닫기

테크노트

배너

무선 배터리 관리 시스템의 시대, 더욱 주목받는 보안 기술

URL복사


wBMS이 전기차에서 갖는 장점은?

 

무선 배터리 관리 시스템(wBMS) 기술이 제공하는 모든 이점은 프로세스에서부터 제품에 이르기까지 시스템 보안이 보장될 수 있을 때만 온전히 누릴 수 있다. wBMS의 기술적, 비즈니스적 이점에 대해 전기차(EV) OEM과 나눈 초기 논의에서 확인한 과제들은 달성하기에는 벅차 보이는 것들이었지만 그렇다고 무시하기에는 보상이 너무 크고 확실하기에 그럴 수도 없었다.

 

무선 커넥티비티가 유선·케이블 아키텍처에 비해 갖는 본질적인 장점은 이미 수많은 상용 애플리케이션에서 입증됐으며, 이제는 무선 적용을 시도할 후보 기술로 BMS가 확실한 낙점을 받았다. 

 

 

전기차 배터리 팩이 마침내 성가신 통신 배선 하네스로부터 자유로워짐에 따라 보다 가볍고 작은 모듈식 배터리 팩 실현에 한 발 더 다가서게 됐다. 이를 통해 배터리 팩 배선을 최대 90%, 부피의 15%를 줄임으로써 전체 전기차 설계와 풋프린트를 크게 간소화하고 BOM 비용과 개발 복잡성, 이와 관련한 수동 설치 및 유지보수 작업도 대폭 줄일 수 있다.

 

wBMS는 또 하나의 무선 배터리 설계를 해당 OEM의 전체 EV 차량으로 쉽게 확장할 수 있어, 완성차 제조사와 모델에 각각 적용해야 하는 대대적이고 비용이 많이 드는 팩 하네스 재설계를 피할 수도 있다. wBMS를 사용할 경우, OEM은 배터리 팩 내의 광범위한 BMS 배선의 라우팅 재설계에 대한 걱정 없이 자동차 프레임 설계를 자유롭게 수정할 수 있다. 

 

장기적 관점에서도 차량 무게와 배터리 팩 크기의 지속적인 감소는 향후 전기차 주행 거리를 확장하는 데 필수 요소가 될 것이다. 따라서 wBMS 기술은 OEM이 주행 거리 성능을 향상시키는 데 중요한 역할을 하고, 전기차 주행 거리에 대해 소비자가 오래 전부터 품어 온 불안을 극복하는 데에도 도움을 줄 수 있다.

 

이는 전기차 업계 전반적으로도 시장 확대를 촉진할 뿐 아니라, OEM에도 주행 거리를 강점으로 전기차 시장의 리더로 도약하는 기회를 제공하며, 선도적인 EV OEM 사이에서 주요 차별화 요소가 될 것으로 보인다. 

 

새로운 보안 표준

 

wBMS에 대한 기대치가 달성되려면 그 전에 많은 과제가 해결돼야 한다. wBMS에 사용되는 무선통신은 자동차가 주행할 때 간섭에 견고해야 하며, 시스템은 어떠한 조건에서도 안전해야 한다. 그러나 견고하고 안전한 설계만으로는 의도적인 공격자를 막기에 충분하지 않다. 

 

시스템 보안이 필요한 지점이 바로 여기다. 간섭 소스는 자동차가 주행하는 장소, 예컨대 도시 또는 농촌에 따라 달라질 뿐 아니라 차량 탑승자 중에 동일한 주파수 대역에서 동작하는 다른 무선기기를 사용하는 사람이 있는지 여부에 의해서도 달라진다. 

 

또한, 배터리 팩 내부의 반사는 배터리 셀을 둘러싼 팩에 사용된 재료에 따라 성능을 저하시킬 수 있다. wBMS 신호가 변동할 가능성도 충분히 있는데, 이는 악의적인 공격자는 둘째 치고, 자연적인 조건에서도 통신을 방해할 수 있다. 

