현장에서 실제로 듣는 말입니다.
자기인증이나 VTA 대응을 논의하다 보면
"게이트웨이만 하면 하위 ECU는 따로 안 해도 되지 않나요?"
라는 질문이 꽤 자주 나옵니다.
결론부터 말하면, 아닙니다.
게이트웨이는 강력한 방어선이지만,
그것만으로 차량 사이버보안 요건을 충족할 수는 없습니다.
왜 그런지, 오늘 명확히 정리합니다.
SGW가 실제로 하는 일
먼저 SGW가 무엇을 하는지부터 정확히 짚어야 합니다. SGW는 차량 내부 네트워크의 경계에서 진단 요청을 라우팅하고 필터링합니다. 외부에서 들어오는 비인가 접근을 차단하고, 허용된 요청만 내부 ECU로 전달하는 역할입니다.
이것은 분명히 중요한 보안 기능입니다. SGW가 없던 시절 OBD-II 포트가 내부 CAN 버스에 직통으로 연결됐을 때의 취약점을 생각하면, SGW의 도입만으로도 의미 있는 보안 강화입니다.
SGW는 건물의 정문 보안 게이트와 같습니다. 신원 확인을 통과한 사람만 건물에 들어올 수 있습니다. 하지만 건물 안에 들어온 사람이 각 사무실에서 무엇을 할 수 있는지는 정문 게이트가 결정하지 않습니다. 각 방의 잠금장치가 따로 필요합니다.
SGW가 있어도 하위 ECU가 뚫리는 경로들
SGW만 있고 하위 ECU에 보안이 없을 때 실제로 어떤 일이 가능한지 봅니다.
공격 시나리오 A — 인포테인먼트 경유 내부 침투
1
공격자가 Bluetooth·Wi-Fi를 통해 인포테인먼트 시스템에 원격 접근합니다. SGW는 외부 OBD-II 연결을 차단하지만, 차량 내부 인포테인먼트는 이미 내부 네트워크의 일부입니다.
↓
2
인포테인먼트가 장악되면 공격자는 인포테인먼트 ECU에서 내부 CAN 버스로 직접 메시지를 주입할 수 있습니다. SGW는 외부 진단기의 요청은 차단하지만, 내부 ECU끼리의 통신은 허용하는 경우가 많습니다.
↓
3
하위 ECU에 SecOC가 없다면 CAN 메시지 인증이 없습니다. 공격자가 보낸 임의의 CAN 메시지를 엔진·브레이크 ECU가 정상 명령으로 처리합니다.
공격 시나리오 B — OTA 경유 악성 펌웨어 설치
1
OTA 업데이트 채널을 통해 변조된 펌웨어 패키지가 차량에 전달됩니다. SGW는 외부 진단기 접근을 막지만, OTA 패키지 수신은 텔레매틱스 모듈이 담당합니다.
↓
2
대상 ECU에 Secure Boot가 없다면 부팅 시 펌웨어 서명을 검증하지 않습니다. 악성 펌웨어가 설치된 채로 ECU가 정상 동작하는 것처럼 부팅됩니다.
↓
3
악성 펌웨어가 실행된 ECU는 공격자의 명령을 따릅니다. SGW는 이미 통과된 내부 트래픽을 막을 수 없습니다.
SGW는 외부 진입점을 지킵니다. 하지만 공격자는 외부 진입점을 우회하는 경로를 찾습니다. 인포테인먼트, OTA, V2X, 텔레매틱스 — 이 모든 곳이 내부로 들어오는 별도의 입구입니다. SGW 하나로 모든 입구를 막을 수는 없습니다.
현장에서 자주 듣는 오해들
❌ 오해
SGW가 외부 접근을 막으니 하위 ECU는 보안 신경 안 써도 된다
✓ 실제
SGW는 외부 진입을 막지만, 내부 경로(인포테인먼트·OTA·V2X)로 들어온 공격자는 이미 SGW 안쪽에 있습니다. 하위 ECU 자체 보안이 없으면 내부에서 자유롭게 공격할 수 있습니다.
