2026-06-18 — views
자율주행차 사이버보안 — 피지컬 AI 성장을 가로막을 수 있는 공격 면 전체 지형도
자율주행차는 네트워크에 연결된 컴퓨터다. 대규모 차대 공격은 인명 피해를 초래하고 피지컬 AI 투자 논리를 수년 후퇴시킬 수 있다.
피지컬 AI 벤치마크 시리즈 85편 — 자율주행차 사이버보안: 피지컬 AI 성장을 가로막을 수 있는 공격 면 전체 지형도
자율주행차는 우연히 소프트웨어를 실행하는 자동차가 아니다. 고속도로를 달리는 2톤짜리 기계를 실시간으로 제어하는 바퀴 달린 네트워크 컴퓨터다. 모든 셀룰러 연결, 모든 OTA 업데이트 파이프라인, 모든 센서 시스템, 모든 HD 맵 타일, 모든 차대 관리 API가 공격 면이 된다. 사람이 운전하는 차량에 대한 사이버 공격은 운전자를 불편하게 한다. 자율주행차에 대한 동일한 공격은 생명을 앗아갈 수 있다.
상업용 AV 차대에 대한 대규모 사이버 공격——수백 대의 차량에서 동시에 갑작스러운 제동, 잘못된 경로 안내, 센서 속임을 유발하는——은 인명 피해를 초래하고, 재앙적인 민사 책임을 유발하며, 긴급 규제 중단을 촉발하고, 피지컬 AI 투자 논리를 수년 후퇴시킬 수 있다. 이것은 이론적 시나리오가 아니다. 공격 벡터는 문서화되어 있고, 연구 시연은 공개되어 있으며, 네트워크로 연결된 차대에 새 차량이 추가될 때마다 공격 면은 계속 확대된다.
이 글은 AV 사이버보안 지형도를 그린다: AV 공격이 기존 차량 공격보다 본질적으로 더 위험한 이유, 5가지 주요 공격 면, 기록된 개념 증명 연구, 주요 기업의 보안 태세 비교, 그리고 중국 연계 AV 기업에 영향을 미치는 CFIUS 국가 안보 차원.
1절 — 자율주행차 사이버보안이 독특하게 위험한 이유
| 위험 차원 | 사람이 운전하는 차량 | 자율주행차 | 더 심각한 이유 |
|---|---|---|---|
| 원격 탈취 | 극히 낮음 — 자율 제어 시스템 없음 | 높음 — 셀룰러/V2X 연결이 원격 차량 제어를 가능하게 함 | AV 조향/제동은 컴퓨터가 제어; 원격 코드 실행은 원격 운전과 같다 |
| 차대 규모 공격 | 개별 차량; 차대 연결 없음 | 단일 취약점이 수천 대의 차량에 동시에 영향을 미칠 수 있음 | 상업 차대는 네트워크로 연결; 하나의 취약점이 차대 전체 노출을 의미 |
| GPS 스푸핑 | 운전자는 잘못된 내비게이션을 무시하고 눈으로 판단 | AV가 속은 GPS를 따라 잘못된 차선이나 도로로 진입할 수 있음 | 비전 전용 AV는 덜 취약(카메라로 교차 검증 가능); HD 맵 AV는 GPS에 더 의존 |
| 센서 적대적 공격 | 인간 시각은 적대적 패턴에 강함 | 카메라 시스템은 신경망을 혼란시키는 적대적 스티커/패턴에 취약 | 연구로 입증: 스티커가 붙은 정지 표지판이 속도 제한 표지판으로 분류됨 |
| OTA 업데이트 파이프라인 | 해당 없음 | 침해된 OTA는 하룻밤 사이 전체 차대에 악성 코드를 배포하는 것과 같음 | Tesla와 Waymo 모두 OTA 사용; 공급망 공격은 재앙적일 수 있음 |
| HD 맵 오염 | 해당 없음 | 조작된 맵 데이터가 차량을 위험한 곳으로 안내할 수 있음 | Waymo의 HD 맵 의존성은 완전히 새로운 공격 면을 만든다 |
| V2X 통신 | 해당 없음 | 차량 간/차량-인프라 통신이 위조된 신호등/인프라에 악용될 수 있음 | 미래 V2X 인프라가 차대 규모로 AV 행동을 조작하기 위해 표적이 될 수 있음 |
핵심 비대칭성: 사람이 운전하는 차량에서 운전자는 모든 디지털 시스템과 독립적으로 작동하는 자율적인 안전 계층이다. 자율주행차에서 그 안전 계층 자체가 디지털 시스템이다. 디지털 시스템이 침해되면 독립적인 대비책이 존재하지 않는다.
