보안 기술 — 차량 아키텍처
아키텍처와 보안에 대해 자주 나오는 말
"ECU 하나만 뚫리면 CAN 버스 전체가 노출되는 거 아닌가요?"
"Zonal Architecture로 바뀌면 중앙 컴퓨터 하나가 뚫릴 때 더 위험한 거 아닌가요?"
"Zone Controller가 Gateway랑 다른 건가요?"
"아키텍처가 바뀌면 TARA도 다시 해야 하나요?"
2015년 Jeep Cherokee 해킹은 많은 사람에게 이런 인식을 심어줬다 — "차량은 ECU 하나만 뚫려도 끝나는 구조다."
SDV와 Zonal Architecture 시대에도 그 말이 여전히 맞을까. 아키텍처가 달라지면 보안 위협의 구조도 달라진다.
SDV와 Zonal Architecture 시대에도 그 말이 여전히 맞을까. 아키텍처가 달라지면 보안 위협의 구조도 달라진다.
2015년 Jeep Cherokee — 왜 ECU 하나가 위험했나
2015년 Charlie Miller와 Chris Valasek이 공개한 Jeep Cherokee 원격 해킹은 자동차 사이버보안의 분수령이 된 사건이다. 이들이 보여준 공격 흐름은 이렇다.
2015 Jeep Cherokee 공격 체인 (Black Hat USA 2015 발표 기반)
1
원격 진입점 확보 — UConnect 인포테인먼트 시스템에 Sprint 셀룰러 네트워크를 통해 원격 접근. 인포테인먼트 ECU의 소프트웨어 취약점을 통해 초기 거점 확보.
2
CAN 버스 접근 — 인포테인먼트 ECU에서 차량 내부 CAN 버스로 이동. 당시 인포테인먼트와 파워트레인 도메인 간 네트워크 분리가 충분하지 않았다.
3
CAN 메시지 주입 — CAN 버스에서 다른 ECU를 대상으로 메시지를 주입. 에어컨, 와이퍼, 오디오 제어에서 시작해 변속기 차단, 제동 제어까지 시연했다.
ℹ️ 이 공격이 가능했던 구조적 이유
당시 많은 차량에서 인포테인먼트 ECU는 외부 네트워크(셀룰러, Wi-Fi)에 연결되어 있으면서 동시에 차량 내부 CAN 버스에도 접근할 수 있었다. 외부에서 차량 내부로 들어오는 "브릿지" 역할을 한 셈이다. 일단 이 ECU가 침해되면 CAN 버스 전체에 대한 공격 발판(Pivot Point)이 됐다.
당시 많은 차량에서 인포테인먼트 ECU는 외부 네트워크(셀룰러, Wi-Fi)에 연결되어 있으면서 동시에 차량 내부 CAN 버스에도 접근할 수 있었다. 외부에서 차량 내부로 들어오는 "브릿지" 역할을 한 셈이다. 일단 이 ECU가 침해되면 CAN 버스 전체에 대한 공격 발판(Pivot Point)이 됐다.
이 사건으로 FCA는 140만 대 차량 리콜을 실시했다. 그리고 업계는 차량 내부 네트워크 격리의 중요성을 다시 인식하게 됐다.
Domain Architecture의 구조적 약점
전통적인 Domain Architecture는 기능 기반으로 ECU를 묶는 구조다. 파워트레인 도메인, 바디 도메인, 새시 도메인, ADAS 도메인, 인포테인먼트 도메인이 각각 CAN 버스로 연결되고 중앙 Gateway가 이를 중계한다.
Domain Architecture — 보안 관점 약점
기능 중심 묶음 구조
같은 도메인 내 ECU들이 동일 CAN 버스 공유
한 ECU 침해 시 동일 버스의 다른 ECU 공격 가능
인포테인먼트↔파워트레인 간 경계가 Gateway에 의존
Gateway 우회 시 도메인 간 이동 가능
ECU 수 증가→공격 표면 증가→관리 복잡도 증가
Domain Architecture — 보안 관점 장점
분산 구조의 격리 효과
기능이 분산되어 단일 장애점 없음
도메인 간 Gateway가 1차 방화벽 역할
오랜 기간 검증된 구조
Gateway가 도메인 간 메시지를 필터링하고 접근을 제어하지만, 도메인 특화 ECU들이 CAN 네트워크로 연결되고 중앙 Gateway를 통해 라우팅되는 구조는 배선 복잡성을 증가시키고, 확장성을 제한하며, 보안 조치의 중앙화된 구현을 어렵게 만든다.
