C-ITS의 경찰, 'MBD'
'MBD(Mis-Behavior Detection)' 즉 "이상행위 탐지" 이야기에 앞서,
자율주행은 1)센서를 이용해 데이터 수집, 2)통신을 이용해 경로 주변 데이터를 수집, 3)원격 서버와의 통신으로 데이터를 수집하는 일을 통해 동작합니다. 우선 카메라, 레이더, 라이다 등의 센서를 통해 주변 상황을 파악하고 그에 따른 제어 명령을 내립니다. 하지만 센서에만 의존한 자율주행은 센서의 오인식 또는 고장이 발생할 경우 교통사고 등 위험을 초래하기 때문에, 따라서 추가로 V2X(Vehicle-to-Everything) 그리고 원격 서버와의 통신을 통한 정보 공유가 필수적인 것입니다.
이때, 자동차들은 V2X 메시지를 통해 주변 차량 및 교통 인프라에게 자신의 위치, 속도 등의 정보를 담은 메시지를 공유합니다. 이를 통해 그 일대의 차량들이 각자의 센서 정보 외에도 주변 환경을 인지할 수 있는 부가적 방법을 확보하여, 공동으로 함께 정보량을 늘림으로써 사고 발생 확률을 줄이는 것이 자율'협력'주행의 목적입니다. 이로써 각 차량은 센서 정보와 V2X 정보를 활용하여 더욱 안전한 자율주행을 수행할 수 있습니다.
잘못된 정보의 위험
하지만 V2X 메시지의 정보가 잘못된 정보라면 어떻게 될까요?
물론 아무나 잘못된 정보를 공유할 수 없게끔 PKI 기반의 보안 인증 관리 시스템 SCMS(Security Credential Management System)를 통해 정당한 등록 인증서를 보유한 차량만 V2X 메시지를 보낼 수 있게 되어 있습니다. SCMS를 통해 V2X 메시지의 무결성, 기밀성, 인증을 보장하는 거죠.
그러나 정당한 V2X 인증서를 보유하고 있는 차량에서 보낸 정보가 잘못된 것이라면 어떻게 될까요? 인증받은 차량 중에도 자의든(사이버공격) 타의든(고장) 잘못된 정보가 전송되는 경우가 있을 테니까요.
신뢰할 수 있다고 판단한 차량에서 잘못된 정보를 공유받은 주변 차량은 정보 해석에 있어 큰 혼란을 겪게 되고 따라서 잘못된 제어 판단을 하게 될 위험성이 높아집니다. 잘못된 정보를 올바른 정보로 착각하는 거죠. 이를테면, 어떤 차량에 탑재된 GPS 센서가 고장나 잘못된 위치 정보가 주변 차량들에게 전송된다면 충돌 사고가 발생하게 될 수도 있습니다.
만약 누군가 악의적으로 어떤 차량의 상태 정보를 조작해 주변 차량에 공유한다면 더욱 심각한 상황이 벌어질 수도 있습니다. 그러한 악의적 차량을 찾아내는 일은 매우 힘든데, 그 이유 중 하나로 C-ITS(Cooperative Intelligent Transport Systems)의 익명 인증서 시스템을 들 수 있습니다.
V2X를 통해 자율주행에 필요한 정보를 송수신하는 인프라인 C-ITS에서는 차량의 각종 정보를 개인정보로 분류하여 사생활 보호를 위해 익명 인증서를 사용하여 통신을 하게 되어 있습니다. 그리고 하나의 인증서를 계속 쓴다면 어떤 차량에 대한 특정이 가능해지기 때문에 유효기간이 짧은 여러 개의 익명 인증서를 바꿔가며 특정 개인의 추적을 방지하기도 합니다. 하지만 이러한 익명성을 고의로 악용한다면 위험인 추적까지도 불가능하므로 잡아내기 어려워 전체 교통 체계에 심각한 문제를 야기하게 되는 것입니다.
