차량 해킹에는 이미 15 년의 가계도가 있습니다. 오늘날 인터넷에 연결된 도로에는 3 천 6 백만 대 이상의 차량이 있지만 제조업체는 인터넷 시대의 가장 큰 보안 위기에서 거의 배우지 못한 것으로 보입니다. 사이버 보안은 여전히 ​​상호 연결된 차량 엔지니어링의 핵심 부분이 아니라 나중에 생각할 수 있습니다.

해커는 성능 과급기와 연료 인젝터를 제어하는 ​​엔진 관리 기술을 목표로 2002 년경에 시작했습니다. 2005 년 Trifinite는 블루투스를 사용하여 차량 내 오디오 신호를 비밀리에 가로 채거나 전송하는 방법을 시연했습니다. 2007 년 영국의 회사 인버스 패스 (Inverse Path)는 해커가 FM을 통해 가짜 트래픽 업데이트를 전송하여 차량 내 경로를 변경함으로써 차량 내 네비게이션 시스템의 무결성을 손상시키는 방법을 보여주었습니다.

2010 년에는 자동차 자체의 이동성에 영향을 줄 수있는보다 극적인 개입이 실험에 착수했습니다. 텍사스에서 불만을 품은 전직 자동차 대리점 직원은 도난 된 자격 증명을 사용하여 웹 기반 차량 고정 콘솔에 액세스했으며 이전 고용주가 판매 한 자동차를 체계적으로 "차단"하기 시작했습니다.

이 원격 공격은 애프터 마켓 차량 이모빌라이저 (후 불자에게 기침을 장려하도록 구현 된)에 의존하고 있으며, 따라서 연결된 차량의 약점으로 직접적으로 기인 할 수는 없다고 주장 할 수 있습니다.

원격 해킹이 현실이 됨

그러나 2015 년 Charlie Miller와 Chris Valasek이 공공 고속도로에서 운전중인 지프 체로키를 원격으로 지휘 할 수 있었을 때 그러한 주장은 적용되지 않았습니다. 차량 엔터테인먼트 소프트웨어에서 제로 데이 취약점을 악용하여 대시 보드 기능, 스티어링, 브레이크 및 변속기를 인수 할 수있었습니다.

2 년 후 Miller와 Valasek은 제한된 온보드 디지털 보안 및 오류 수정 메커니즘을 우회하고 브레이크를 밟고 가속하고 돌리면서 효과적으로 차량을 완벽하게 제어 할 수있는 지점으로 연구를 개선했습니다. 어떤 속도로든 휠.

Miller와 Valasek은 이러한 두 번째 공격을 원격으로 수행하지 않았지만 차량 내 컨트롤러 영역 네트워크 (CAN 버스)에 직접 연결된 랩톱을 사용하여 공격에 집중했지만, 초기 연구에 따르면 이러한 가능성은 여전히 ​​남아 있습니다.

완전 자율 주행 차량은 전 세계 대부분의 도로 네트워크에 대해 아직 라이센스가 부여되지 않았으며 커넥 티드 카 산업은 아직 초기 단계에 있습니다. 그렇다면이 연구와 관련 취약점 및 악용은 우리의 미래에 어떤 의미가 있습니까?

2015 년에도 Miller와 Valasek는 도로에서 471,000의 지프 체로키를 원격으로 식별 할 수있었습니다. 완전 자율 주행 차량의 채택률에 대한 추정치는 다양하지만 BCG의 한 연구에 따르면 2035 년까지 전 세계적으로 매년 1,200 만 대 이상의 완전 자율 주행 장치를 판매 할 수있을 것으로 추정되며, 그 중 25 %를 차지하는 1 천 8 백만 개의 반 자율 장치가 새로운 자동차 시장.

미래에 적합하지 않은 현재 기술

우리는 이미 모든 회사가 어느 정도 소프트웨어 회사 인 세상에 살고 있습니다. 물류, 의료, 농업 또는 자동차 산업이든, 제품과 관련 생태계는 이미 고도로 디지털화되고 소프트웨어 중심이며 상호 연결되어 있습니다.