2절 — 기록된 공격 연구
| 공격 유형 | 연구 결과 | 연도 | 심각도 |
|---|---|---|---|
| Tesla 원격 탈취 | 텐센트 킨 시큐리티 랩이 셀룰러를 통해 Tesla Model S 원격 제어 시연 — 조향, 제동, 도어 잠금 | 2016, 2019 | 치명적(패치 완료) |
| Tesla Autopilot 카메라 속임 | McAfee 연구원들이 Autopilot 장착 Tesla가 수정된 속도 제한 표지판을 읽고 시속 85마일까지 가속하게 만듦 | 2020 | 높음 |
| LiDAR 스푸핑(연구) | 연구원들이 LiDAR 포인트 클라우드를 속여 유령 물체를 생성하거나 AV 인식에서 실제 물체를 제거함을 시연 | 2019–2022 | 높음 |
| GPS 스푸핑(실제 세계) | 헬싱키와 탈린 공항 인근 러시아 군사 GPS 재밍이 상업 항공기 내비게이션 이상 유발 — HD 맵 AV도 동일한 취약성 보유 | 2024 | 중고 |
| 정지 표지판 적대적 패치 | 연구에서 소형 적대적 스티커가 붙은 정지 표지판이 신경망 분류기에 의해 속도 제한 또는 양보 표지판으로 잘못 식별됨을 시연 | 2017–2019 | 높음(실제 세계 배포 가능성에 대한 논쟁 있음) |
| CAN 버스 주입(구형 차량) | 연구원들이 OBD 포트를 통해 CAN 버스에 직접 명령 주입 — 가속, 조향, 제동 | 2015(Jeep Cherokee) | 치명적(비AV; 아키텍처 개선됨) |
| Waymo/Cruise(탈취 공개 보고 없음) | 2026년 중반 현재 상업용 AV 시스템의 성공적인 원격 탈취 공개 보고 없음(추정) | — | 알 수 없음(미보고?) |
적대적 ML 공격은 네트워크 접근도, 소프트웨어 취약점도 필요로 하지 않기 때문에 특히 주목할 가치가 있다. 프린터와 테이프로 충분하다. 실제 데이터 분포로 학습된 엔드투엔드 신경망은 학습 분포 경계에 있는 입력에 대해 구조적인 취약성을 가진다. 이것이 멀티 센서 퓨전이 이 종류의 공격에 대한 구조적 방어를 제공하고, 카메라 전용 시스템이 더 높은 적대적 노출을 안고 있는 이유다.
3절 — 5가지 주요 AV 공격 면
공격 면 1: 셀룰러 및 텔레매틱스 연결
모든 상업용 AV는 차대 모니터링, 원격 지원, OTA 업데이트, 승객 앱을 위해 지속적인 셀룰러 연결을 유지한다. 이 연결은 양방향 파이프다: 데이터는 외부로, 소프트웨어는 내부로 흐른다. 공격 벡터에는 셀룰러 네트워크 도청, SIM 복제, 텔레매틱스 유닛을 통한 원격 코드 실행이 포함된다. 완화책에는 암호화된 TLS/mTLS 통신, HSM 키 저장, AV 트래픽을 격리하기 위한 셀룰러 네트워크 슬라이싱이 포함된다.
공격 면 2: OTA 업데이트 파이프라인
무선으로 차대에 소프트웨어 업데이트를 배포하는 것은 결과가 가장 심각한 단일 공격 면이다. 침해된 OTA 파이프라인은 하룻밤 사이 전체 차대에 악성 코드를 배포할 수 있다. 공격 벡터에는 업데이트 서버의 공급망 침해, 코드 서명 키 도용, 취약한 구버전을 재설치하는 롤백 공격이 포함된다. 완화책에는 하드웨어 지원 키를 사용한 코드 서명, 단계적 배포, 롤백 감지, 차량 내 업데이트 검증이 필요하다.
공격 면 3: 센서 시스템(카메라, LiDAR, 레이더)
AV 인식은 지속적인 센서 입력에 의존한다. 공격 벡터에는 카메라 신경망을 혼란시키는 적대적 물리적 패턴(스티커, 투영 이미지, 그려진 차선 표시), 유령 물체를 생성하거나 실제 물체를 제거하는 레이저 LiDAR 스푸핑, 레이더 재밍, 강한 빛이나 적외선 레이저에 의한 카메라 블라인딩이 포함된다. 주요 완화책은 멀티 센서 중복성이다.
공격 면 4: HD 맵 및 위치 파악 데이터
Waymo 방식의 차량은 사전 구축된 HD 맵에 대해 위치를 파악한다. 공격 벡터에는 맵 업데이트 파이프라인을 통해 배포되는 오염된 맵 타일, 위치 불일치를 강제하는 GPS 스푸핑이 포함된다. HD 맵에 의존하지 않는 비전 전용 시스템은 이 공격 면을 완전히 제거한다.
공격 면 5: V2X(차량-모든 것 통신)
차세대 AV 인프라에는 차량과 신호등, 긴급 차량, 도로 인프라 간의 직접 통신이 포함된다. 공격 벡터에는 AV 행동을 조작하는 위조 신호등, V2X 브로드캐스트를 통한 조율된 다차량 공격이 포함된다. 미국 교통부의 SCMS(보안 자격 증명 관리 시스템)는 V2X 메시지에 대한 PKI 기반 인증을 제공하지만 인프라는 아직 광범위하게 배포되지 않았다.
