차량 OTA 업데이트, 어떻게 안전하게 할 수 있을까?

차량 사이버보안 시리즈 03

이전 편 | 자동차에도 방화벽이 존재할까? — 게이트웨이 ECU의 역할

스마트폰은 자다가 일어나 보면 업데이트가 되어 있습니다.
요즘 차량도 마찬가지입니다. 자는 동안 소프트웨어가 업데이트되고, 아침에 타면 새 기능이 생겨 있습니다.

테슬라가 대중화시킨 이 방식, OTA(Over-The-Air) 업데이트는 이제 거의 모든 커넥티드카에 탑재되고 있습니다.

편리함은 분명합니다. 하지만 "소프트웨어를 무선으로 받아서 차에 설치한다"는 것은, 동시에 새로운 공격 경로가 열린다는 의미이기도 합니다.

OTA 업데이트란 무엇인가

OTA(Over-The-Air)는 인터넷을 통해 차량 소프트웨어를 원격으로 업데이트하는 기술입니다. 정비소에 방문하지 않아도 ECU 펌웨어, 내비게이션 지도, 인포테인먼트 앱, 심지어 엔진 제어 로직까지 무선으로 갱신할 수 있습니다.

테슬라는 2012년부터 OTA로 차량 성능과 기능을 원격 업데이트했습니다. 브레이크 제동 거리를 소프트웨어 업데이트로 단축시키거나, 자율주행 기능을 OTA로 추가한 사례는 자동차 업계에 큰 충격을 줬습니다. 이제 현대·기아, BMW, 메르세데스 등 대부분의 완성차 업체가 OTA를 적용하고 있습니다.

OTA는 크게 두 종류로 나뉩니다.

구분	대상	위험도
SOTA Software OTA	인포테인먼트, 내비게이션, 앱 등 차량 안전 기능과 직접 무관한 소프트웨어	중
FOTA Firmware OTA	엔진 ECU, ABS, 스티어링 등 안전 기능 관련 펌웨어	고

FOTA가 위험한 이유는 단순합니다. 엔진이나 브레이크를 제어하는 ECU 펌웨어가 악성 코드로 교체되면, 그 순간부터 차량은 공격자의 명령을 따릅니다. 소프트웨어 취약점이 아닌 펌웨어 자체가 무기가 되는 것입니다.

OTA는 어떻게 공격 경로가 되는가

공격자가 OTA를 악용하는 방법은 생각보다 다양합니다.

시나리오 01

업데이트 서버 위변조

OEM의 백엔드 서버를 침해해 정상 패키지를 악성 펌웨어로 교체합니다. 차량은 공식 서버에서 받았다고 믿고 설치합니다. 수십만 대가 동시에 감염될 수 있습니다.

시나리오 02

중간자 공격 (MITM)

차량과 서버 사이 통신을 가로채 패키지를 바꿔치기합니다. TLS 검증이 허술하거나 인증서 핀닝이 없으면 가능합니다. 공용 Wi-Fi 환경에서 특히 위험합니다.

시나리오 03

서명 검증 우회

패키지 서명 검증 로직의 취약점을 이용해, 유효하지 않은 서명의 펌웨어를 통과시킵니다. 검증 코드의 구현 버그가 주요 원인입니다.

시나리오 04

다운그레이드 공격

이미 패치된 구버전 펌웨어를 강제로 설치해, 이전에 알려진 취약점을 다시 활성화합니다. 버전 롤백 방지 메커니즘이 없으면 가능합니다.

시나리오 05

공급망 공격

OEM이 아닌 Tier-1 부품사나 소프트웨어 공급업체의 개발 환경을 침해합니다. 납품 단계에서 이미 악성 코드가 심어진 채로 차량에 들어옵니다.

시나리오 06

물리 공격 연계

USB / 진단 포트 악용

OTA가 아닌 OBD-II 포트나 USB를 통해 직접 악성 펌웨어를 주입합니다. OTA 보안이 강화될수록 물리 경로가 우회 수단으로 떠오릅니다.

안전한 OTA를 위한 핵심 요건

OTA가 안전하려면 패키지가 "서버에서 차량까지" 이동하는 전 구간에서 무결성과 신뢰성이 보장되어야 합니다.

1

코드 서명 (Code Signing)

OEM의 개인키로 펌웨어 패키지에 디지털 서명을 합니다. 차량은 설치 전 OEM 공개키로 서명을 검증합니다. 서명이 올바르지 않으면 설치를 거부합니다. 가장 기본이자 핵심입니다.

