DBPIA-NURIMEDIA

Similar documents
ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

DBPIA-NURIMEDIA

<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A52DC1A4BFB5C3B62E687770>

°í¼®ÁÖ Ãâ·Â

보험판매와 고객보호의 원칙

오토 2, 3월호 내지최종

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

목 차 Ⅰ. 정보기술의 환경 변화 Ⅱ. 차량-IT Convergence Ⅲ. 차량 센서 연계 서비스 Ⅳ. 차량-IT 융합 발전방향

DBPIA-NURIMEDIA

10 이지훈KICS hwp

PERFORMANCE technology the all-new bmw 5 series. dynamic 06 business 14 comfort 20 safety 22 model LineuP 24 TecHnicaL data 26 bmw service 28 bmw kore

09권오설_ok.hwp

(JBE Vol. 23, No. 6, November 2018) (Special Paper) 23 6, (JBE Vol. 23, No. 6, November 2018) ISSN 2

인문사회과학기술융합학회

04_이근원_21~27.hwp

슬라이드 1

DBPIA-NURIMEDIA

슬라이드 1

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

untitled

H3250_Wi-Fi_E.book

04-다시_고속철도61~80p

15_3oracle

Æ÷Àå82š

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

강의지침서 작성 양식

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

RVC Robot Vaccum Cleaner

SchoolNet튜토리얼.PDF


±èÇö¿í Ãâ·Â

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

, N-. N- DLNA(Digital Living Network Alliance).,. DLNA DLNA. DLNA,, UPnP, IPv4, HTTP DLNA. DLNA, DLNA [1]. DLNA DLNA DLNA., [2]. DLNA UPnP. DLNA DLNA.

I

À̵¿·Îº¿ÀÇ ÀÎÅͳݱâ¹Ý ¿ø°ÝÁ¦¾î½Ã ½Ã°£Áö¿¬¿¡_.hwp

(JBE Vol. 23, No. 1, January 2018). (VR),. IT (Facebook) (Oculus) VR Gear IT [1].,.,,,,..,,.. ( ) 3,,..,,. [2].,,,.,,. HMD,. HMD,,. TV.....,,,,, 3 3,,

Á¶Áø¼º Ãâ·Â-1

04김호걸(39~50)ok

À¯Çõ Ãâ·Â

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

00내지1번2번

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

1

09È«¼®¿µ 5~152s

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

08김현휘_ok.hwp

IT & Future Strategy 보고서 는 21세기 한국사회의 주요 패러다임 변화를 분석하고 이를 토대로 미래 초연결 사회의 주요 이슈를 전망, IT를 통한 해결 방안을 모색하기 위해 한국정보화진흥원 (NIA) 에서 기획, 발간하는 보고서입니 다. NIA 의 승인

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

PowerPoint 프레젠테이션

정보기술응용학회 발표

그림 2. 5G 연구 단체 현황 앞으로 다가올 미래에는 고품질 멀 티미디어 서비스의 본격화, IoT 서 비스 확산 등의 변화로 인해 기하 급수적인 무선 데이터 트래픽 발생 및 스마트 기기가 폭발적으로 증대 할 것으로 예상된다 앞으로 다가올 미래에는 고품질 멀티미디어 서

Lumbar spine

02본본:02본본 본본 3:25 Page 특집 자율주행차 5G 도입 및 자율주행 현황 홍승표, 김경훈 / SK텔레콤 1. 5G 개요 요약 5G는 지난 12월 시범서비스, 올해 상반기 상용서비스를 앞두 고 있으며, 차량통신 및 자율주행이 주

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

박선영무선충전-내지

09구자용(489~500)

02_연구보고서_보행자 안전확보를 위한 기술개발 기획연구( )최종.hwp

1_12-53(김동희)_.hwp

06_ÀÌÀçÈÆ¿Ü0926

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

06_±è¼öö_0323

0125_ 워크샵 발표자료_완성.key

SNS 명예훼손의 형사책임

03-서연옥.hwp

Backup Exec

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

CAN-fly Quick Manual

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

6.24-9년 6월

<C7D1B1B9B1B3C0B0B0B3B9DFBFF85FC7D1B1B9B1B3C0B05F3430B1C733C8A35FC5EBC7D5BABB28C3D6C1BE292DC7A5C1F6C6F7C7D42E687770>

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

(JBE Vol. 23, No. 5, September 2018) (Regular Paper) 23 5, (JBE Vol. 23, No. 5, September 2018) ISSN

