[현장] 자동차 사고기록장치 해킹 실증 “제조사 아니라 설계 문제”

By곽중희

자동차 사고조사의 핵심 증거로 활용되는 ‘사고기록장치(EDR·Event Data Recorder)’의 데이터가 기술적으로 변조가 가능한 구조라는 사실이 국내 연구진에 의해 처음으로 실증됐다. EDR 데이터가 조작될 수 있다는 것은 교통사고 원인 분석의 핵심 근거가 흔들릴 수 있다는 의미로, 사고조사 체계 전반의 신뢰성에도 중대한 영향을 미칠 수 있다.

EDR은 에어백을 제어하는 ‘에어백컨트롤유닛(ACU)’ 내부에 장착된 작은 저장장치로, 교통사고가 발생하기 전후 약 5초동안의 속도,분당 엔진 회전수(RPM), 브레이크·엑셀 조작, 충돌 강도 같은 주요 데이터를 자동으로 기록한다. 평소에는 짧은 주기로 같은 구간을 반복 저장하다가 급가속·급제동·충돌 등 특정 기준값을 넘으면 해당 시점의 데이터를 별도로 고정해 보존하는 방식이다.

단국대학교 지능형교통시스템보안연구실(이하 연구진)은 10일 한국자동차공학회 추계학술대회 발표에 앞서 진행한 EDR 해킹 시연에서 반복 충돌 실험을 통해 EDR 데이터 구조와 무결성 검증 방식에서 암호 기반 보안 기능이 적용돼 있지 않다는 점을 확인했다고 밝혔다.

연구진을 이끌고 있는 우사무엘 단국대학교 SW융합대학 소프트웨어학과 교수는 “이번 실증이 특정 자동차의 제조사만의 문제로 오해되지 않아야 한다. 급발진 논란, 조작 의혹과는 무관하다”며 “이는 EDR 장치의 구조적인 설계 문제”라고 강조했다.

단국대학교 연구진이 해킹 실험에 사용한 ACU(Airbag Control Unit, 에어백컨트롤유닛) 장치 (사진=바이라인네트워크). EDR은 ACU에 포함돼 있다.

EDR 내부 구조에서 드러난 비보안적 설계

이번 실증은 EDR 해킹을 목적으로 시작된 것이 아니라 사고로 손상된 EDR 칩을 복구하기 위한 디지털포렌식 연구 과정에서 시작됐다. 연구진은 실차 기반 충돌을 반복 재연할 수 있는 ‘차량 연동 시뮬레이션VILS(Vehicle-in-the-Loop Simulation)’를 구축하고, 가상 주행·충돌 시그널을 실제 차량에 입력하며 수십 회의 사고 데이터를 수집했다.

이러한 과정에서 속도·RPM·브레이크·잠김 방지 제동 장치(ABS) 같은 주요 데이터는 고정된 바이트 위치에 저장되며, 브레이크는 ‘01(OFF), 02(ON)’과 같이 단순한 패턴을 갖는다는 구조를 밝혀냈다.

EDR 해킹 시연을 하고 있는 단국대 연구진

연구진이 반복 충돌 실험을 통해 수집한 데이터를 비교한 결과, EDR이 어떤 방식으로 값을 저장하는지, 또 사고 전후 구간을 어떤 단위로 나누어 기록하는지까지 모두 역으로 확인할 수 있을 만큼 패턴이 일정했다.

문제는 이렇게 저장 구조가 명확함에도 이를 조작하는 것을 방지할 보안 장치가 부족하다는 점이다. 연구진은 현재 사용되는 EDR 상당수가 단순 체크섬 방식, 즉 ‘1비트 개수를 합산해 일치 여부만 확인하는 방식’으로 데이터의 무결성을 판단하고 있음을 확인했다. 만약 일부 비트를 조정한 뒤 다른 값을 보정하면 합계는 그대로 유지될 수 있어 조작이 발생해도 이를 탐지하지 못하는 구조적 한계가 있다. 이 방식은 위·변조를 차단하는 최소한의 보안 요건을 충족하지 못한다는 것이 연구진의 설명이다.

연구진이 디지털포렌식 장치를 통해 ACU 내에 있는 EDR에서 데이터를 추출해내고 있다. ACU 내부 EEPROM 칩에 ‘직접 프로그래머(리더)’를 연결해 데이터를 읽어내는 방식을 사용했다.
연구진이 조작을 시연한 EDR 데이터 보고서 일부. 이 값을 조작해 EDR 데이터의 무결성 체크를 우회할 수 있다는 것이 연구진의 설명이다. (사진=바이라인네트워크)

연구진에 따르면, 실제로 EDR 내부에는 ▲암호 기반 서명 ▲보안 모듈(HSM)을 통한 키 관리 기능 ▲데이터가 원본인지 여부를 검증하는 위·변조 탐지 기능 등 기본적인 보안 요소가 거의 적용돼 있지 않았다. 저장 구조는 역추적할 만큼 규칙적이지만, 그 구조를 보호하는 보안 장치는 사실상 공백인 상태라는 설명이다.