❌ 오해
SGW만 R155·ISO 21434 요건을 충족하면 자기인증 통과된다
✓ 실제
R155는 차량 전체 생애주기의 사이버보안 관리를 요구합니다. TARA에서 식별된 모든 위협에 대한 대응이 필요하며, 하위 ECU의 위협도 TARA 범위에 포함됩니다. SGW 하나로 모든 위협 처리가 끝나지 않습니다.
❌ 오해
CAN 버스는 내부 네트워크라 외부에서 공격할 수 없다
✓ 실제
CAN 버스 설계 당시의 전제(외부와 단절된 환경)는 커넥티드카 시대에 무너졌습니다. 인포테인먼트를 통한 CAN 침투, OTA 채널을 통한 ECU 접근 — 내부 네트워크는 이미 여러 경로로 외부와 연결됩니다.
❌ 오해
Secure Boot는 개발 막바지에 넣어도 된다
✓ 실제
Secure Boot는 HSM, 키 관리 인프라, 부트로더 구조와 연결됩니다. ECU 설계 초기에 반영하지 않으면 하드웨어 변경이 필요해 수정 비용이 폭발적으로 늘어납니다. Security by Design이 필요한 이유입니다.
차량 사이버보안에 실제로 필요한 것들
R155와 ISO 21434가 요구하는 것은 특정 기술 하나가 아닙니다. TARA에서 식별된 위협에 맞는 다층 방어(Defense in Depth) 구조입니다. 각 레이어가 다른 레이어의 실패를 보완합니다.
네트워크 경계
SGW (Secure Gateway) — 외부 진단 요청 인증·필터링. 도메인 간 비인가 트래픽 차단. 이것만으로는 내부 공격 경로를 막지 못합니다.
메시지 인증
SecOC — CAN 버스 메시지에 MAC 추가. SGW를 우회해 CAN 버스에 접근하더라도 인증 없는 메시지는 ECU가 처리를 거부합니다.
펌웨어 무결성
Secure Boot — ECU 부팅 시 소프트웨어 서명 검증. OTA나 플래싱으로 악성 펌웨어가 설치되더라도 부팅 단계에서 차단합니다.
업데이트 보안
Secure Flash — OTA·진단 플래싱 시 코드 서명 검증·안티 롤백. OEM이 서명하지 않은 펌웨어는 ECU에 설치되지 않습니다.
키 보호
HSM — 암호화 키를 하드웨어로 격리. 소프트웨어 공격으로 키를 추출할 수 없게 만들어 위 모든 레이어의 신뢰 기반이 됩니다.
이 다섯 레이어 중 어느 하나가 빠지면 공격자는 그 빈틈을 노립니다. SGW가 아무리 강력해도 하위 ECU에 Secure Boot와 SecOC가 없으면, SGW를 우회하는 순간 내부는 무방비 상태입니다.
TARA 관점에서 보면 명확해진다
TARA(위협 분석 및 위험 평가)를 제대로 수행하면 SGW만으로 안 된다는 것이 자연스럽게 드러납니다.
위협 시나리오
영향 ECU
SGW로 차단?
필요한 추가 대책
인포테인먼트 해킹 → CAN 메시지 주입
엔진·브레이크 ECU
❌ 차단 불가
SecOC (메시지 인증)
OTA 채널 위변조 → 악성 펌웨어 설치
모든 ECU
❌ 차단 불가
Secure Boot + Secure Flash
물리 접근 → JTAG으로 ECU 메모리 덤프
개별 ECU
❌ 차단 불가
디버그 포트 잠금 + HSM
OBD-II 비인가 진단 장비 연결
전체 시스템
✅ SGW 차단 가능
SGW 인증 충분
인포테인먼트 → 파워트레인 도메인 CAN 침투
파워트레인 ECU
⚠️ 설정에 따라
게이트웨이 도메인 분리 + SecOC
TARA 결과를 보면 SGW가 직접 차단할 수 있는 위협은 생각보다 적습니다. 대부분의 위협은 내부 경로를 통하거나 개별 ECU를 직접 대상으로 합니다. 이 위협들에 대한 대책이 하위 ECU 수준에서 필요합니다.