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),

, Analyst, , Table of contents 2

<B8F1C2F72E687770>

제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

UDP Flooding Attack 공격과 방어

09오충원(613~623)

Journal of Educational Innovation Research 2016, Vol. 26, No. 1, pp.1-19 DOI: *,..,,,.,.,,,,.,,,,, ( )

???? 1

½Éº´È¿ Ãâ·Â

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

PowerPoint 프레젠테이션

<30345F D F FC0CCB5BFC8F15FB5B5B7CEC5CDB3CEC0C720B0BBB1B8BACE20B0E6B0FCBCB3B0E8B0A120C5CDB3CE20B3BBBACEC1B6B8ED2E687770>

<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A528B1E8C1BEB9E8292E687770>

<313920C0CCB1E2BFF82E687770>

세종대 요람

OMA Bcast Service Guide ATSC 3.0 (S33-2) T-UHDTV 송수신정합 Part.1 Mobile Broadcast (Open Mobile Alliance) 기반 Data Model ATSC 3.0 을위한확장 - icon, Channel No.

2 : 3 (Myeongah Cho et al.: Three-Dimensional Rotation Angle Preprocessing and Weighted Blending for Fast Panoramic Image Method) (Special Paper) 23 2

인문사회과학기술융합학회

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 30(3),

DBPIA-NURIMEDIA

Microsoft PowerPoint - G3-2-박재우.pptx

Transcription:

Transactions of KSAE, Vol. 26, No. 2, pp.240-253 (March, 2018) Copyright C 2018 KSAE / 153-11 pissn 1225-6382 / eissn 2234-0149 DOI https://doi.org/10.7467/ksae.2018.26.2.240 자율주행차량의 In-Vehicle 시스템관점에서의공격시나리오도출및대응방안연구 서은비 김휘강 * 고려대학교정보보호대학원정보보호학과 Security of Self-Driving Car from the Point of View of In-Vehicle System Eunbi Seo Huy Kang Kim * Information Security, Korea University, Seoul 02841, Korea (Received 25 October 2017 / Revised 8 January 2018 / Accepted 8 January 2018) Abstract : As the technology of self-driving cars are being developed, security and safety are becoming important issues. The communication channel of the self-driving car is divided into external network and internal network. The external network is used for inter-vehicle communication or vehicle-to-infrastructure communication. On the other hand, the internal network, which is called the In-Vehicle network, is used to control the functions of the vehicle. Although the In-Vehicle network is a critical part of the vehicle, it is exposed to many threats. In this paper, we examined the primary functions of self-driving cars and reviewed the recent studies on the security of self-driving cars. Furthermore, we derived various attack scenarios from the In-Vehicle system perspective and analyzed the security requirements. Key words : Security( 보안 ), Self-driving car( 자율주행자동차 ), In-Vehicle system( 자동차내부시스템 ), IDS( 침입탐지시스템 ), Security of requirement( 보안요구사항 ) 1. 서론 1) 사물인터넷 (IoT) 기술의발전과함께다양한 IT 기술을적용하여운전자의편의성을증대시키는자율주행자동차의시장이확대되고있다. 2016년시장조사기관 IHS의자료에따르면완전자율주행자동차의전세계연간판매량은 2025년경 23만대에서 2035년 1,180만대에이를것으로전망되며, 시장조사기관 ABI에서는부분자율주행자동차를포함연간판매량이 2025년 110만대에서 2035년 4,200만대로늘어날것으로예측하였다. 1,2) 이처럼자율주행자동차시대의도래로인해제 조사뿐만아니라 ICT 기업들또한자율주행으로대표되는커넥티드카시장에참여하면서, 자율주행자동차에대한보안기술은자율주행자동차의대중화를위한선결조건이되었다. 자율주행자동차의보안사고는물질적피해뿐만아니라운전자와보행자의안전에직접적인해를가할수있으므로, 새로운기술의도입및확산에따른규제와보안사고에관한적절한가이드라인이필요하다. 자율주행자동차는내부장치간효율적인통신을위해수많은전자제어시스템및소프트웨어를탑재하고있으며, 다양한내부네트워크통신기법 * Corresponding author, E-mail: cenda@korea.ac.kr * This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons. org/licenses/by-nc/3.0) which permits unrestricted non-commercial use, distribution, and reproduction in any medium provided the original work is properly cited. 240