2

보안 통신 채널 (TLS + 인증서 핀닝)

서버와 차량 간 통신은 TLS로 암호화합니다. 여기에 인증서 핀닝(Certificate Pinning)을 추가해 신뢰된 서버 인증서만 허용합니다. MITM 공격을 근본적으로 차단합니다.

3

안티 롤백 (Anti-Rollback)

ECU 내부에 현재 펌웨어 버전을 기록하고, 더 낮은 버전의 설치를 거부합니다. 단조 카운터(Monotonic Counter)를 HSM에 저장해 소프트웨어로 조작할 수 없게 합니다.

4

Secure Boot 연계

OTA로 새 펌웨어가 설치되더라도 부팅 시 Secure Boot가 다시 한번 무결성을 검증합니다. OTA 과정에서 검증을 통과했더라도 변조가 발생하면 부팅 자체가 차단됩니다.

5

HSM 기반 키 관리

서명 검증에 사용하는 공개키는 ECU 내 HSM(Hardware Security Module)에 저장합니다. 소프트웨어 공격으로 키를 교체하거나 추출할 수 없습니다.

6

단계적 배포 (Staged Rollout) + 롤백 계획

전체 차량에 한 번에 배포하지 않고 일부 차량에 먼저 배포해 이상을 탐지합니다. 문제 발생 시 이전 버전으로 롤백하는 절차도 사전에 준비되어야 합니다.

안전한 OTA, 실제 흐름으로 보면

SECURE OTA PROCESS

🏭

OEM 서버 — 패키지 생성 및 서명 개발된 펌웨어를 OEM 개인키로 서명. 해시값과 서명을 패키지에 포함해 서버에 업로드.

↓

🔒

TLS 암호화 전송 차량 텔레매틱스 모듈이 서버와 TLS 세션을 맺고 패키지를 암호화 전송. 인증서 핀닝으로 서버 신뢰성 확인.

↓

✅

차량 수신 — 서명 검증 수신된 패키지의 서명을 HSM에 저장된 OEM 공개키로 검증. 해시값 일치 여부도 확인. 검증 실패 시 즉시 폐기.

↓

📋

버전 확인 — 안티 롤백 수신 패키지 버전이 현재 ECU 버전보다 높은지 확인. 다운그레이드 시도 시 설치 거부.

↓

⚡

ECU 플래싱 검증이 완료된 패키지를 ECU에 설치. 차량 정차 또는 이그니션 오프 상태에서 진행. 설치 중 전원 차단 대비 이중화 파티션 구성 권장.

↓

🔁

재부팅 — Secure Boot 재검증 업데이트 후 재부팅 시 Secure Boot가 새 펌웨어 무결성을 재확인. 최종 이상 없으면 정상 부팅 완료.

실제로 문제가 된 사례들

2020 SolarWinds 공급망 공격 — 자동차 업계가 주목한 이유

직접적인 차량 해킹은 아니지만, SolarWinds 사례는 자동차 업계에 큰 경각심을 줬습니다. 소프트웨어 공급업체의 빌드 서버가 침해되어, 정상 업데이트에 악성 코드가 포함된 채로 수천 개 기관에 배포됐습니다.

차량도 동일한 구조입니다. OEM이 아닌 Tier-1 부품사나 SW 벤더의 개발 환경이 침해되면, 서명 검증을 통과한 채로 악성 펌웨어가 차량에 들어올 수 있습니다.

2016 닛산 리프 — 모바일 API 취약점

닛산 리프의 모바일 앱 API에 인증 취약점이 발견됐습니다. 차량 VIN 번호만 알면 원격으로 에어컨·히터를 제어하고 주행 기록을 열람할 수 있었습니다. OTA 직접 공격은 아니었지만, 차량 원격 접근 API가 얼마나 위험할 수 있는지를 보여준 사례입니다.

UN R156은 OTA 보안을 위한 국제 규정입니다. SUMS(Software Update Management System)를 의무화하며, OTA를 통한 소프트웨어 업데이트 전 과정에 대한 보안 관리 체계를 요구합니다. UN R155(사이버보안)와 쌍을 이루는 규정입니다.

스마트폰 OTA와 자동차 OTA, 무엇이 다른가

많은 사람들이 "차량 OTA도 스마트폰 업데이트랑 비슷한 거 아닌가?"라고 생각합니다. 구조는 비슷하지만, 실패했을 때의 결과가 완전히 다릅니다.