불행히도, 많은 전통적인 제조업체는 전문 분야에서 고도로 숙련되었지만 이전에는 설계 단계에서 디지털 보안을 고려할 필요가 없었습니다. 기존의 자동차 기술은 내부적으로 신중하게 상호 연결되어 있었지만 의미있는 외부 데이터 교환은 온보드 진단 포트를 통해 이루어졌습니다.

결과적으로 현재 CAN 버스 기술에 내장 된 보안 수준은 기껏해야 초보적이며 쉽게 극복 할 수 있습니다. 연구에 따르면 이미 CAN 버스 아키텍처의 결함이 너무 근본적이기 때문에 CAN 아키텍처 표준에 대한 업데이트를 통해서만 완전히 해결할 수 있습니다.

자율 주행 자동차의 미래는 기하 급수적으로 증가하는 연결성에 의존합니다. 차량 대 차량 전송 (V2V)을 사용하면 도로에서 애드혹 무선 네트워크 (예 : 도로 상태 및 교통 데이터를 교환하는 차량)를 만들 수 있습니다.

사물 인터넷 (IoT)이 IoE (Internet of Everything)에 신속하게 제공된 것과 같은 방식으로 V2V는 이미 V2X 또는 Vehicle to Everything으로 대체되었습니다.

여기에는 V2V, V2I (Vehicle to Infrastructure), V2P (Vehicle to Pedestrian), V2D (Vehicle to Device) 및 V2G (Vehicle to Grid)가 포함되며, 두문자어 목록이 계속 확장 될 것으로 예상 할 수 있습니다.

추가 연결성을 사용하면 더 많은 코드 줄이 생기고 더 많은 코드 줄이 더 많은 취약점을 낳습니다. 이러한 생태계 확대는 악의적 인 액세스 지점을 확보하고 더 많은 잠재적 지점을 확보하기 위해 더 많은 공동 작업을 의미합니다.

미래의 공격, 미래 지향적 방어

사이버 범죄자들이 돈에 의해 동기를 부여 받았다고 생각하고 왜 그들이 차량을 공격하려는 동기가 있는지 알 수 없다면 몇 가지 시나리오를 남겨 드리겠습니다.

첫 번째, 아마도 가장 친숙한 것은 차를위한 랜섬웨어입니다. 아침에 차량을 잠금 해제하고 디지털 어시스턴트에게 업무를 지시하도록 지시한다고 상상해보십시오. 친숙한 디지털 인물로부터 인사를받는 대신 몸값 요구로 인사를받습니다. "이 차량을 다시 운전하려면 1 CrypCoin을 다시 보내십시오.이 랜섬웨어를 제거하려고하면 엔진 블록이 융합됩니다."

훨씬 더 교활한 시나리오에서 현재 선호되는 테러 단체의 무기를 고려하십시오. 최근 런던, 뉴욕, 니스 및 바르셀로나에서 발생한 공격으로 목격 된 것처럼 차량이 될 수있는 강력한 사례를 만들 수 있습니다.

미래의 자율 주행 차량이 우리 도로에서 원격으로 접근 가능한 공통의 취약점을 공유한다고 상상해보십시오. 차량의 온보드 센서를 사용하여 표적을 식별하고 V2V 통신을 조정하여 그룹으로 행동하는 한편 공격자는 수천 마일 떨어진 곳에서 모든 것을 운영 할 수 있습니다.

사이버 보안 조직과 연구원은 자동차 업계와 긴밀히 협력하여 기술 수준의 격차를 해소 할 수 있도록해야합니다. 사이버 기술 부족은 말할 것도없고, 자율 주행 차량 시대의 보안은 강화되지 않고 대신 구축됩니다. 에서.

우리는 오늘날 인터넷이 우리에게 가르치고있는 귀중한 교훈을 배워야합니다. 보안에 대한 생각없이 빠른 혁신과 채택은 범죄와 학대를위한 비옥 한 번식지를 제공합니다.