이상행위 탐지 프로세스
이렇듯 자의든 타의든 차량의 잘못된 V2X 정보를 C-ITS 환경에 공유하는 행위를 '이상행위(Mis-Behavior)'라고 합니다. V2X 이상행위 유형에는 1)정당한 V2X 인증서를 보유한 차량의 오동작으로 인해 잘못된 정보가 포함된 V2X 메시지를 전송하는 '고장'과, 2)악의적 의도로 생성된 V2X 메시지를 일부러 전송하는 '사이버 공격'이 있습니다. 둘 모두 다 V2X 메시지 기반 자율주행에 있어 반드시 해결해야만 하는 과제입니다.
C-ITS 환경에서는 그러한 위험을 이상행위 탐지 MBD(Mis-Behavior Detection) 시스템과 인증서 관리 체계를 통해 해결합니다. MBD는 C-ITS 환경에 잘못된 정보를 보내는 객체를 식별하여 탐지하고, 인증서 관리 체계는 문제 차량을 더이상 신뢰할 수 없는 차량으로 낙인하는 역할을 수행합니다. 잘못된 정보를 보내어 위험을 초래하는 차량을 검거하는 C-ITS의 경찰이라 할 수 있겠죠.
그러한 과정은 1)차량 내 OBU(On-Board Unit)가 이상행위를 탐지하면, 2)RSU(RoadSide Unit)를 통해 이상행위 검증기관 MA(Misbehavior Authority)에게 이상행위 탐지 사실을 보고하고, 3)최종적으로 MA가 이상행위라고 판단하게 되면, 4)해당 차량의 인증서를 폐지 처리하는 방식으로 진행됩니다. 즉, MBD는 이상행위를 일으키는 비정상 차량을 탐지하여 V2X 통신 체계에서 신뢰할 수 없는 차량으로 등록 및 관리하기 위한 체계입니다. 문제 차량의 자격을 박탈하는 과정으로 보셔도 됩니다.
이상행위 탐지의 종류와 중요성
C-ITS의 경찰, 즉 MBD는 이상행위 판단 주체에 따라 크게 LMBD(Local MBD)와 GMBD(Global MBD)로 나뉩니다.
LMBD는 로컬 즉 각개 차량 수준에서 내부 연산을 통해 이상행위를 식별하고 해당 이상행위를 SCMS의 MA로 전송하는 역할을 수행합니다. 그에 비해 GMBD는 SCMS MA의 하부 컴포넌트로서, LMBD가 전송한 이상행위들을 수집 및 분석하여 최종적으로 이상행위 여부를 판단하는 역할을 수행하고, 로컬에 비해 보다 높은 연산 기능이 필요한 이상행위 탐지 기능을 수행하기도 합니다. 앞서 언급한 내용에 대입해 보면 이상행위 탐지 역할은 LMBD가, 이상행위 검증기관의 역할은 GMBD가 수행하는 식이죠.
신뢰할 수 있는 자동차를 선정해 인증서를 부과함으로써 서로에 대한 신뢰를 바탕으로 동작하는 C-ITS 환경에서는 잘못된 정보에 대한 식별이 필수적입니다. 이에 그 중요성을 인식해 세계 각국에서 아래와 같은 MBD 관리 기술 표준화 및 개발이 진행되고 있습니다. 자율주행 기술을 선도하는 미국, 유럽, 중국 등 국가들이 모두 다 이상행위 관리 기술에 대한 표준화를 진행하고 있다는 사실도 주목할 만한 점입니다.
우리나라에서도 MBD의 필요성을 인지해 관련 법률에 이상행위 체계에 대한 내용을 추가한 바 있습니다. 2021년도에 '자율주행 자동차 상용화 촉진 및 지원에 관한 법률' 개정을 통해 "자율협력주행 과정에서 발생하는 정보의 이상 유무를 탐지·판단하여 관리할 수 있다고 인정되는 자를 검증기관으로 지정할 수 있다"는 MBD 관련 내용을 포함했습니다.
이상행위 식별 방법
이로써 이상행위 탐지의 중요성에 대해서는 충분히 살펴본 것 같으니, 이제 이상행위를 어떻게 식별해내는지 알아보겠습니다. 자동차의 어떠한 행동들이 이상행위로 분류되고, 이상행위는 어떤 기준에 따라 분류되는지에 대한 내용입니다.