4절 — 주요 기업 보안 태세 비교
| 보안 차원 | Tesla | Waymo | Aurora | 비고 |
|---|---|---|---|---|
| 버그 바운티 프로그램 | 있음 — Tesla는 2014년부터 버그 바운티 운영; 치명적인 차량 버그에 15,000달러 이상 지급(추정) | 알 수 없음 — 공개 버그 바운티 프로그램 없음(추정) | 알 수 없음 | Tesla의 투명한 버그 바운티는 보안에 긍정적 |
| 셀룰러 아키텍처 | 독자적인 Tesla 셀룰러+WiFi; 암호화 통신; HSM 사용으로 알려짐 | 독자적인 차대 텔레매틱스 | 상업용 셀룰러+독자적 | |
| OTA 보안 | 코드 서명 OTA; 단계적 배포; 15년 이상의 배포 실적 | 코드 서명; 광범위한 배포 전 차대 검증 | 제한된 OTA 이력 | Tesla가 OTA 보안 성숙도 최고 |
| 센서 적대적 견고성 | 비전 전용 — 카메라에 대한 적대적 공격이 주요 노출 | 풀 센서 퓨전 — 적대적 공격이 카메라와 LiDAR와 레이더를 동시에 속여야 함 | 풀 스위트 | 멀티 센서 퓨전이 중복성으로 더 나은 적대적 견고성 제공 |
| HD 맵 공격 면 | 없음 — HD 맵 의존성 없음 | 있음 — HD 맵 파이프라인이 공격 면 | 없음(HD 맵 없음) | 비전 전용은 HD 맵 공격 면을 완전히 제거 |
| 정부 보안 심사 | 미국 기반; 알려진 CFIUS 문제 없음 | 미국 기반; 알려진 CFIUS 문제 없음 | 미국 기반; TuSimple 이후 CFIUS 인식 높음 | 중국 연계 AV 기업은 CFIUS 심사에 직면 |
| 공개된 보안 사고 | 다수의 연구 시연; 모두 패치됨; 소비자 피해 없음 | 공개 없음 | 공개 없음 |
5절 — CFIUS 차원: 중국 연계 AV 기업
중국 기업과 연관된 AV 기업에는 다른 종류의 보안 위험이 적용된다: 데이터 주권과 잠재적인 정보 접근. AV 차대는 미국 도로, 인프라, 시민 행동의 영상을 지속적으로 수집한다. 중국이 통제하는 서버로 데이터가 흘러가는 차대는 어떤 능동적 사이버 공격과도 독립적인 국가 안보 우려다.
| 기업 | 중국 연계 | CFIUS 및 보안 상태 |
|---|---|---|
| TuSimple | 중국인 창업자; 중국 법인에 기술 판매 | CFIUS 및 법무부 조사; 미국 사업 사실상 폐쇄 |
| Pony.ai | 중미계 창업자; 중국과 미국에서 운영 | CFIUS 심사 진행 중; 나스닥 상장; 국경 간 데이터 공유 제한 |
| WeRide | 중미계; 중국과 미국에서 운영 | 유사한 CFIUS 심사; 국경 간 데이터 제한 |
| Waymo / Tesla / Aurora | 미국 기반; 중요한 중국 기업 소유권 없음 | 소유권 기반 CFIUS 심사 대상 아님 |
CFIUS는 중국 연계 AV 기업이 미국 상업 운영을 차단하는 주요 규제 도구가 되었다. TuSimple의 폐쇄가 선례다. 중국 연계 AV 기업에 투자하는 투자자는 암묵적으로 CFIUS 위험을 보유하게 된다.
6절 — 이 시리즈에 대하여
이것은 피지컬 AI 벤치마크 시리즈의 85편이다. 이 글은 사이버보안 차원을 추가한다: AV 공격이 기존 차량 공격보다 본질적으로 더 위험한 이유, 5가지 주요 공격 면(셀룰러 연결, OTA 파이프라인, 센서 시스템, HD 맵, V2X), 기록된 개념 증명 연구 결과, Tesla, Waymo, Aurora의 보안 태세 비교 분석, 중국 연계 AV 운영자의 CFIUS 국가 안보 차원, 그리고 피지컬 AI 성장을 가로막을 수 있는 시스템적 위험 시나리오.
참고: Tesla, Waymo, Aurora의 보안 아키텍처 세부 사항은 공개된 기업 공시, 연구자 발표, 업계 분석을 기반으로 한다. 내부 구현 세부 사항이 알려지지 않은 경우 “(추정)“으로 표시하며 방향성 추정치로 취급해야 한다. 인용된 연구 결과는 모두 개념 증명 시연이며, 확인된 악의적인 실제 공격을 나타내지 않는다. CFIUS 상태는 2026년 중반(추정) 현재 공개 정보를 반영한다. 이 글은 투자 조언을 구성하지 않는다.
출처
- Tencent Keen Security Lab Tesla research — Keen Lab ↗
- NHTSA cybersecurity best practices for AVs — NHTSA ↗
- Tesla bug bounty program — Tesla ↗
- V2X Security Credential Management System — USDOT ↗
- GPS spoofing near conflict zones — GPS World ↗