자율주행차량의 In-Vehicle 시스템관점에서의공격시나리오도출및대응방안연구 (CAN, LIN, FlexRay) 을사용한다. 대부분의차량에적용되는 CAN 프로토콜은 ECU 간정보의전송및교환을통해차량내부네트워크의수많은전자제어장치를제어하고, 상황에맞는명령을수행하여자동차를구동한다. 이는공격자가 CAN 버스시스템에진입할경우, 각시스템을제어할수있는변조메시지를통해해당차량의 In-Vehicle 시스템을악의적으로조작할수있게끔한다. 뿐만아니라최근출시된자동차내내장되는최대 1억라인의소프트웨어코드는공격자가해당차량을제어할수있는수많은취약점을갖고있다. CAN 버스시스템에진입한공격자는악성코드를삽입하여 ECU를장악한후자동차의급발진및브레이크페달무력화등의안전에직결적인영향을미치는공격을수행할수있다. 자율주행자동차의 In-Vehicle 시스템내진입할수있는경로중하나는 V2X(Vehicle to Everything) 이다. V2X 네트워크는자율주행과외부통신을이어주는네트워크통신기술로차량간통신인 Vehicle to Vehicle(V2V), 차량과인프라간통신인 Vehicle to Infra(V2I), 차량과모바일기기간통신인 Vehicle to Nomadic Device(V2N) 으로분류된다. 공격자는 V2V 통신네트워크에변조된메시지를주입하여사고가발생한차량이있음에도인지하지못하도록하여 2 차충돌사고를발생시키거나, 특정차량의특정위치, 특정시점의메시지를기록한후또다른차량에 Replay 공격을통해얼음길등주변환경과맞지않은속도를내도록하여사고를유발할수있다. 그밖에 DoS 공격을통해차량간통신을무력화하는등, V2V 통신을악의적으로이용할수있는방법은다양하다. 또한 V2I 네트워크통신의도청을통해요금징수, 위치기반서비스에대한지불등금융결제와관련운전자의개인정보를탈취하여악용할수있다. V2N은공격자가 In-Vehicle 시스템에진입할수있게끔하는대표경로이며공격자는차량과모바일기기를연결하는인포테인먼트시스템을통해 In-Vehicle 시스템에접근한다. 한예로블루투스시스템은차량과연결된스마트폰의앱을이용하여 In-Vehicle 내악성코드를삽입할접근포인트를제공한다. 또한차량내오디오, 비디오, 네비게이션시스템을지칭하는 AVN 시스템또한펌웨어취약점 공격이가능하며, GPS나위성라디오채널이악용될수있다. 다양한센서기능을탑재한자율주행자동차는공격자가해당센서를이용하여 In-Vehicle 시스템에접근할수있는또다른경로를제공한다. 자율주행자동차는레이더 ( 라이더 ) 센서기술및정밀지도기술, 무선통신등을융합하여주행환경상의다양한대상및물체를인지한다. 이러한센서는외부신호를직접적으로받아들이므로, 다양한보안프로토콜을사용하는다른통신보다쉽게공격에노출될수있다. 센서를이용해주변상황을판단하는과정을의도적으로조작하여, 센서와 In-Vehicle 시스템간통신내의메시지를조작해차선및장애물등의인식을방해할수있다. 또한자율주행자동차의탐지센서인라이더역시특정주파수음파에노출하는등기만공격에취약한실정이다. 자율주행차량내주행상황인지를위한영상기반모듈도형상정보와거리정보등을조작하는등공격자에의해악용될여지가있다. 이처럼인지및판단기술을필수적으로요하는자율주행자동차는외부통신과차량내부시스템내다양한모듈및탑재된코드로인해안전과직결되는수많은취약점을가질수있다. 본논문에서는자율주행자동차의 In-Vehicle 시스템을공격할수있는다양한시나리오를도출하고탐지방안을제안하여자율주행자동차의보안사고에대한요구사항및해결책을연구하는것을목표로한다. 본논문의구성은다음과같다. 제 2장에서는자율주행자동차관련연구, 기능및개발현황을살펴본다. 제 3장에서는보안적관점에서자율주행차량의취약점을도출한다. 제 4장에서는자율주행의일부기능을대상으로보다상세한 In-Vehicle 시스템공격시나리오를정의하고, 이에대한대응방안을논의한다. 제 5장에서는자율주행차량의보안요구사항을, 제 6장에서는본논문의시사점에대해서술한다. 2. 자율주행자동차동향 2.1 자율주행자동차기술단계자율주행자동차의정의는기술단계및차량제 Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 241