우사무엘 교수는 “이러한 구조에서는 일부 비트(값)를 조정하고, 다른 데이터의 비트를 조정하는 방식으로 값을 끼워 맞춰 EDR 데이터의 무결성 검증을 우회할 수 있다”고 설명했다.

연구진은 이를 실험적으로 검증해, 브레이크를 밟지 않은 사고 데이터를 ‘브레이크를 밟은 사고’로 보이게 변환하는 시나리오를 재현했다. 브레이크 값(01→02)을 조정하고 압력·속도·RPM 등 데이터를 브레이크 값에서 뺸 만큼 더하고 등 값을 맞춘 뒤 보고서를 생성했다, 그러자 사고 직전 브레이크를 밟은 것처럼 보이는 정상적인 브레이크 ON 패턴의 보고서가 출력됐다. 전체 합만 맞으면 무결성에 문제가 없는 듯 보이는 것이다.

우 교수는 “겉으로 보기에는 보고서가 완전히 정상이고 수치나 그래프 흐름도 자연스럽기 때문에 현재 구조에서는 EDR이 원본인지 조작된 것인지 보고서만으로는 사실상 판별하기 어렵다”며 “위·변조 여부를 기술적으로 확인할 수 있는 장치가 없다는 점이 EDR 데이터에 별도로 무결성을 위한 보안 기능을 도입해야 한다고 주장하는 이유”라고 강조했다.

이어 그는 “누가 EDR 데이터를 조작해 왔다는 것은 아니”라며 “다만, 조작을 막는 보안 기능이 구조적으로 존재하지 않는다는 점을 확인한 실험”이라고 강조했다.

아울러 “‘전기적 소거·재기록이 가능한 읽기전용 메모리(EEPROM)’ 기반 EDR을 사용하는 다수의 완성차 제조사(OEM)이 동일한 구조적 한계를 가지고 있을 것”이라고 덧붙였다.

연구진은 해당 취약점을 올해 6월 실험한 자동차의 제조사 측에 전달했다. 우 교수는 “제조사가 취약점 자체를 부정한 것은 아니며, 구조적 보완 필요성에는 충분히 공감했다”고 설명했다.

‘EDR 보안 설계시급

연구진에 따르면, 국립과학수사연구원 교통과가 2020년부터 2024년까지 분석한 급발진 의심 사고 370건 중 316건이 ‘페달 오조작’으로 분류됐다. 판단의 핵심 근거는 대부분 EDR에 기록된 브레이크·엑셀 값이었다. 이런 상황에서 EDR 데이터의 무결성을 보장하는 구조가 갖추어져 있지 않다면, 사고조사 체계 전체의 객관성에도 직접적인 영향을 줄 수밖에 없다.

연구진은 이번 실험의 의미가 “단순한 기술 취약성 발견이 아니라, 사고조사 절차의 신뢰성과 법적 증거 체계의 근간을 확인하는 문제”라고 설명했다.

연구를 토대로 연구진이 도출한 대책은 크게 두 갈래다. 우선 ‘EDR 장치 자체의 구조 개선’이다. 현재 대부분의 EDR은 단순 체크섬을 기반으로 데이터 손상 여부만 확인할 뿐, 암호 기반 서명이나 키 관리, 해시 검증 같은 기본적인 보안 기능을 포함하고 있지 않다.

우 교수는 “장치 단계에서 데이터의 진위를 확인할 수 있는 보안 설계가 반드시 필요하다”고 강조했다. 이는 IT 분야에서는 이미 표준으로 자리잡은 기술이지만, 자동차 안전장치 영역에는 아직 본격적으로 적용되지 않고 있는 부분이다.

두 번째는 ‘보안 설계가 도입되기 전까지의 실무적 보완책’이다. 사고 현장에서 원본을 온전히 확보할 수 있도록 디지털포렌식 절차를 강화하고, 데이터 변형이나 손상 가능성을 최소화하는 장비를 사용하는 방식이다.

연구진은 이번 실험의 또 다른 결과로 사고 현장에서 EDR 칩을 추출해 이미징하는 과정의 신뢰성을 높이기 위한 ‘EDR 이미저(Imager)’도 개발했다고 밝혔다.

우 교수는 “보안 기능이 없는 현재 구조에서 가장 중요한 것은 원본 확보”라며 “현장 보존 절차만 강화해도 사고조사의 객관성을 일정 부분 보완할 수 있다”고 말했다. 이어 “EDR은 사고의 진실을 복원하는 핵심 증거 장치”라며 “따라서 그 데이터를 보호하는 보안 기능이 필수이며, 앞으로의 사고조사를 더 정확하게 만들기 위한 설계 변화”라고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.