먼저 이상행위를 탐지하는 기준을 보자면 아래와 같습니다. Level 1은 단일 BSM(Basic Safety Message)만을 보고 판단하고, Level이 높아질수록 여러 BSM과 BSM 외의 다른 정보들과 비교하여 판단하게 됩니다.
이상행위 탐지 기준
구분 | 이상행위 |
Level 1 | 단일 BSM에서 불가능한 값 탐지 |
Level 2 | 단일 차량의 연속된 BSM 간에 불일치성 탐지 |
Level 3 | 2대 이상 차량의 BSM 간 불일치성 탐지 |
Level 4 | 탐지 지역의 환경 정보와의 불일치성 탐지 |
Level 5 | 물리적 속성(차량 센서나 V2X 물리 계층 정보)과의 불일치성 탐지 |
Leve 1~5의 기준은 어떻게 이상행위를 판단하는지에 따라 나뉩니다. 단일 BSM으로 판단하느냐, 두 개 이상의 BSM을 비교하여 판단하느냐 등에 따른 분류입니다.
Level 1 이상행위는 하나의 BSM 안의 정보값이 물리적으로 가능한 범주 내에 있는 지를 보고 판단합니다. 예를 들어, BSM의 속도값이 현존하는 가장 빠른 차의 속도보다 빠르다면 이상행위로 판단하는 식입니다. 또한 BSM의 위치 정보가 이를 수신한 단말기의 수신 가능 거리보다 멀리 있는 경우에도 이상행위로 판단될 것입니다.
Level 2 이상행위는 단일 차량으로부터 수신된 연속된 BSM 간의 불일치성을 비교하여 판단합니다. 예를 들어, 연이어 받은 두 BSM의 속도값은 0이 아닌데도 위치 정보는 동일하다고 나온 경우가 그러합니다. 그럴 수 없으니까요.
Level 3 이상행위는 2대 이상의 차량에서 수신된 BSM 간의 불일치성을 비교하여 판단합니다. 예를 들어, 차량 2대의 위치 정보가 동일하거나 매우 근접하여 차량이 물리적으로 중첩된 걸로 나오는 경우가 해당됩니다.
Level 4 이상행위는 탐지 지역의 환경 정보와의 불일치성을 비교하여 판단합니다. 예를 들어, 수신된 BSM의 위치 정보가 지도 상에서 건물 등과 중첩되어 물리적으로 존재할 수 없는 위치에 해당할 때가 그러합니다.
Level 5 이상행위는 차량 센서나 V2X 물리 계층 정보 등 인지된 물리적 속성과의 불일치성을 비교하여 판단합니다. 예를 들어, BSM의 위치 정보를 보면 송신 차량의 위치가 수신 차량의 전방에 존재하고 있는데도 수신 차량의 센서로는 전방에 다른 차량이 감지되지 않는 경우 본 레벨로 분류됩니다.
이와 같은 이상행위 자체에 대한 식별 방법 외에도, 차량에서 GMBD에 이상행위를 보고할 때의 악의적 행위 또한 이상행위에 포함이 됩니다. 예를 들어, 정상적인 V2X 메시지를 받고서도 이를 이상행위 검증기관에 보고를 할 때에 메시지의 정보값을 변조하여 보고하는 경우가 그러합니다.
이상행위 종류
그럼, 위에서 살펴본 이상행위 탐지 방법을 통해 식별해 내는 이상행위에는 어떠한 것들이 있는지 알아보겠습니다. 먼저 고장으로 인한 이상행위, 이어서 사이버공격에 의한 이상행위를 보겠습니다. 아래 표는 탐지 가능한 이상행위 목록의 일부를 간략화한 것이지만, 이에 따라 나머지 내용을 유추해 보기에 도움이 되리라 생각합니다.