 

wBMS 통신이 어떠한 식으로든 방해를 받으면 자동차는 성능을 낮춘 안전 모드로 복귀해 운전자가 적절한 조치를 취하도록 하거나 wBMS 통신이 완전히 끊길 경우 안전하게 정지할 수 있다. 이러한 기능은 시스템에서 발생할 수 있는 모든 고장 모드를 고려하고 부품의 무작위적인 고장에 대처하는 포괄적인 안전 메커니즘을 구현하는 적절한 안전 설계에 의해 달성된다. 

 

그러나 안전 설계는 자동차를 원격으로 조정하는 것을 포함해 시스템을 악용하려는 악의적인 행위자의 가능성을 고려하지 않는다. 2016 블랙 햇 컨퍼런스에서 연구자들은 자동차 게이트웨이를 통한 원격 액세스를 사용해 이동 중인 차량에 대해 이러한 가능성을 시연했다. 

 

무선 견고성과 페일-세이프 설계로는 충분하지 않고 보안이 동반돼야 하는 이유다. 블랙 햇 시연은 자동차의 미래 무선 시스템을 또 다른 원격 액세스 포인트로 이용할 수 없도록 설계해야 한다는 것을 보여주는 중요한 교훈을 제시한다.

 

반면, 기존 유선 배터리 팩은 원격 액세스를 제공하지 않으므로 해커가 배터리 데이터에 액세스하려면 차량의 고압 환경에 물리적으로 접근해야 한다. 그림 2에서 보듯이 전기차 배터리 수명 주기 전체에서 추가적인 보안 과제가 발생할 수 있다. 

 

 

아나로그디바이스(ADI)의 wBMS 설계에 대한 접근 방법은 전기차 배터리의 생산에서부터 공장, 배치 및 유지보수, 그리고 2차 수명을 영위할지, 아니면 수명을 다할지에 이르기까지 다양한 단계를 이해하는 데 초점을 맞춘다. 이러한 사용 사례는 wBMS가 지원해야 하는 다양한 기능을 정의한다.

 

한 예로, 배터리를 전기차에 배치하는 동안 승인되지 않은 원격 액세스를 방지하는 것은 고려해야 할 사항 중 하나지만, 제조 중에는 보다 유연한 액세스가 필요하다. 또 다른 예는 서비스 가용성에 있다.

 

이 경우, 수리 권리법에 따라 자동차 소유자가 배터리 셀 또는 관련된 wBMS에서 발생하는 문제를 수리하도록 필요한 방법을 갖춰야 한다. 이는 wBMS 소프트웨어 업데이트를 위한 합법적인 방법을 지원해야 하며, 해당 업데이트 방법은 차량이 서비스 센터를 떠날 때 차량 안전을 훼손해서는 안 된다는 것을 의미한다. 

 

전기차 배터리는 더 이상 전기차 성능 표준을 만족할 수 없을 때 에너지 분야에 재배치되기도 한다. 이를 위해서는 전기차 배터리의 1차 수명에서 2차 수명으로 보안성이 뒷받침되는 소유권 이전이 필요하다.

 

배터리는 인텔리전스 기능이 내장되지 않은 장치이므로, 전기차 배터리 수명 주기를 가장 잘 지원하는 적절한 보안 정책의 시행은 함께 제공되는 wBMS에 의존한다. 1차 수명의 비밀 키는 배터리를 2차 수명으로 전환하기 전에 안전하게 삭제해야 한다. 

 

이러한 우려를 예상하고, ADI는 공정 단계에서부터 제품 단계까지 보안 무결성을 유지 및 강화하는 데 최우선 가치를 두고 엄밀한 조사를 실시하는 고유의 핵심 설계 원칙에 따라 이에 대응해왔다. 이와 함께 ‘도로 차량 : 사이버 보안 엔지니어링’에 대한 표준인 ISO/SAE 214342 이 지난 3년의 개발 기간을 거쳐 2021년 8월에 공식 발표됐다.

 

이 표준은 4단계 사이버 보안 보증과 함께, ADI 고유의 핵심 설계 원칙과 유사한, 철저하고 포괄적인 프로세스 프레임워크를 정의하고 있다. 자동차 OEM 및 공급업체는 1에서 4까지 등급이 매겨지며, 4는 최고 수준의 적합성을 뜻한다(그림 3). 
 