Eunbi Seo Huy Kang Kim Fig. 1 ADAS Tech technical step 어를돕는 ADAS 센서의결합정도에따라다양하다. Fig. 1은미국도로교통안전국 NHTSA에서제시한자율주행자동차기술단계로, 크게 4단계에따라자율주행자동차를분류하고있다. 3) 각단계는운전자의간섭에따라구분되며차량내 ADAS의결합정도가자율주행자동차의기술단계를구분하는척도가될수있다. ADAS는운전보조장치로운전시위험상황을감지하는센서를통해운전자에게위험을경고하여대처할수있도록하는안전장치이다. ADAS가제공하는기능에는어드밴스드크루즈컨트롤, 사각지대모니터링, 차선이탈경고, 자동점등 / 소등, 차선유지보조및충돌경고시스템, 자동조향, 브레이크조작등이포함된다. 능동적인 ADAS의경우자동차움직임을부분적으로제어함으로서사고를방지하기때문에 ADAS 기술은 4단계의완전자율주행자동차를위한중요한기반이라고볼수있다. 기술단계내 2단계에서 3단계로의발전은차량사고의주체가운전자에서자율주행자동차로변경된다는점에서큰의미를가진다. 현재국내의자동차주행에대한법률은 2단계까지만허용되고있으며, 3단계환경에서사고가발생할경우운전자와자동차제조사간복잡한법률문제가발생할수있다. 4) 따라서운전자의안전및차량보안을위해, 차량의주변환경에서발생가능한모든상황들에대응할수있는 ADAS 시스템의구현이요구된다. 2.2 자율주행자동차기능및구조자율주행자동차는크게센싱, 신호처리 ( 인지 ), Fig. 2 Key function of self-driving car 판단, 제어프로세스로구성된다. 5) ADAS 센서를통해차량의주변환경정보를수집하고, 수집된정보를처리하여지형, 장애물, 보행자등의정보를차량에제공한다. 차량에서는제공받은정보를통해위험상황유무등의상황판단및주행전략을결정하며, 제어시스템에서는결정된주행전략에따라차량을제어하게된다. Fig. 2는자율주행자동차동작과정을보여준다. 본논문에서는자율주행자동차의각기술단계에따라동작원리를서술하고, 이를기반으로안전성및보안성을증명할수있는자율주행자동차를위한요구사항을논의한다. 2.2.1 ADAS 센서 ADAS는 Advanced driver-assistance systems의약자로, 복잡한차량제어프로세스에서운전자를도 242 한국자동차공학회논문집제 26 권제 2 호, 2018