Zonal Architecture — 무엇이 달라지는가
Zonal Architecture는 기능 기반이 아니라 위치 기반으로 ECU를 묶는다. 차량을 물리적 구역(Zone)으로 나누고, 각 구역에 Zone Controller를 배치해 해당 구역의 장치들을 관리한다.
Domain Architecture vs Zonal Architecture 구조 비교
Domain
파워트레인
바디 / ADAS
인포테인먼트
파워트레인
바디 / ADAS
인포테인먼트
VS
Central
Computer
(HPC)
Computer
(HPC)
↕
Front Zone
Controller
Controller
+
Rear Zone
Controller
Controller
+
Left/Right
Zone
Controller
Zone
Controller
Domain: 기능 중심 묶음, 각 도메인이 독립 CAN 버스 / Zonal: 위치 중심 묶음, Zone Controller → Central Computer 계층 구조. 통신은 주로 Automotive Ethernet.
ℹ️ Zone Controller는 Gateway와 무엇이 다른가
전통적인 Gateway ECU는 도메인 간 메시지를 필터링·변환하는 역할에 집중한다. Zone Controller는 그것을 포함하면서 더 많은 역할을 통합한다. Zonal Controller는 게이트웨이 기능, 전력 분배, 로컬 부하 제어 등 기존 바디 컨트롤 모듈이 처리하던 여러 기능을 통합한 고집적 ECU다. 쉽게 말하면 Gateway + BCM + 전력 관리가 하나로 합쳐진 것에 가깝다.
전통적인 Gateway ECU는 도메인 간 메시지를 필터링·변환하는 역할에 집중한다. Zone Controller는 그것을 포함하면서 더 많은 역할을 통합한다. Zonal Controller는 게이트웨이 기능, 전력 분배, 로컬 부하 제어 등 기존 바디 컨트롤 모듈이 처리하던 여러 기능을 통합한 고집적 ECU다. 쉽게 말하면 Gateway + BCM + 전력 관리가 하나로 합쳐진 것에 가깝다.
Zonal Architecture — 보안은 더 안전해지는가, 위험해지는가
처음 보면 중앙 컴퓨터 하나에 기능이 집중되니 오히려 더 위험해 보인다. 실제로 두 가지 측면이 모두 존재한다.
❌ Zonal Architecture는 중앙 컴퓨터가 뚫리면 차량 전체가 끝나므로 더 위험하다
✅ 집중화는 공격 표면을 줄이고 보안 정책을 일관되게 적용할 수 있게 만든다 — 단, 설계에 따라 다르다
Domain Architecture에서는 수십~백 개의 ECU가 각자 보안 수준이 달랐다. 가장 약한 ECU가 전체의 보안 수준을 결정했다. Zonal Architecture에서는 보안 정책을 Central Computer와 Zone Controller에 집중해 일관되게 적용할 수 있다. 하지만 Central Computer 자체의 보안이 중요해진다는 점에서 설계와 구현의 중요성이 더 높아진다.
| 보안 관점 | Domain Architecture | Zonal Architecture |
|---|---|---|
| 공격 표면 | ECU 수만큼 공격 표면 존재 | Zone Controller + Central Computer로 집약 — 표면 감소 |
| 보안 정책 적용 | ECU마다 각자 — 일관성 유지 어려움 | Central에서 일관 적용 가능 |
| 침해 확산 | 같은 CAN 도메인 내 확산 용이 | Zone Controller가 확산 차단 레이어 역할 가능 |
| 단일 장애점 | 없음 (분산) | Central Computer가 고가용성 설계 필요 |
| OTA 보안 | ECU별 개별 업데이트 — 관리 복잡 | Central 통해 통합 관리 — 보안 일관성 향상 |
| 네트워크 프로토콜 | CAN 중심 — 인증 메커니즘 약함 | Automotive Ethernet 중심 — TLS 적용 가능 |
ECU 하나가 침해돼도 차량 전체가 위험하지 않으려면
Zonal Architecture가 보안 향상을 가져오는 것은 구조 자체가 아니라, 그 구조 위에 어떤 보안 기술을 적용하느냐에 달려 있다. 아키텍처는 보안을 쉽게 만들어주는 조건이지, 보안 자체는 아니다.
