2026-06-18 — views
피지컬 AI 사이버보안 — 자율주행 공격 표면, 센서 스푸핑, 전체 플리트 위험
자율주행에 대한 사이버 공격은 물리적 안전 사건——센서 스푸핑, OTA 파이프라인 악용, HD맵 주입을 피지컬 AI 보안 벤치마크 차원으로 체계적으로 분석.
피지컬 AI 벤치마크 시리즈 제115편 — 피지컬 AI 사이버보안: 자율주행 공격 표면, 센서 스푸핑, OTA 파이프라인 보안, 그리고 자율 플리트에 대한 사이버 공격이 물리적 안전 사건인 이유
자율주행 차량은 물리 공간에서 운행되는 네트워크 연결 컴퓨터이다. 침해된 기업 서버와 달리——그 결과는 데이터 손실, 몸값 지불 또는 서비스 중단——자율주행 차량에 대한 성공적인 사이버 공격은 공공 도로에서 직접적인 차량 제어 상실로 이어질 수 있다. 결과의 범주가 근본적으로 다르다: 데이터 침해가 아니라 공유 공공 환경에서 고속으로 주행하는 수 톤 무게의 기계가 관련된 물리적 안전 사건이다.
자율주행 차량의 공격 표면은 비정상적으로 넓다. 자율주행 차량은 동시에 차량(브레이크, 핸들, 가속을 제어하는 물리적 액추에이터를 가진), 센서 스위트(LiDAR, 카메라, 레이더, GPS, 초음파), 네트워크 연결 컴퓨터(OTA 업데이트와 원격 작업을 위한 모바일 연결을 가진), 클라우드 서비스 클라이언트(HD맵, 원격 지원, 경우에 따라 클라우드 추론), 그리고 플리트 구성원(수백 또는 수천 대의 동일한 차량과 소프트웨어를 공유하는)이다.
본 논문은 자율주행 사이버보안을 구조화된 벤치마크 차원으로 매핑한다. 제1절은 난이도와 영향 평가와 함께 공격 표면을 정리한다. 제2절은 실증된 연구 공격을 기술적 세부사항과 함께 검토한다. 제3절은 주요 차원에서 Tesla와 Waymo의 보안 아키텍처를 비교한다. 제4절은 사이버보안이 피지컬 AI 벤치마크 프레임워크에 속하는 이유를 확립한다.
제1절 — 자율주행 공격 표면 지도
| 공격 표면 | 내용 | 잠재적 영향 | 공격자 난이도 |
|---|---|---|---|
| OTA 소프트웨어 업데이트 파이프라인 | 차량 펌웨어와 자율주행 소프트웨어 스택에 대한 무선 업데이트; 서명 인프라가 침해되면 공격자가 전체 플리트에 동시에 악성 코드를 배포할 수 있다 | 전체 플리트 차량 제어 침해; 최악의 경우: 모든 차량에서 동시 물리적 사건 | 높음——제조업체 서명 인프라 침해 필요; 성공 시 영향은 재앙적 |
| LiDAR 스푸핑 | LiDAR 장치가 실제 장애물로 해석하는 레이저 펄스를 투사하여 허위 포인트 클라우드 데이터를 주입; 유령 장애물을 생성하거나 실제 물체를 마스킹할 수 있다 | 유령 장애물에 대해 차량이 긴급 제동; 또는 스푸핑 데이터로 마스킹된 실제 보행자를 감지하지 못함 | 중간——물리적 근접 필요(추정 10–50m); 학술 연구에서 실증됨 |
| 카메라 적대적 공격 | 카메라 기반 신경망을 혼란시키는 적대적 패치(스티커나 도로면에 인쇄된 특정 시각적 패턴) | 정지 표지판이 속도 제한 표지판으로 읽힘; 보행자가 배경으로 분류됨 | 중간——물리적으로 패치를 배치해야 함; 연구에서 실증됨 |
| GPS/GNSS 스푸핑 | 차량 위치 추정을 재정의하는 허위 GPS 신호 방송 | 차량이 잘못된 위치로 유도됨; HD맵 상관 관계가 깨짐 | 중간——SDR 하드웨어 필요; 연구에서 실증됨 |
| HD맵 주입 | HD맵 업데이트 파이프라인을 침해하여 허위 도로 기하, 차선 표시, 또는 교통 요소를 삽입 | 차량이 허위 맵에 따라 위험한 지역으로 유도됨 | 높음——맵 배포 인프라 접근 필요; Waymo의 맵 의존 아키텍처가 비전 전용 접근보다 취약 |
| 원격 지원 채널 | 원격 운영자와 차량 간 통신 링크에 대한 중간자 공격 | 긴급 상황에서 운영자가 차량 제어를 잃음; 또는 공격자가 허위 명령 전송 | 높음——암호화된 통신 침해 필요; 성공적인 공격은 차량을 멈추게 하거나 잘못 유도할 수 있음 |