Security of Self-Driving Car from the Point of View of In-Vehicle System 우며자율주행자동차의관점에서는궁극적으로운전자를대체할수있도록개발된시스템이다. ADAS 기술개발의궁극적목표는자율주행자동차의상용화이며, 따라서 NHTSA의자율주행자동차기술단계에따라발전되고있다. 즉기존의 ADAS 를조합하거나개선함으로써다양한도로상황에대응할수있는자율주행자동차시스템이개발되고있다. 6) 자율주행기능을지원하는주요 ADAS 인식센서시스템은대부분 2개이상의센서기술의결합으로구성된다. 특히 ADAS는카메라, 단거리 / 장거리레이더, 라이다등의융합센서로발전되고있다. 이러한융합센서는각센서의부족한부분을서로보완하며자율주행자동차의주변상황을인지하기위해활용될수있으며, 또한고가의고사양센서를대체할수있다. 향후완전자율주행자동차는자율주행기능을지원하는 ADAS 시스템들의조합으로구성되므로, ADAS 시스템에대한보안연구는완전자율주행차량의 In-Vehicle 보안연구에있어중요한의미를가진다. 자율주행기술이발전함에따라센서와시스템간의복잡성은지속적으로증가할것이며, 이를제어할수있는차량내부네트워크시스템발전또한함께도모되어야한다. 2.2.2 인지기능 2016년 5월, 하얀트레일러를하늘로착각해발생한테슬라자율주행자동차사고와같이, 인지-판단-제어프로세스 중인지기능에미세한오류가발생한경우대형인명사고로직결될수있다. 7) 즉자율주행자동차의정확한인지기술이선행되어야완전한자율주행환경의구현이가능하다. 앞서언급한카메라, 레이더등의 ADAS 센서는이러한인지능력을향상시키는보완재로서자율주행차량에적용되고있다. 그러나차량의사각지대및악천후와같은상황으로인해실제상용화시어려움이따른다. 이처럼측위센서에대한한계가부각됨에따라정밀지도를통해자율주행차량의기존센서를보완하여오차범위를축소시키려는연구가진행되었다. 정밀지도는주행경로에대한상세한정보를사 전에제공하며, 따라서주행중실시간으로습득해야하는데이터용량을감소시켜측위센서에대한의존도를경감시킬수있다. 8) 즉매우적은양의센서정보로도자율주행이가능해질수있으며, 이를통해자율주행차량의안정성및신뢰성을높일수있다. 차량의위치를추정하는측위기술또한자율주행자동차의 ADAS 시스템에반드시필요한기술중하나이다. 센서융합기반의정밀측위시스템은기존 GPS와함께 ADAS 센서 ( 카메라, 레이더등 ) 및정밀지도를융합하여자동차의위치를추정한다. 정밀지도활용의사례중하나인구글의자율주행자동차는관성항법과더불어 Velodyne lidar의 Infrared reflectivity를기반으로생성한정밀지도를사용하고있다. 8) Google Car 상단에달린 Velodyne lidar를이용하여 Fig. 3의좌하단과같은 Infrared reflectivity를얻고, 고가의 DGPS와 INS을이용해실시간으로획득한 Infrared reflectivity와비교하여가장잘정합되는위치를차량의위치로추정한다. 지능형교통체계인 ITS(Intelligent Transport System) 의도입은자율주행차량의인지능력및판단알고리즘을향상시키며, 센서및정밀지도로인지할수없는사각지대에대한도로상황및차량의주행정보를인지하도록한다. 차량의통신네트워크는차량을중심으로내부망과외부망으로구분할수있다. 차량내부망인 IVN(In-Vehilce Network) 은멀티미디어기기접속을위한 MOST, ECU간통신을위한 CAN, 브레이크나조향장치등을제어하는 X- by-wire 등이있다. 차량외부망은차량간통신망 Fig. 3 Self-driving car of google Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 243

서은비 김휘강 인 V2V, 차량과인프라통신망인 V2I, 그리고차량과사용자단말간 V2N으로분류되며, 이를통합하여 V2X라부른다. 9) 완전한자율주행자동차의개발을위해서는통신네트워크환경의구축이필수적이지만, 이는해킹공격을가능하게하는수많은경로를제공할수있다. 따라서자율주행차량의발전과더불어 V2X 통신의보안기술및보안취약점에대한연구가병행되어야한다. 2.2.3 판단 / 제어기능자율주행을위한판단기능은 SW를통해이루어지며, HW와연계되어자율주행차의핵심적인역할을수행하게된다. Fig. 4는자율주행자동차에장착될수있는판단및제어시스템의데이터흐름도이다. 10) GPS, 카메라, 레이더, 정밀지도등앞서언급한인지센서들은특정양의전담센서프로세싱을맡고있으며, 수집된정보는다음시스템단계에서 Action angine에의해사용된다. 이를위해서로다른프로세싱에서나온센서들의정보와 V2X 통신에서비롯된정보를융합하게된다. 지도및관련클라우드시스템은추가입력정보를제공하며, 자율주행자동차는모든센서블록에서나온출력정보를이용해자율주행차량의주변환경에대한 3D 정보를생성한다. 생성된 3D 정보는주행상황을판단하는 행동엔진 소프트웨어에의해사용되어전체시스템에의사결정을내리게된다. 제어단계는브레이크, 엔진핸들등의조작을말하며, 액츄에이터모듈내 HW 및 SW에의해동작된다. 제어소프트웨어의경우오랜기간양상화과정을거치며안정된상태의기술을개발하고있다. 11) ESC, MDPS, 엔진제어시스템등은이미양산차량에적용되고있으며, 판단단계의명령에따라단순히조절하는기능을수행하므로기존차량의구현방식과크게다르지않다. 향후센서기술이발전되고, 정보처리양이증가함에따라판단소프트웨어가자율주행차량의성능을결정하는차별화요소가될것이라전망한다. 3. 자율주행자동차보안취약점차량에 ICT 기술이도입됨에따라악성바이러스및외부해커에의한침입우려가높아지고있다. 더 Fig. 4 Data flow diagram of self-driving car 244 한국자동차공학회논문집제 26 권제 2 호, 2018