R155 관점에서 — 규제는 시스템 전체를 본다
UN R155는 특정 기술을 의무화하지 않습니다. 하지만 TARA에서 식별된 모든 위험에 대해 "적절한 대응이 이루어졌음"을 증명해야 합니다. 인증기관은 이렇게 묻습니다.
"인포테인먼트를 통한 CAN 버스 침투 위협을 식별했습니까?
그 위협에 대한 대응은 무엇입니까?
SGW가 그 위협을 차단한다는 근거가 있습니까?"
SGW가 외부 OBD-II 접근만 차단한다면, 인포테인먼트 경유 CAN 침투 위협에 대한 답변은 "SGW로 충분합니다"가 될 수 없습니다. SecOC나 도메인 분리 같은 추가 대책의 근거가 필요합니다.
"SGW가 있으니 하위 ECU는 괜찮습니다"라고 TARA 문서에 기재하면 인증 심사에서 반드시 지적받습니다. 위협 시나리오와 대응 대책의 논리적 연결이 맞지 않기 때문입니다. TARA는 위험을 정직하게 평가하는 도구입니다.
현장에서 실제로 일어나는 일들
"SGW 넣으면 끝"이라는 인식이 생기는 이유가 있다 — SGW가 가장 눈에 보이는 보안 장치이고, OEM의 초기 요구사항에 SGW 관련 내용이 많다 보니 그런 인식이 생깁니다. 하지만 OEM 요구사항을 자세히 보면 하위 ECU에 대한 Secure Boot, SecOC, HSM 요건도 함께 포함되어 있습니다. 전체를 읽지 않으면 놓치기 쉽습니다.
레거시 ECU 문제가 현실적인 걸림돌이다 — 이미 설계가 완료된 하위 ECU에 Secure Boot를 추가하려면 HSM이 없는 경우 하드웨어 변경이 필요합니다. 비용과 일정 문제로 SGW만 강화하고 하위 ECU는 그대로 두는 현실적인 타협이 생기기도 합니다. 하지만 이 타협의 위험을 인식하고 TARA에 명시해야 합니다.
Pentest에서 이 차이가 드러난다 — SGW만 보안이 적용된 차량을 Penetration Test하면 어김없이 내부 경로 공격이 성공합니다. 인포테인먼트를 경유한 CAN 메시지 주입, OTA 채널을 통한 펌웨어 변조 시도 등이 SGW를 완전히 우회합니다. Pentest 결과가 "SGW 통과했지만 내부는 취약"으로 나오면 OEM 심사에서 보완 요구가 나옵니다.
TARA 범위 설정이 핵심이다 — TARA 수행 시 분석 범위를 SGW 경계까지만 잡으면 하위 ECU의 위협이 보이지 않습니다. 분석 범위를 차량 전체 시스템으로 잡고, 내부 공격 경로까지 포함해야 실질적인 TARA가 됩니다. 범위를 좁게 잡으면 서류상 TARA는 완성되지만 실제 보안은 허점 투성이가 됩니다.
그렇다면 IDS/IDPS를 넣으면 해결되는가
Defense in Depth 이야기를 하다 보면 자연스럽게 IDS(침입 탐지 시스템) 이야기가 나옵니다. 최근 OEM들도 SGW에 IDS 기능을 함께 요구하는 경우가 늘고 있습니다. 하지만 차량 IDS·IDPS는 IT 환경과 달리 구현이 생각보다 어렵습니다.
한계 01 — 오탐(False Positive) 문제
차량은 실시간성과 기능 안전이 최우선입니다. IDS가 정상 메시지를 공격으로 잘못 판단해 브레이크·조향 ECU 통신을 차단하면, 보안 문제보다 더 큰 기능 안전 문제가 생깁니다. IT 방화벽처럼 "일단 막고 보자"가 통하지 않습니다.
한계 02 — ECU 자원 제약
일부 ECU는 CPU 성능·메모리·네트워크 대역폭이 제한적입니다. 복잡한 IDS 분석 알고리즘을 실시간으로 실행하면서 본연의 제어 기능도 수행하는 것이 현실적으로 어려운 경우가 많습니다.