| 클라우드 추론 API | 추론이 차량 탑재가 아닌 클라우드에서 실행되는 경우, 침해된 엔드포인트가 주행 결정에 영향을 줄 수 있다 | 변조된 데이터에 기반한 결정; 타이밍 공격이 중요한 상황에서 응답을 지연 | 아키텍처 의존——Tesla와 Waymo는 차량 탑재로 추론을 실행하는 것으로 보임(추정) |
| CAN 버스/내부 네트워크 | 공격자가 차량 내부 네트워크에 물리적 또는 무선 접근을 얻으면 브레이크, 핸들, 가속에 명령을 주입할 수 있다 | 직접적인 차량 제어 | 무선으로는 매우 어려움; 물리적 접근 필요; 2015년 지프 체로키 해킹에서 실증됨 |
제2절 — 실증된 연구 공격
| 공격 | 실증자 | 대상 | 방법 | 결과 |
|---|---|---|---|---|
| LiDAR 스푸핑 | UC 어바인, 듀크 대학 등 학술 연구 그룹(추정 2019–2022년) | 범용 자율주행 LiDAR 장치 | 맞춤형 레이저 펄스 주입기(추정 약 50달러 하드웨어) | 유령 물체 생성; 자율주행 테스트 플랫폼이 긴급 제동 |
| 카메라 적대적 패치 | 카네기멜론, MIT 등 여러 학술 그룹 | 정지 표지판 인식 시스템 | 정지 표지판에 적대적 패턴 스티커 부착 | 제어 실험에서 정지 표지판이 높은 비율로 속도 제한 표지판으로 오분류 |
| Tesla FSD 적대적 공격 | Tencent Keen Security Lab(2019년, 2022년) | Tesla Autopilot 카메라 시스템 | 테이프로 차선 표시 변경; 도로면에 적대적 패치 부착 | 테스트 조건에서 차량이 반대 차선으로 유도됨; 속도 제한 표지판 오독 |
| GPS 스푸핑 | 여러 연구 그룹; 자율 선박과 드론에서 실증 | GPS 의존 내비게이션 시스템 | 소프트웨어 정의 무선(SDR)이 허위 GPS 신호 방송 | 차량과 드론이 허위 위치로 유도됨 |
| CAN 버스 공격(지프 해킹) | Miller and Valasek(2015년)——공개 발표 | 2014년 Jeep Cherokee | Uconnect 모바일 모뎀을 통한 원격 익스플로잇으로 CAN 버스 주입 | 고속 주행 중 핸들, 브레이크, 가속의 원격 제어 실증 |
| 참고 | 위의 모든 공격은 연구/책임 있는 공개 맥락 | — | — | 2026년 중반 현재 물리적 피해를 초래한 악의적인 자율주행 사이버 공격은 확인되지 않음(추정) |
제3절 — Tesla와 Waymo 보안 아키텍처 비교
| 보안 차원 | Tesla | Waymo |
|---|---|---|
| OTA 업데이트 서명 | 모든 소프트웨어 업데이트에 암호학적 코드 서명; 검증된 부팅 체인; 차량 내 하드웨어 보안 모듈(HSM)(추정) | 동일한 접근 방식; Alphabet 수준의 보안 기준 적용(추정) |
| HD맵 공격 표면 | Tesla의 비전 전용 접근 방식은 HD맵 공격 표면을 완전히 제거——침해될 맵 파이프라인이 존재하지 않음 | Waymo의 HD맵 의존성은 추가 공격 표면을 생성; 맵 무결성을 센서 데이터와 지속적으로 검증해야 함 |
| 추론 위치 | 완전 차량 탑재——HW4가 모든 추론을 로컬에서 실행; 주행 결정에 클라우드 API 의존성 없음(추정) | 주로 차량 탑재(추정); 엣지 케이스에서 인간 감독을 위해 원격 지원 채널 유지 |
| 모바일 연결 | Tesla 차량은 OTA, 원격 모니터링, 센티넬 모드를 위해 LTE/5G를 가짐; 모바일 인터페이스는 공격 표면 | Waymo 차량은 원격 지원과 플리트 운영을 위해 모바일 연결을 가짐; 공격 표면 존재 |
| 버그 바운티 프로그램 | Tesla는 공개 버그 바운티 프로그램을 가짐(추정); 연구자들에게 차량 취약점 공개 보상을 지급 | Alphabet/Waymo는 보안 연구 프로그램을 가짐(추정) |