자율주행차량의 In-Vehicle 시스템관점에서의공격시나리오도출및대응방안연구 Fig. 5 Vulnerability of self-driving car 욱이자율주행자동차의경우, 차량내부및외부에서의대응방법이함께고려되는등지능형차량의통신환경에적합한보안기술이요구되고있다. 12) Fig. 5는자율주행자동차내에서발생할수있는잠재적취약점들을보여주고있다. 13) 그러나인터넷상의임베디드프로세스간정보공유기술의경우광범위한연구가진행되고있는반면, 자율주행자동차에대한보안기술의연구는미비한실정이다. 3.1절부터 3.3절에서는자율주행자동차의보안사고사례및잠재적취약점소개를통해자율주행자동차의보안기술발전에대한필요성을논의한다. 3.1 자율주행자동차근접취약점완전한자율주행자동차의단계에서는다양한센서정보의융합으로안전한주행을위한의사결정을내리게된다. 즉센서데이터를저하시키는모든공격들은운전자의생명에직결되는보안사고를초래할수있다. Petit 등 14) 은가상의공격자및도로상황을설정하고, 자율주행차량에탑재할수있는 MobileEye C2-270의카메라와 ibeo LUX 3의라이더에대한다양한원격공격을시연하였다. 먼저카메라공격의경우광원, 광원과카메라사이의거리, 환경 ( 밝을때 / 어두울때 ) 을변수로선정하고, 카메라에빛을가해공격을수행하여가장효과적인공격의조건을도출하였다. 또한공격자가지속적으로빛을가할경우카메라의자동제어기능은각프레임의셔터속도및전자저하량등을조절하여정상상태로의복구를시도한다. Petit 등 14) 은이를이용하여자동제어기능에혼란을주고자동복구를 (a) Laser off (b) Laser on (c) Tonal distribution Fig. 6 Camera attack result 막을수있는공격을시연하였다. Fig. 6은제안한블라인딩공격의실험결과로, 차량용카메라에빛을가할시전방의체스판을인지하지못하는것을볼수있다. 라이더공격의경우신호가반사되어돌아오지않으면주변에물체가없다고인지하며, 빛의펄스만을사용하기때문에공격에매우취약할수있다. 라이더에대한공격목표는가짜객체생성및 Relay, Jamming, Spoofing 등의공격을수행하는것이다. Petit 등 14) 은두개의송수신기를위치하여라이더에의해전송되는동일한전압신호를다른위치에서재전송하는 Relay 공격을시연하였으며, 이를통해차량의위치를변조할수있는것을증명하였다. Fig. 7은라이더의 Relay 공격에대한결과이다. 공격이발생하기전라이더는 1 m 앞에있는벽 ( 그림하단의작은노란색수평선 ) 만감지하는반면, Relay 공격수행시라이더는 20 m와 50 m 거리의물체를수신한다. 즉이는펄스를조작하여가짜물체를생성할수있는것을보여준다. 3.2 자율주행자동차원격액세스취약점자율주행자동차는 CAN 버스와임베디드프로세서시스템을통해다른차량또는다양한인프라와 Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 245