ADI의 wBMS 접근법은 자동차 산업계에서 보안 제품 개발에 최고 수준의 검사와 엄격함을 적용할 것을 요구하는 ISO/SAE 21434에 부합한다. 이를 검증하기 위해 ADI는 널리 알려진 공신력 있는 인증기관인 TÜV-Nord와 협력해 ADI의 내부 개발 정책과 프로세스를 평가했다. 그 결과, 그림 4에서 보듯이 ADI의 정책과 프로세스는 새로운 표준 ISO 21434를 완벽하게 준수하는 것으로 확인됐다. 
 

 

디바이스에서 네트워크까지 엄격한 조사

 

ADI는 wBMS 제품 설계의 체계적인 프로세스를 따라가며, 고객의 제품 사용 의도에 기반한 위협 동향 파악을 위해 위협 평가 및 위험 분석(TARA)을 수행했다. 시스템이 무엇을 수행하는지, 그리고 수명 주기 동안 시스템에 어떻게 사용되는지를 이해함으로써, 우리는 보호가 주요 자산과 잠재적 위험을 파악한다. 


TARA 기법에는 잘 알려진 마이크로소프트의 STRIDE 방법을 포함해 여러 가지 기법이 있다. STRIDE란 6가지 위협의 앞 글자를 딴 약어로 위장(Spoofing), 조작(Tampering), 부인(Repudiation), 정보 유출(Information disclosure), 서비스 거부(DoS, Denial of service), 권한 상승(Elevation of privilege)을 가리키며, 이 6가지 보안 위협을 고려해 위협 모델링을 시도하는 기법이다. 그림 5와 같이 wBMS 시스템을 이루는 구성요소의 다양한 인터페이스에 이를 적용한다. 

 

 

이들 인터페이스는 데이터 및 제어 흐름 경로에 있는 자연적 지점으로, 잠재적 공격자는 이 지점을 통해 시스템의 자산에 무단으로 액세스한다. 여기서 우리는 공격자의 역할을 수행해 각각의 위협이 각 인터페이스에 어떻게 적용 가능한지 그리고 이유는 무엇인지 자문함으로써 가능한 공격 경로를 파악하고, 위협이 발생할 가능성은 얼마나 되는지, 만약 공격이 성공한다면 결과는 얼마나 심각할지를 짐작할 수 있다.

 

그 다음에는 제품이 놓인 환경(예를 들면 창고 또는 배치)에 따라 위협 가능성과 영향이 달라질 수 있으므로, 다양한 수명 주기 단계에서 이러한 사고 프로세스를 반복한다. 이 정보는 특정한 대책 마련의 필요성을 알려줄 수 있다. 

 

그림 5처럼 배치할 경우, 무선 셀 모니터와 wBMS 관리자 사이의 무선 채널을 예로 들어보자. 만약 자산이 무선 셀 모니터의 데이터고, 이 데이터 값이 해커에게 유출되는 것이 염려된다면, 데이터가 무선 채널을 통과할 때 데이터를 암호화할 수 있다.

 

또한, 데이터가 채널을 통과할 때 무단 조작되는 것이 우려된다면, 메시지 무결성 코드와 같은 데이터 무결성 메커니즘으로 데이터를 보호할 수 있다. 만약 데이터의 출처를 식별하는 것이 관심사라면 무선 셀 모니터를 wBMS 관리자에게 무선 셀 모니터 인증을 하기 위한 방법이 필요할 것이다.

 

이러한 예제를 시행하면 wBMS 시스템의 주요 보안 목표를 식별할 수 있다(그림 6 참조). 이러한 보안 목표를 위해서는 몇 가지 메커니즘을 구현해야 한다. 흔히 “특정 보안 목표를 달성하기 위한 메커니즘을 선택할 때 어느 정도까지 살펴봐야 하는가?”라는 질문을 하곤 한다.

