그렇다면 당연히 이런 질문이 나옵니다.
"차량에도 방화벽이 있는 거 아닌가요?"
있습니다. 다만 PC의 방화벽과는 꽤 다릅니다.
자동차는 구조 자체가 다르기 때문에, 보호 방식도 다를 수밖에 없습니다.
PC 방화벽과 자동차 방화벽, 무엇이 다른가
PC나 서버의 방화벽은 인터넷과 내부 네트워크 사이에서 IP 주소, 포트, 프로토콜 기반으로 패킷을 허용하거나 차단합니다. 규칙이 명확하고, 수정도 비교적 자유롭습니다.
자동차는 다릅니다. 차량 내부 네트워크는 IP 기반이 아닌 CAN, LIN, FlexRay, Ethernet 같은 자동차 전용 프로토콜로 구성됩니다. "포트"나 "IP 주소" 개념이 없는 환경에서 어떻게 방화벽을 구현할까요?
| 구분 | PC / 서버 방화벽 | 차량 보안 게이트웨이 |
|---|---|---|
| 기반 프로토콜 | TCP/IP | CAN, LIN, Ethernet, FlexRay |
| 필터링 기준 | IP 주소, 포트, 프로토콜 | CAN ID, 메시지 방향, 페이로드 패턴 |
| 업데이트 | 실시간 룰 업데이트 가능 | OTA 또는 정비소 방문 필요 |
| 처리 성능 | 여유 있음 | 실시간 제어 레이턴시 제약 엄격 |
| 핵심 역할 | 외부 침입 차단 | 도메인 간 트래픽 제어 + 이상 탐지 |
IT 보안 개념에 익숙하다면 아래 대응 관계로 이해하면 더 쉽습니다.
| IT 네트워크 보안 | 차량 사이버보안 |
|---|---|
| Firewall | Gateway ECU |
| Packet Filtering | CAN Message Filtering |
| IDS / IPS | Automotive IDS / IDPS |
| VLAN (네트워크 분리) | Domain Separation |
| PKI / 인증서 | SecOC (MAC 기반 메시지 인증) |
| SOC (Security Operations Center) | VSOC (Vehicle SOC) |
게이트웨이 ECU — 차량의 네트워크 관문
게이트웨이 ECU는 차량 내 서로 다른 네트워크 도메인 사이에 위치합니다. 인포테인먼트 도메인에서 파워트레인 도메인으로 가는 메시지, 외부 OBD 포트에서 들어오는 메시지 등을 모두 이 게이트웨이가 중간에서 검사합니다.
엔진 · 변속기 ECU
ABS · 스티어링 ECU
조명 · 에어컨 ECU
IVI · 텔레매틱스
이 구조에서 핵심은 도메인 분리(Domain Segregation)입니다. 인포테인먼트 시스템이 해킹되더라도, 게이트웨이가 파워트레인 도메인으로 가는 비정상 메시지를 차단하면 엔진이나 브레이크까지 공격이 확산되지 않습니다.
게이트웨이는 어떤 기능을 하는가
허용된 CAN ID의 메시지만 도메인 간 전달을 허용합니다. 화이트리스트 기반으로 동작하며, 등록되지 않은 메시지는 차단합니다.
CAN ↔ Ethernet 등 서로 다른 프로토콜 간 변환을 담당합니다. 최신 차량은 내부적으로 Automotive Ethernet을 사용하는 경우가 늘고 있습니다.
정상 범위를 벗어난 CAN 메시지 빈도, 비정상적인 페이로드 값을 탐지합니다. IDPS(침입 탐지·방지 시스템)와 연동되기도 합니다.
OBD-II 포트를 통한 진단 명령(UDS)을 검사합니다. 인증된 진단 장비만 특정 ECU에 접근할 수 있도록 제어합니다.
CAN 버스 자체를 보호하는 기술 — SecOC
게이트웨이가 도메인 간 경계를 지킨다면, CAN 버스 내부는 어떻게 보호할까요?
AUTOSAR 표준의 SecOC(Secure On-board Communication)가 그 역할을 합니다. CAN 메시지에 MAC(메시지 인증 코드)를 붙여서, 수신 ECU가 메시지가 진짜인지 검증하도록 합니다. 마치 이메일의 전자서명과 비슷한 개념입니다.
그래도 한계는 있다
게이트웨이와 SecOC가 있어도 완벽하지는 않습니다. 현장에서 겪는 현실적인 한계들이 있습니다.
