자동차 산업에서 차량이 소프트웨어 정의 차량, SDV(Software Defined Vehicle)로 전환되고 있음은 현실에서도 점차 실감이 되고 있습니다. 크루즈 컨트롤이나 주차 보조 시스템 등의 기술은 이제 낯선 미래의 기술이 아니며, 자율주행 버스나 택시에 대한 기사는 심심치 않게 찾아볼 수 있습니다. 이렇듯 현대의 차량은 더 높은 수준의 소프트웨어를 장착할 역량을 갖춰가며, 이전과는 다른 새로운 서비스를 제공하고 있습니다.
이러한 변화는 차량 진단 방식에도 큰 영향을 주었습니다. 기존 차량은 주로 정비소에 방문하거나 전문가가 직접 차량에 접근해야만 진단이 가능했고, 각 ECU(Electronic Control Unit)에 국한된 형태였습니다. 당시 진단은 ISO 14229-1로 표준화된 UDS(Unified Diagnostic Services) 프로토콜에 의존했는데, 이는 특정 ECU에 고정된 정적인 접근 방식이었습니다. 하지만 SDV로의 전환이 진행되면서 차량에는 HPC(High Performance Computing) 등 고성능 컴퓨팅 장치가 탑재되었고, 이를 기반으로 최신 IT 기술을 활용한 새로운 진단 방법들이 논의되고 있습니다. 오늘은 이러한 변화 속에서 추진되는 차세대 진단 표준화 프로젝트, SOVD(Service Oriented Vehicle Diagnostics)를 살펴보겠습니다.
표준협의체인 ASAM e. V.는 서비스 지향 차량 진단을 위한 인터페이스 개발을 목표로 2019년부터 ASAM SOVD 프로젝트를 시작하였습니다. 앞서 언급했듯이 ASAM은 최신 IT 기술인 HTTP, REST, JSON, OAuth 2.0 등을 활용하여 서비스 기반의 접근 방식을 사용하여 원격 업데이트, 실시간 진단, 예측 유지보수 등의 사용 사례를 구현하고자 하고 있습니다. 또한 기존의 차량 진단 프로토콜인 UDS와의 호환성을 유지함으로써 차량 전체 구성 요소에 대한 통합 진단을 지원할 수 있도록 합니다. 다음 그림인 ASAM SOVD 아키텍처를 보며 자세히 살펴보겠습니다.
SOVD 클라이언트의 요청은 유선이나 무선을 통해 접근할 수 있으며, 차량 내부에서도 발생할 수 있습니다. SOVD 서버는 이러한 요청을 받아 해당되는 내부 엔드포인트로 전달하는 역할을 담당합니다. 이 과정은 AUTOSAR가 중심이 되어 구현하고 있습니다.
또한 UDS와의 호환성을 위해 CDA(Classic Diagnostic Adapter)로 요청을 전달하기도 합니다. 이때는 사전에 정의된 SOVD-UDS Mapping ODX를 기반으로 변환하는 ‘SOVD to UDS Translation’ 과정을 거치게 됩니다. 이러한 아키텍처를 통해 서비스 기반 접근 방식과 ECU 기반 접근 방식을 통합할 수 있습니다.
차량 내부 네트워크에 접근하는 만큼 진단 과정에서도 사이버보안이 필수적입니다. SOVD는 대표적으로 OAuth 2.0 기반의 OIDC(OpenID Connect)를 활용합니다. OIDC를 통해 접근 권한 확인과 사용자 인증을 수행하며, OAuth 2.0의 특성상 진단 클라이언트가 비밀 정보를 직접 보관하지 않고도 안전하게 권한 확인과 인증을 진행할 수 있습니다. 기본적인 보안 메커니즘 위에 OIDC 프로토콜을 적용함으로써, SOVD는 신뢰성 있는 환경에서 안전하게 차량 진단을 수행할 수 있습니다.
서두에 다루었듯이, 차량이 SDV로 전환되면서 많은 것들이 달라지고 있습니다. 무선 소프트웨어 업데이트, 차량 간 통신, 무선 전기차 충전, 원격 진단까지 이제는 “도로 위의 스마트폰”이라는 표현이 낯설지 않을 만큼 다양한 기능과 편리함을 제공하죠. 하지만 기능이 늘어날수록 차량이 직면하는 사이버 위협 또한 함께 커지고 있습니다. 실제로 VicOne이 개최한 차량 해킹 대회인 Pwn2Own Automotive 2024에서는 IT 시스템이나 ECU(Electronic Control Unit)뿐 아니라 IVI(In-Vehicle Infotainment), 자율주행 보조, 전기차 충전, 배터리 관리 시스템 등 다양한 영역이 공격 대상이 될 수 있음을 보여주었습니다. 더욱 발전하는 차량 기술이 고도화되고 범위가 넓어지는 만큼, 그에 걸맞은 전방위적 사이버보안 수준의 강화가 필요합니다.