한계 03 — 정상/비정상 구분이 어렵다
차량 CAN 트래픽은 차종·옵션·주행 상황·ECU 버전에 따라 크게 달라집니다. "정상" 패턴을 정의하기 어렵고, 패턴이 잘못 정의되면 오탐이 폭발적으로 늘어납니다.
한계 04 — 탐지보다 대응이 더 어렵다
탐지했다고 끝이 아닙니다. 이상 징후를 발견했을 때 어떻게 대응할지가 훨씬 복잡합니다. OEM마다 "탐지만 하고 로그를 남긴다"는 접근과 "실시간 차단까지 한다"는 접근이 나뉘는 이유입니다.
IDS가 있다고 해서 모든 문제가 해결되지 않습니다. 그래서 최근 업계의 방향은 "IDS 하나로 다 해결"이 아니라, IDS를 다층 방어의 한 레이어로 활용하되 각 ECU 자체 보안도 함께 강화하는 방향입니다.
결국 방향은 — Zero Trust
지금까지의 흐름을 정리하면 자동차 보안이 향하는 방향이 보입니다.
과거의 차량 보안 철학은 "경계를 잘 막으면 내부는 안전하다"는 전제였습니다. SGW가 외부를 막으면 내부 ECU는 신뢰할 수 있다는 생각입니다.
하지만 최근 방향은 달라지고 있습니다. "내부도 신뢰하지 않는다"는 전제에서 출발합니다. 인포테인먼트가 해킹됐을 수 있고, OTA 채널이 위변조됐을 수 있고, 공급망에서 ECU가 변조됐을 수 있습니다. 어느 경로에서 침투가 발생해도 피해를 최소화할 수 있어야 합니다.
IT 보안에서 말하는 Zero Trust 개념이 자동차에도 적용되기 시작했습니다. "한번 통과했다고 계속 신뢰하지 않는다. 모든 요청을 매번 검증한다." SGW를 통과했더라도 내부 ECU 간 통신도 SecOC로 인증하고, OTA로 들어온 펌웨어도 Secure Boot로 재검증하고, 진단 장비가 인증됐더라도 요청하는 서비스마다 권한을 확인합니다. 이 구조가 자동차 보안의 미래 방향입니다.
마무리
SGW는 차량 보안의 중요한 첫 번째 레이어입니다.
하지만 첫 번째 레이어가 유일한 레이어여서는 안 됩니다.
차량 사이버보안은 성벽 하나로 완성되지 않습니다. 성벽(SGW)이 뚫렸을 때 내부의 각 건물(하위 ECU)도 스스로를 지킬 수 있어야 합니다. 그것이 Defense in Depth의 의미입니다.
R155와 ISO 21434가 요구하는 것도 결국 이것입니다. 어떤 공격 경로에서 들어오더라도 차량이 버틸 수 있는 다층 방어 구조. SGW는 그 구조의 일부이지, 전부가 아닙니다.
핵심 요약
SGW는 외부 진입점을 지키지만, 내부 경로(인포테인먼트·OTA·V2X)는 막지 못한다
인포테인먼트 해킹 후 CAN 침투, OTA 채널 악성 펌웨어 — SGW 우회 공격은 현실적이다
하위 ECU에도 SecOC, Secure Boot, HSM이 필요한 이유가 TARA 결과에 나온다
R155 심사는 TARA의 모든 위협에 대한 대응을 요구한다 — SGW 하나로 모두 커버 불가
TARA 범위를 SGW 경계까지만 잡으면 하위 ECU 위협이 보이지 않는다
Pentest에서 SGW 우회 공격은 어김없이 성공한다 — 내부 ECU 보안이 없으면
Defense in Depth — SGW는 첫 번째 레이어일 뿐, 유일한 레이어가 되어서는 안 된다
차량 IDS·IDPS는 오탐·자원 제약·기능 안전 문제로 구현이 IT보다 훨씬 까다롭다
최근 방향은 Zero Trust — SGW를 통과했어도 내부 ECU 간 통신도 매번 검증한다