 

 

보안 대책이 많으면 많을수록 제품의 전반적인 보안 성능이 향상되는 것은 거의 확실하겠지만, 비용이 높아지고 제품을 사용하는 최종 소비자에게 불필요한 불편함을 초래할 수 있다. 일반적인 접근법은 시도하기가 가장 쉬우면서 발생 가능성이 가장 높은 위협을 완화하는 것이다.

 

더 큰 자산 가치를 목표로 하는 보다 정교한 공격일수록 그만큼 더 강력한 보안 조치가 필요할 가능성이 높지만, 대신 이러한 공격은 발생 가능성이 극히 낮기 때문에 공들여 보안 조치를 구현한다고 해도 성과나 보상이 낮을 수 있다. 

 

예를 들어 wBMS에서 자동차가 도로를 주행하는 동안 배터리 데이터 측정에 액세스하기 위해 IC 구성요소를 물리적으로 무단 조작할 가능성은 극히 낮다. 이러한 공격을 시도하려면 자동차가 움직이는 동안 자동차 부품에 정교한 작업을 수행하기 위해 전기차 배터리 관련 지식이 풍부한 숙련된 정비사가 필요하기 때문이다. 실제 공격자는 보다 쉬운 공격 경로를 시도할 가능성이 높다.

 

네트워크로 연결된 시스템에 대한 일반적인 공격 유형은 사용자의 제품 사용을 방해하는 서비스 거부 공격이다. wBMS 기능을 방해하기 위해서는 휴대용 무선 신호 교란 장치를 만드는 복잡하고 어려운 방법도 있겠지만, 타이어에서 공기를 빼는 방법도 있다. 

 

일련의 적절한 완화 조치로 위험을 조정하는 이러한 단계를 위험 분석이라고 한다. 적절한 대응책을 도입하기 전과 후에 관련된 위협의 영향과 가능성을 비교함으로써 남은 위험이 합리적으로 최소화되었는지 파악할 수 있다.

 

최종 결과는 보안 기능이 필요한 경우에만, 그리고 고객이 수용할 수 있는 비용 수준에서 통합된다. wBMS를 위한 TARA는 wBMS 보안의 두 가지 중요한 측면인 디바이스 수준 보안과 무선 네트워크 보안을 가리킨다.


모든 보안 시스템의 첫 번째 규칙은 ‘키를 비밀로 유지하라’는 것이다. 이는 디바이스와 ADI의 전 세계 제조 운영 모두에 적용된다. ADI의 wBMS 디바이스 보안은 하드웨어, IC, 그리고 IC의 로우 레벨 소프트웨어를 모두 보안 대상으로 고려하며, 시스템이 변경 불가능한 메모리로부터 신뢰하는 플랫폼으로 안전하게 부팅해 코드를 실행할 수 있도록 보장한다.

 

모든 소프트웨어 코드는 실행 전에 인증되며, 모든 현장 소프트웨어 업데이트는 사전 설치된 자격 증명에 의한 인증이 있어야 가능하다. 시스템이 차량에 설치된 후에는 소프트웨어의 이전(그리고 취약한) 버전으로의 회귀는 금지된다. 또한, 시스템이 설치되면 디버그 포트가 잠기므로 시스템에 승인되지 않은 백도어 액세스는 불가능하다.


네트워크 보안은 배터리 팩 인클로저 내에서 wBMS 셀 모니터 노드와 네트워크 관리자 간의 무선 통신 보호를 목표로 한다. 보안은 네트워크 합류 시 시작되며, 참여하는 모든 노드에 대해 구성원 자격을 검사한다. 이것은 임의의 노드가 우연히 물리적으로 가까이 있더라도 네트워크에 합류하지 못하도록 한다.

 

애플리케이션 계층에서 네트워크 관리자에 대한 노드의 상호 인증은 무선 통신 채널을 더욱 안전하게 보호하므로 중간자 공격자가 관리자에게 합법적 노드로 또는 그 반대로 가장하는 것이 불가능하다. 또한, 정해진 수신자만 데이터에 액세스하도록 AES 기반 암호화를 사용해 데이터를 암호화 방식으로 뒤섞음으로써 정보가 잠재적 해커에게 유출되는 것을 방지한다.