고장안전 이상행위 항목
구분 | 이상행위 | 설명 |
위치 | 고정 위치 | 차량 속력이 0이 아니고 차량 오류 경고 없는데도 연속된 BSM의 위치 정보가 동일함 |
위치 | 위치 불일치 | 속력, 가속 등 다른 정보가 유효한데도 BSM 위치 정보가 GPS 오차 범위를 넘어 부정확함 |
위치 | 임의 위치 | 동일한 차량이 연속해 송신한 BSM 간의 위치 정보가 불규칙함 |
위치 | 가속:위치 불일치 | 2개의 연속된 BSM 간의 거리가 차량 가속 정보와 불일치함 |
동작 | 비유효 최대 속력 | 현존 차량 최고 속도보다 더 큰 최대 속력값 |
동작 | 비유효 최대 가속 | 최대 가속 가능 정보가 현존 차량 최고 기록보다 클 때 |
사이버공격 이상행위 항목
구분 | 이상행위 | 설명 |
주기 | 서비스 거부 DoS | BSM을 정상 주기보다 짧게 송신함으로써 주변 차량 OBU의 정상적 BSM 수신 및 처리를 방해함 |
주기 | 메시지 전송률 미달 | BSM 송신 주기가 정상 송신 주기보다 느린 경우, 즉 정상적 메시지 전송률에 미달 |
주기 | 메시지 카운트 불일치 | BSM 메시지 카운트(MsgCount)가 메시지 생성 시간과 비례하지 않게 증가 |
공격 | 데이터 재전송 공격 | BSM 데이터가 이전 수신 데이터와 동일한데도 서명이나 인증서는 다른 경우 |
공격 | 시빌 공격 | BSM별 상이한 인증서로 서명한 경우 |
공격 | 거짓 이상행위 보고 | 정상 BSM을 수신하고도 거짓으로 MBR을 생성하여 보고하는, 보고자가 공격자인 경우 |
공격 | 증거 조작 거짓 보고 | 정상 BSM수신 후 BSM의 일부 필드값을 변조하여 거짓으로 MBR을 생성하여 보고하는 경우 |
공격 | 증거 조작 서명 보고 | 정상 BSM 수신 후 BSM의 일부 필드값 변조 후 자기 인증서로 재서명하여 거짓으로 MBR을 생성하여 보고 |
공격 | 중복 보고 시빌 공격 | 이상 BSM 수신 후 다수의 MBR을 생성하고 다수의 익명 인증서로 서명하여 다수 차량이 발급한 것으로 속임 |
이와 같은 MBD의 판단 기준을 간단히 말하자면, 메시지 안의 정보가 과연 합당한지 여부를 논리적 흐름에 따라 판단하는 것입니다. 예를 들어, 차량이 지도 상의 바다 한가운데에 위치해 있거나 2대의 차량이 물리적으로 겹쳐져 있는 걸로 나온다면 이는 틀림없이 누군가가 잘못된 정보를 공유하고 있는 것이겠죠. 그렇다면 어떠한 차량이 잘못된 정보를 공유하고 있는지를 판단하고, 해당 차량을 이상행위 검증기관에 신고하고, 이어 인증 자격을 박탈하는 과정이 뒤따라야 할 것입니다. 그것이 바로 MBD의 역할입니다.
오늘은 이상행위 및 이상행위 탐지가 무엇인지 알아보았습니다. 기존 PKI 기반 SCMS만으로는 해결이 어려운 문제인, 이미 인증된 차량의 고장 및 사이버공격 문제에 대한 해결책인 MBD에 대해 살펴봤습니다.
V2X 통신은 센서로 탐지한 정보와 V2X 정보가 일치하는지를 비교함으로써 더욱 안전한 자율주행을 구현하기 위한 일입니다. 따라서 충분히 믿을 만한 MBD 시스템이 없다면 기존 센서에만 의존하는 단독 자율주행보다도 더 큰 혼란을 야기할 수도 있습니다.
안전한 자율주행 실현에 있어 이토록 중요한 MBD 기술에 있어, 우리 아우토크립트는 지난 2021년도부터 MBD에 대한 신규 표준화 작업에 참여하고 이상행위 보고 기능의 OBU 및 RSU 적용 실증 단계까지 완료하는 등, 세계 V2X 업계의 이상행위 탐지 시스템 연구·개발을 선도하고 있습니다.
- 아우토크립트 기술기획팀 송호승 연구원