| 아키텍처적 보안 우위 | 비전 전용 아키텍처는 HD맵을 공격 벡터로서 제거; 비전 추론은 차량 탑재에서만 실행 | 맵 의존 아키텍처는 지속적인 맵 파이프라인 보안 필요; Alphabet 보안 기준에 의한 심층 방어가 우위 |
제4절 — 자율주행 사이버보안이 벤치마크 차원인 이유
| 시사점 | 세부 사항 |
|---|---|
| 물리적 결과 | 성공적인 자율주행 공격은 데이터 침해가 아님——공공 공간에서의 잠재적 차량 제어 사건; 결과의 심각성은 대부분의 사이버 공격보다 근본적으로 높음 |
| 플리트 전체 상관 위험 | 침해된 OTA 파이프라인은 모든 차량에 동시에 영향; 인간 운전자(각자 독립적)와 달리, 수천 대의 동일한 자율주행 소프트웨어 스택을 가진 플리트는 완전히 상관된 사이버 위험을 가짐 |
| 규제 요건 | NHTSA는 현대 차량 사이버보안 모범 사례 지침을 가짐; EU UNECE WP.29 R155 규정은 2024년 7월부터 모든 신차 유형에 인증된 사이버보안 관리 시스템(CSMS)을 의무화 |
| EU R155 시장 진입 | 2022년 7월 이후 승인된 모든 신차 유형(2024년 7월부터 모든 신차에 의무)은 인증된 CSMS를 가져야 함——Tesla와 미래의 Waymo EU 사업에 적용 |
| 보험 시사점 | 자율주행 사이버 사건은 상업 플리트 보험에 영향을 줄 수 있음; 사이버 책임 보장은 차량 책임과 별도의 정책 레이어(추정) |
| 중국 V2X 인프라 위험 | 정부가 배포한 V2X 인프라를 사용하는 중국 자율주행 차량은 해당 인프라를 신뢰해야 함; 침해된 도시 V2X 시스템은 여러 자율주행 회사에 동시에 영향을 줄 수 있음 |
| 경쟁적 해자 | 가장 강력한 보안 아키텍처를 가진 기업은 보안 인증이 전제 조건인 고보안 환경(정부 회랑, 공항 교통 구역, 병원 캠퍼스)으로 확장할 수 있음 |
제5절 — 방어 아키텍처 벤치마크 목표
| 방어 차원 | 현재 상태(추정) | 벤치마크 목표 | 우선순위 |
|---|---|---|---|
| OTA 파이프라인 보안 | 암호학적 서명 배포됨(추정); 차량 내 HSM(추정) | 하드웨어 신뢰 루트+독립 CA+의무 순환 일정 | 중요 |
| 센서 스푸핑 방어 | 센서 퓨전이 부분적 보호 제공; 공식적인 스푸핑 감지 레이어 없음 | 스푸핑 패턴과 일치하는 LiDAR-카메라 불일치를 플래그하는 교차 모달 이상 감지 | 높음 |
| HD맵 무결성 | 서명된 업데이트(추정); 부분적인 차량 탑재 일관성 검사 | 완전한 암호학적 검증+실시간 센서 일관성 교차 검사 | 높음(Waymo 특정) |
| CAN 버스 격리 | 2015년 이후 개선됨; 균일하게 인증되지 않음 | 연결 스택과 차량 제어 네트워크 간 하드웨어 방화벽 | 높음 |
| 사건 보고 | 미국에서는 자발적; EU R155에서는 의무 | 안전 규제 당국에 자율주행 사이버 사건 의무 보고 | 규제 격차 |
참고: “(추정)“으로 표시된 모든 수치는 2026년 중반 기준 공개 정보, 공개된 연구 결과 및 엔지니어링 추정에서 도출되었다. Tesla와 Waymo의 보안 아키텍처 세부 사항은 완전히 공개되지 않았음; 추정값은 이용 가능한 정보에 기반하며 방향성 있는 참고값으로 취급해야 한다. 언급된 모든 공격 실증은 발표된 학술 연구 또는 책임 있는 공개 맥락에서 나온 것이다. 본 논문은 보안 조언을 구성하지 않는다.
출처
- NHTSA 현대 차량 사이버보안 모범 사례 — NHTSA ↗
- UNECE WP.29 사이버보안 규정 R155 — UNECE ↗
- Tencent Keen Security Lab Tesla 연구 — Keen Security Lab ↗
- LiDAR 스푸핑 연구 — IEEE S&P / 학술 ↗
- Tesla 버그 바운티 프로그램 — Tesla ↗