Eunbi Seo Huy Kang Kim Fig. 9 Attackers of v2x Fig. 7 Ridar attack result 의무선통신을수행한다. 공격자는차량에탑재된소프트웨어및펌웨어를업데이트하여악의적인코드를삽입하거나, Dos 공격, 도청등을수행할수있으며이는협력자율주행환경에혼란을야기할수있다. Ishtiaq Roufa 등 15) 은차량으로부터약 40 m 거리에서무선네트워크로통신하는타이어압력센서모듈 TPMS의도청이가능하다는것을증명하였다. 향후다양한자율주행기능을지원하기위해필요한전선이증가함에따라, 복잡한전선양을줄일수있는무선통신에대한기술이함께발전할것이다. 즉 TPMS와같은무선통신에대한취약점연구는완전한자율주행단계로가기위한발판이될수있다. 완전자율주행기능의단계에서는협력자율주행환경을위한 V2X 통신보안기술이필수적으로요구되고있다. Fig. 8은 V2X의데이터라이프사이클을표현하고있으며이를통해차량내부의온보드센서공격을포함한전체적인 V2X의공격자모델을도출할수있다. 16) 센서데이터의경우차내 ECU에의해처리되며무선통신장치에의해다른차량으로전송된다. 이단계를 Data in transit 이라정의한다. 또한사용자의개인정보보호를위한메타데이터가센서데이터 Fig. 8 Life-cycle of v2x data 에추가되며, 인접차량에서수신한데이터는스택에의해처리, 저장및사용된다. Fig. 9는데이터의라이프사이클내공격자를도출한표이다. 공격자는센서데이터융합과정시혼란을줄수있으며, 데이터처리및저장시재밍등의물리적공격을수행할수있다. 또한데이터및메타데이터의통신과정에서 Spoofing, Dos 등의공격이가능하다. Petit 등 14) 은멀티홉방식의 V2X를고려하지않았으며, 초기배치를가정하고단일홉방식의 V2X에대한취약점을분석하였다. 향후인프라서비스와의통신은 LTE 상의 IP와같은멀티홉방식의라우팅서비스통신채널을통해구성될것이다. 3.3 자율주행자동차물리적취약점다수의 ECU와 CAN 네트워크및차량에탑재된소프트웨어는하드웨어모듈을공격할수있는경로를제공한다. CAN 네트워크에대한보안취약점은현재까지활발히연구되어왔다. Wolf 등 17) 은공격자가물리적또는논리적으로차량에접근할수있다고가정하고, 차량내버스시스템 (LIN, CAN, MOST, FlexRay, Bluethooh) 에대한공격을시연하였다. 또한 Koscher 등 18) 은 ECU에침투할수있는공격자가운전자의안전에직결되는시스템을제어할수있으며브레이크고장, 휠제어, 엔진정지등의공격을수행할수있는것을보여주었다. Checkoway 등 19) 은 CD 플레이어, 블루투스및셀룰러라디오등의원격공격을수행하였으며, 무선통신채널공격의경우장거리에서차량을제어하거나위치추적, 오디오도청등이가능한것을증명하였다. 향후차량에센서융합기능및 V2X의통신이결함됨에따라자율주행차량에서의물리적취약점및내부네트워크의보안에대한연구가활발히이루어질것이라전망한다. 246 한국자동차공학회논문집제 26 권제 2 호, 2018

Security of Self-Driving Car from the Point of View of In-Vehicle System 4. 자율주행자동차 In-Vehicle 보안연구자율주행자동차의외부통신및인지기술의보안이강화되더라도, In-Vehicle 제어시스템이취약할경우궁극적으로심각한안전사고를일으킬수있다. 차량에여러 IoT 전자제어장치가탑재되며차량해킹우려가계속적으로높아짐에따라, 전자제어장치 (ECU) 로하여금자율적으로해커로부터의공격을막을수있도록하는침입탐지시스템 (IDS) 의연구가활발히이루어졌다. 예컨대송현민등 20) 과곽병일등 21) 은 CAN 메시지의시간간격분석을기반으로차량내부네트워크의침입탐지알고리즘을제안하였으며, BI등은차량센서로부터운전자의운전패턴을분석하여 In-Vehicle 내전자장치취약점을악용하는자동도난공격을탐지할수있는운전자검증방법을제안하였다. 그러나현재상용화된자동차가아닌자율주행자동차내에서의 In-Vehicle 연구의경우추상적형태로인해표면적인연구만이루어지고있으며, 자세한시나리오및실제실험연구가부족한실정이다. 다양한센서들의융합정보로작동되는자율주 행차량이라도 In-Vehicle 내에서의공격이일어난다면, 주행상황과맞지않는제어를수행하여심각한안전사고를일으킬수있다. 또한운전자가관여하지않는완전자율주행단계에서는악의적공격또는안전사고가발생하였을시실시간으로대응하기어렵다. 4.1절과 4.2절에서는자율주행자동차의 In-Vehicle 시스템에대한공격시나리오를도출하고이에대한대응책을논의한다. 4.1 In-Vehicle 공격시나리오 Fig. 10은본논문에서제안한완전자율주행자동차의가상시스템에대한공격시나리오를보여준다. Action Engine은 Sensor Fusion을통해융합된센서데이터를기반으로적절한의사결정을내려자율주행차량의시스템을제어한다. 이때 Action Engine의 Input 또는 Output을조작하여자율주행차량의 In-Vehicle 공격을수행할수있다. 완전자율주행단계에서의 In-Vehicle 프로토콜은아직규정되지않았으므로본논문에서는현재상용화된 ADAS 시스템의무선통신에적용되고있는 CAN 프 Fig. 10 Virtual attack scenario of self-driving car Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 247