 

키 보안

 

모든 보안 시스템과 마찬가지로 보안의 핵심은 암호화 알고리즘과 키 세트이다. ADI의 wBMS는 NIST 승인 지침을 따른다. 이는 저장 데이터 보호에 적합한 128비트의 최소 보안 강도에 맞춘 알고리즘과 키 크기를 선택하는 것을 의미하며(예: AES-128, SHA-256, EC-256), IEEE 802.15.4와 같은 많은 테스트를 거친 무선 통신 표준에서 지원하는 알고리즘을 사용한다.


디바이스 보안에 사용되는 키는 일반적으로 ADI의 제조 공정 중에 설치되며 항상 IC 디바이스에 포함돼 있다. 또한 시스템 보안을 보장하기 위해 사용되는 이들 키는 IC 디바이스가 동작 중이든 대기 상태이든 관계없이 승인되지 않은 액세스로부터 모두 디바이스에 의해 물리적으로 보호된다.

 

다음으로 계층적 키 프레임워크는 네트워크 보안에 사용되는 키를 포함해 모든 애플리케이션 수준 키를 비휘발성 메모리에 암호화된 블롭으로 저장해 보호한다. 네트워크에서 노드의 상호 인증이 용이하도록 ADI의 wBMS는 제조 중에 고유의 공개-개인키 쌍과 서명된 공개키 인증서를 각 wBMS 노드에 프로비저닝했다.

 

서명된 인증서는 노드가 다른 합법적인 ADI 노드 및 유효한 네트워크 구성원과 통신한다는 것을 검증하게 하며, 고유의 공개-개인키 쌍은 키 계약 방식에서 노드에 의해 다른 노드 또는 BMS 컨트롤러와 보안 통신 채널을 구축하는 데 사용된다. 이 방법의 이점은 배포 후 네트워크 보안을 자동으로 처리하도록 노드가 프로그래밍되기에 보안 설치 환경 없이도 wBMS를 쉽게 설치한다는 것이다. 

 

이와 달리 사전 공유된 키를 사용해 보안 채널을 구축하는 과거의 방식은 종종 보안 설치 환경과 통신 엔드 포인트에 대한 키 값을 수동으로 프로그래밍하기 위한 설치 프로그램을 필요로 한다. 키 설치 문제 처리 비용을 줄이고 작업을 간소화하기 위해 종종 네트워크의 모든 노드에 디폴트 공통 네트워크 키를 할당하는 방법이 많이 사용됐다.

 

그러나 이 방법은 한 곳이 뚫리면 다른 곳도 모두 뚫리는 사태가 발생함으로써 값 비싼 대가를 치르곤 했다. OEM 생산이 확대됨에 따라 다양한 전기차 플랫폼에서 다양한 수의 무선 노드에 동일한 wBMS를 활용하고, 안전이 확보된 다양한 제조 또는 서비스 현장에 설치할 수 있으면서 전체키 관리 복잡성을 간소화하는 분산된 키 방법을 사용할 것을 권장한다. 

 

결론

 

wBMS 기술의 모든 이점은 디바이스에서 네트워크까지, 그리고 전기차 배터리 수명 동안 보안을 보장할 수 있는 경우에만 달성할 수 있다. 이러한 점에서 보안은 프로세스와 제품을 모두 포괄하는 시스템 수준의 설계 철학을 필요로 한다. 

 

ADI는 표준 초안이 작성되는 동안 ISO/SAE 21434 표준에서 다루는 핵심적인 사이버 보안 문제를 예상하고, 이를 자체적인 wBMS 설계 및 개발 강령에 포함시켰다. ADI는 정책과 프로세스에서 ISO/SAE 21434 준수를 달성한 최초의 기술 공급업체 중 한 곳임을 자랑스럽게 생각하며, 현재 최고 사이버 보안 보증 단계에 대한 wBMS 기술 인증을 진행 중이다. 

 

헬로티 서재창 기자 |









배너










주요파트너/추천기업