Zonal Architecture + 보안 기술 조합
1
Zone Controller의 통신 인증 — Zone Controller와 연결된 노드들이 인증된 노드인지 확인. 비인증 노드의 메시지를 Zone Controller 레벨에서 차단. SecOC나 TLS 기반 인증이 이 역할을 한다.
2
Secure Boot로 소프트웨어 무결성 보장 — Central Computer와 Zone Controller 모두 Secure Boot를 적용해 위변조된 소프트웨어가 실행되지 않도록 한다. 침해된 ECU가 악성 소프트웨어를 실행하는 것을 원천 차단.
3
IDS(침입탐지시스템)로 이상 행위 탐지 — 정상 통신 패턴에서 벗어나는 메시지나 행위를 탐지. Zone Controller 또는 Central Computer에서 이상 이벤트를 감지하고 격리. 침해가 발생해도 확산 전에 감지 가능성이 높아진다.
4
네트워크 마이크로 세그멘테이션 — Zone 내부도 기능별로 추가 분리. 조명 제어 노드와 제동 관련 노드가 같은 Zone에 있더라도 직접 통신할 수 없도록 Zone Controller가 정책으로 제어.
💡 Cyber Resilience — 막는 것에서 견디는 것으로
과거 차량 보안의 목표는 "공격을 완전히 막는 것"이었다. 최근 SDV 보안의 방향은 다르다 — "공격당할 것을 전제로 피해를 최소화하고 빠르게 복구하는 것"이다. 이것을 Cyber Resilience라고 한다. Zonal Architecture는 이 개념과 맞닿아 있다. 하나의 Zone이 침해되어도 다른 Zone은 정상 동작하고, 침해 범위를 Zone 단위로 격리하는 것이 목표다.
과거 차량 보안의 목표는 "공격을 완전히 막는 것"이었다. 최근 SDV 보안의 방향은 다르다 — "공격당할 것을 전제로 피해를 최소화하고 빠르게 복구하는 것"이다. 이것을 Cyber Resilience라고 한다. Zonal Architecture는 이 개념과 맞닿아 있다. 하나의 Zone이 침해되어도 다른 Zone은 정상 동작하고, 침해 범위를 Zone 단위로 격리하는 것이 목표다.
그렇다면 ECU 하나가 해킹되면 차량 전체가 위험한가
이 질문에 대한 답은 아키텍처와 적용된 보안 기술에 따라 달라진다.
과거 Domain Architecture
위험성이 높았던 이유
같은 CAN 도메인 내 다른 ECU 공격 용이
외부 연결 ECU(인포테인먼트)가 내부 버스 접근 가능
SecOC 없는 CAN — 메시지 위조·주입 가능
ECU별 보안 수준 편차 — 가장 약한 곳이 기준
Zonal Architecture + 보안 기술
침해가 전체 장악이 아닌 이유
Zone Controller가 비인증 메시지 차단
Secure Boot로 악성 소프트웨어 실행 차단
IDS가 이상 행위 조기 탐지
Zone 단위 격리로 확산 제한
TLS 기반 Ethernet — 중간자 공격 어려움
⚠️ 중요한 전제 — 구조만으로 안전해지지 않는다
Zonal Architecture로의 전환에는 사이버보안, 열 관리, 소프트웨어 통합 측면의 과제가 존재한다. Zone Controller 자체가 뚫리면 해당 Zone의 모든 노드가 위험해질 수 있다. Central Computer가 침해되면 더 심각한 상황이 된다. Zonal Architecture는 보안을 더 잘 구현할 수 있는 구조를 제공할 뿐이다. 실제 보안은 그 위에 적용되는 기술과 운영에 달려 있다.
Zonal Architecture로의 전환에는 사이버보안, 열 관리, 소프트웨어 통합 측면의 과제가 존재한다. Zone Controller 자체가 뚫리면 해당 Zone의 모든 노드가 위험해질 수 있다. Central Computer가 침해되면 더 심각한 상황이 된다. Zonal Architecture는 보안을 더 잘 구현할 수 있는 구조를 제공할 뿐이다. 실제 보안은 그 위에 적용되는 기술과 운영에 달려 있다.