구분	스마트폰 OTA	자동차 FOTA
업데이트 실패 시	앱 오류, 재부팅	ECU Brick, 시동 불가
보안 사고 발생 시	개인정보 유출	주행 중 브레이크·스티어링 오작동
업데이트 대상	단일 OS	수십~수백 개 ECU
법적 책임	사용자 선택	OEM 법적·안전 책임
업데이트 중 전원 차단	재시도 가능	ECU 손상 위험 (Dual Bank 필요)
실시간 제어 영향	없음	업데이트 타이밍 제약 엄격

이 차이 때문에 차량 OTA에는 Dual Bank(이중 파티션) 구조가 필요합니다. ECU 메모리를 두 영역으로 나눠, 새 펌웨어를 한쪽에 쓰는 동안 다른 쪽은 기존 펌웨어로 계속 동작합니다. 업데이트 실패 시 자동으로 이전 파티션으로 복구(Failsafe Rollback)합니다. 스마트폰에서는 불필요한 이 구조가 차량에서는 필수입니다.

또한 전체 패키지를 매번 전송하면 데이터 비용과 시간이 문제가 됩니다. 이를 해결하기 위해 변경된 부분만 전송하는 Delta Update(차분 업데이트)를 사용합니다. 다만 Delta 패키지에도 동일하게 서명 검증과 안티 롤백이 적용되어야 합니다.

현업에서는 실제로 이렇게 접근한다

Secure Flash 구현 — 단순히 펌웨어를 쓰는 것이 아니라, 서명 검증·버전 확인·HSM 연동까지 포함한 보안 플래싱 절차를 ECU에 구현합니다. OEM마다 요구사항이 다르기 때문에 Porting 과정에서 가장 복잡한 부분 중 하나입니다.

안티 롤백 설계 — HSM의 단조 카운터를 활용해 다운그레이드를 하드웨어 수준에서 차단합니다. 카운터 설계를 잘못하면 업데이트 자체가 불가능해지는 경우도 있어 신중한 설계가 필요합니다.

V&V (Verification & Validation) — 서명 검증이 올바르게 동작하는지, 변조된 패키지를 정확히 거부하는지, 롤백 시도를 차단하는지를 테스트 케이스로 검증합니다.

UN R156 대응 — SUMS 요건에 맞춰 소프트웨어 업데이트 이력 관리, 버전 추적, 업데이트 승인 절차를 문서화합니다. OEM이 형식 승인을 받기 위한 필수 과정입니다.

마무리

OTA는 차량을 더 좋게 만드는 기술이기도 하지만, 잘못 구현되면 수십만 대를 동시에 위험에 빠뜨릴 수 있는 양날의 검입니다.

스마트폰 업데이트와 달리, 차량 OTA는 실패했을 때 결과가 다릅니다. 앱 크래시가 아니라 주행 중 브레이크가 말을 듣지 않을 수 있습니다. 그래서 차량 OTA 보안은 단순한 기능 구현이 아니라 안전 문제입니다.

코드 서명, 안티 롤백, Secure Boot 연계, HSM 기반 키 관리 — 이 모든 것이 맞물려야 비로소 "안전한 OTA"라고 부를 수 있습니다.

핵심 요약

• OTA는 SOTA(소프트웨어)와 FOTA(펌웨어)로 구분되며, FOTA가 안전에 직결된다
• 공격 경로는 서버 위변조, MITM, 서명 우회, 다운그레이드, 공급망 공격 등 다양하다
• 안전한 OTA의 핵심은 코드 서명 + TLS + 안티 롤백 + Secure Boot + HSM이다
• 서명 검증은 차량 수신 시점과 부팅 시점, 두 번 이루어져야 한다
• UN R156은 OTA 보안 관리 체계(SUMS)를 법적으로 의무화한다
• 공급망 보안도 OTA 보안의 일부다 — 납품 단계 침해가 서명 검증을 무력화할 수 있다
• Dual Bank로 업데이트 실패 시 자동 복구, Delta Update로 전송 효율을 높인다

다음 편 예고

차량 ECU의 첫 번째 방어선 — Secure Boot는 어떻게 동작하는가

OTA에서도, 게이트웨이에서도 반복해서 등장한 Secure Boot. 도대체 어떻게 동작하기에 이렇게 중요한 걸까요? 다음 편에서 하드웨어부터 부팅 순서까지 하나씩 풀어봅니다.

차량OTA OTA보안 FOTA SOTA SecureBoot 코드서명 안티롤백 HSM UNR156 SUMS 차량사이버보안 공급망보안