- 1 레이턴시 제약 — 차량 제어 ECU는 수 밀리초 안에 응답해야 합니다. 보안 검증 로직을 추가할수록 처리 시간이 늘어나 실시간 제어에 영향을 줄 수 있습니다.
- 2 레거시 ECU 호환성 — 이미 양산된 수백 개의 ECU 중 보안 기능이 없는 구형 ECU가 섞여 있습니다. 게이트웨이가 이것들을 모두 보호해야 하는 부담이 있습니다.
- 3 게이트웨이 자체가 공격 대상 — 방화벽이 뚫리면 끝입니다. 게이트웨이 ECU 자체의 보안성이 매우 중요하며, 여기에도 Secure Boot, HSM 등이 적용되어야 합니다.
- 4 제로데이 공격 대응의 어려움 — PC처럼 실시간 패턴 업데이트가 어렵습니다. 알려지지 않은 공격 패턴에 대한 탐지 능력에 한계가 있습니다.
- 5 차량 내 Ethernet 확산의 새로운 과제 — SDV로 전환되면서 차량 내부도 IP 기반 Ethernet이 확산됩니다. 기존 CAN 중심의 보안 모델로는 커버하기 어려운 영역이 생깁니다.
SDV 시대, 아키텍처 자체가 바뀐다
기존 차량은 기능별로 도메인을 나누는 도메인 기반 아키텍처(Domain-based Architecture)를 사용했습니다. 파워트레인 도메인, 섀시 도메인, 바디 도메인처럼 기능 단위로 ECU를 묶고, 중앙 게이트웨이가 이를 연결하는 구조입니다.
SDV(Software Defined Vehicle) 시대로 넘어가면서 이 구조가 존 기반 아키텍처(Zonal Architecture)로 전환되고 있습니다. 기능이 아닌 물리적 위치(Zone)를 기준으로 ECU를 묶는 방식입니다. 차량 앞/뒤/좌/우 존별로 존 컨트롤러(Zone Controller)가 배치되고, 중앙 고성능 컴퓨터(HPC, High Performance Computer)가 전체를 통합 제어합니다.
Central High Performance Computer
전방 좌측
전방 우측
후방
이 변화는 보안 게이트웨이에도 큰 영향을 줍니다. 기존에는 중앙 게이트웨이 하나가 모든 도메인 경계를 지켰다면, Zonal Architecture에서는 존 컨트롤러 각각이 게이트웨이 역할을 함께 수행해야 합니다. 보안 정책을 분산된 여러 지점에서 일관되게 적용하는 것이 새로운 과제가 됩니다.
현업에서는 실제로 이렇게 접근한다
마무리
자동차에도 방화벽은 있습니다. 다만 그것은 게이트웨이라는 이름으로, 자동차만의 방식으로 작동합니다.
완벽한 방어는 없습니다. 중요한 건 다층적인 방어 구조입니다. 게이트웨이로 도메인 경계를 지키고, SecOC로 메시지를 인증하고, IDS로 이상 징후를 탐지하고, 취약점이 발견되면 OTA로 빠르게 대응하는 체계, 이것이 차량 사이버보안의 실제 모습입니다.
핵심 요약
- 차량의 방화벽 역할은 게이트웨이 ECU가 담당한다
- 게이트웨이는 도메인을 분리하고, 도메인 간 트래픽을 필터링한다
- CAN 버스 내부는 SecOC로 메시지 인증을 보완한다
- 게이트웨이 기능은 라우팅 → 필터링 → IDS → 진단 접근 제어로 고도화되고 있다
- 레이턴시, 레거시 호환성, 게이트웨이 자체 보안이 현실적 과제다
- SDV 전환으로 Ethernet 확산 시 새로운 보안 모델이 필요하다
- Zonal Architecture에서는 존 컨트롤러가 분산 게이트웨이 역할을 함께 수행한다
'차량 사이버보안 > 보안기술' 카테고리의 다른 글
| UDS의 Diagnostic Session은 왜 필요할까?(ECU 진단 권한을 나누는 방법) (0) | 2026.05.13 |
|---|---|
| 자동차는 왜 진단 인증(Security Access)을 사용할까? (0) | 2026.05.12 |
| 차량 ECU의 첫 번째 방어선 (Secure Boot는 어떻게 동작하는가) (0) | 2026.05.12 |
| 차량 OTA 업데이트, 어떻게 안전하게 할 수 있을까? (1) | 2026.05.12 |
| 차량은 어떻게 해킹되는가?(ECU 공격의 실제 구조) (1) | 2026.05.12 |