🔧 현업에서 느끼는 변화들
TARA의 Item Boundary 정의가 달라져야 한다 — Domain Architecture에서는 도메인 단위로 Item을 정의했다. Zonal Architecture에서는 Zone Controller와 Central Computer가 새로운 Asset이자 신뢰 경계(Trust Boundary)가 된다. 기존 TARA 방법론을 그대로 적용하면 새로운 공격 표면을 놓치기 쉽다. Zone Controller가 침해됐을 때의 공격 시나리오를 TARA에 포함해야 한다.
Zone Controller의 보안 수준이 전체 Zone의 보안 수준을 결정한다 — 과거에는 가장 약한 ECU가 전체 도메인의 보안 수준을 결정했다. Zonal Architecture에서는 Zone Controller가 그 역할을 대신한다. Zone Controller 하나가 뚫리면 해당 Zone의 조명, 잠금, 센서, 액추에이터가 모두 영향을 받을 수 있다. Zone Controller의 HSM, Secure Boot, 네트워크 인증 수준이 중요해진다.
협력사 보안 역할 분배가 복잡해진다 — Domain Architecture에서는 ECU별로 협력사가 분리되어 보안 책임도 비교적 명확했다. Zonal Architecture에서는 Zone Controller가 여러 협력사의 기능을 통합한다. 어느 협력사가 Zone Controller의 어느 부분 보안을 담당하는지, 인터페이스 보안은 누가 책임지는지를 CIAD로 명확히 정의하는 것이 더 중요해진다.
ECU 하나가 해킹되면 차량 전체가 위험한가?
과거 Domain Architecture에서는 그럴 가능성이 실제로 있었다. Jeep Cherokee 사건이 그것을 보여줬다.
Zonal Architecture + 적절한 보안 기술의 조합은 "침해(Compromise)가 곧 차량 장악(Takeover)을 의미하지 않는" 구조를 만든다.
하지만 구조만으로 보안이 보장되지는 않는다. 아키텍처는 보안을 구현하기 좋은 조건을 만들어줄 뿐이다.
핵심 요약
1
2015년 Jeep Cherokee 해킹은 Domain Architecture의 네트워크 분리 부재를 보여줬다 — 인포테인먼트 ECU에서 CAN 버스로 이동해 다른 ECU를 공격하는 것이 가능했다.
2
Zonal Architecture는 위치 기반으로 ECU를 재편한다 — Zone Controller가 게이트웨이·전력관리·로컬 제어를 통합. Central Computer가 소프트웨어 정의 기능을 담당.
3
구조 변화가 보안 장단점을 동시에 가져온다 — 공격 표면 감소, 보안 정책 일관 적용이 가능해지지만, Zone Controller와 Central Computer 자체의 보안이 더 중요해진다.
4
SecOC, Secure Boot, IDS가 조합되어야 의미 있다 — Zonal Architecture는 이 기술들을 더 효과적으로 적용할 수 있는 구조를 제공하지만, 기술 적용 없이는 보안이 보장되지 않는다.
5
목표는 Cyber Resilience다 — 공격을 완전히 막는 것이 아니라, 침해가 발생해도 피해를 Zone 단위로 제한하고 빠르게 복구하는 것이 현실적인 목표다.
반응형
'차량 사이버보안 > SDV · AI 보안' 카테고리의 다른 글
| AI를 속이는 공격은 스티커만이 아니다 — Data Poisoning부터 Model Backdoor까지 (0) | 2026.06.01 |
|---|---|
| Adversarial Attack이 자율주행차를 속이는 방법 — 스티커 한 장으로 AI를 속일 수 있다면 (1) | 2026.06.01 |
| ISO/PAS 8800 — AI 차량 시대의 새로운 안전 표준 — 21434로 부족한 이유, 그 다음은 무엇인가 (0) | 2026.06.01 |
| AI가 차량에 들어가면 TARA는 어떻게 바뀔까? — 위협 분석·리스크 평가 방법론의 진화 (0) | 2026.06.01 |
| 차량 보안과 AI는 어떻게 만날까? — AI Vehicle 시대가 오면 사이버보안은 무엇이 달라질까 (0) | 2026.06.01 |