬다. 저자는 4가지 시나리오로 구분했다. 각 시나리오에선 공격 목적, 방법, 관련 시나리오를 특정했다.

 

An approach to specification-based attack detection for in-vehicle networks논문에서는 CAN 네트워크의 개념적 토플로지를 제안한다. 공격 모델에서 6가지 타입의 공격을 언급했다. 

 

A first simulation of attacks in the automotive network communications protocol flexray논문에서는 FlexRay 프로토콜에 대해 설명했고 이게 공격으로부터 잘 버틸수 있는지에 대해 평가한다. FlexRay를 사용하는 ECU가 공격받은 상황에서 실험하낟. 저자는 리딩과 스푸핑 2가지 공격에대해 설명한다. FlexRay는 데이터 암호화가 없다. 그래서 공격자는 버스에서 지나는 모든 데이터를 읽을 수 있다. 공격자는 미인증된 메세지를 생성하고 삽입해 보낼 수 있다.

 

Adventures in automotive networks and control units논문에서는 포드와 토요타에 대해 실험을 진행했다. 차량의 ECU는 블루투스나 telematics 장비 등 여러 인터페이스를 통해 RCE가 가능하다. obd2allinone.com. 사이트를 통해 OBD-II connector shell을 사용했다. 토요타의 CAN 메세지는 데이터 바이트 마지막에 체크섬 메세지가 포함되어 있다. 이 체크섬 메세지가 가장 중요한 점이다.