서은비 김휘강 로토콜로가정한다. ADAS 센서시스템은수집된 아날로그형식의센서데이터를 CAN 프로토콜로 변환하는각마이크로컨트롤러를가지고있다. ATTACK 1 은 Action Engine 의 Input 데이터를변 조하는방법이다. 공격자는 Sensor Fusion 으로부터 수집된데이터를변조하여 Action Engine 에입력한 다. 변조된데이터를입력받은 Action Engine 은주행 상황과맞지않는잘못된시스템제어를수행하여 보안사고를발생시킬수있다. ATTACK 2 는 Action Engine 의 Output 데이터를 변조하는방법으로, Sensor Fusion 으로부터생성된 데이터를도청하여공격차량의주행상황을인지 한후공격을수행한다. 공격자는기존의 Action Engine 을조작하거나, Sensor Fusion 으로부터생성 된데이터가변조된다른 Action Engine 으로우회하 도록하여주행상황과맞지않는 Output 을생성할 수있다. 이때변조된 Action Engine 의경우악의적 주행판단을수행하는프로세스인 Malicious rule 을 사용한다. 예컨대 Table 1 과같이 Malicious rule 에따 라 In-Vehicle 시스템을제어하여경로이탈, 제동장 치이상, 비정상적인차선변경등의사고를유발할 수있다. Fig. 10 의 ATTACK 1 과같이 Sensor Fusion 으로부 터생성된데이터를조작하는것은사실상어렵다. 자율주행차량은인지, 판단, 제어라는단계적모듈 로구성되며, 도로상황, 차량간통신, 3D MAP 등의 정보를융합하여동작하게된다. 공격자는차량내 탑재된수많은융합센서들의원리를파악하여, 연 관관계가맞도록데이터를조작해야 ATTACK 1 과 같은공격을수행할수있다. 그러나 ATTACK 2 는 In-Vehicle 내판단및제어시스템의메시지를조작 하므로, 자율주행차량의인지기능과관계없이공 격이수행될수있다. 즉 In-Vehicle 시스템공격자는 주행상황을인지하지않아도 Dos 공격, Spoofing 공 Table 1 Malicious rule example Cross track Break error Abnormal lane change Path / GPS / Steering angle / Wheel velocity Brake switch / RPM / Straight radar Wheel velocity / RPM / Steering angle / Side sensor / Headlight 격등을통해서비스마비, 시간지연등을발생시켜 올바른주행판단을무력화할수있다. 4.2 In-Vehicle 공격탐지시나리오 실도로상에서주행하게될자율주행자동차의 안전성검증을위해서는주행시발생할수있는여 러상황에대한안전성확보및평가방안이요구된 다. 22) 이중자율주행자동차의 In-Vehicle IDS 연구 는 CAN bus 내제어메시지만을다루는기존 CAN 프로토콜의 IDS 와는확연히다른방향으로연구되 어야한다. Table 2 는도로위에서발생할수있는차 량상황을기술한표이다. 공격자는융합센서로부 터얻은차량상황정보와맞지않는잘못된차량동 작 ( 직진 / 감속 / 가속 / 정차 / 후진 / 추월 / 차선변경 / 좌, 우 회전 / 커빙등 ) 을수행하여안전사고를유발할수있 다. 따라서차량상황을나타내는센서데이터와판 단프로세스에의해생성되는제어메시지를비교 하여, 차량상황에맞는제어메시지가수행되는지 를탐지할수있는 IDS 시스템이구현되어야한다. 예컨대특정상황을나타내는융합센서정보와맞 지않는제어메시지가발견될경우, 이를이상징후 라판별할수있다. 본논문에서는자율주행환경에서발생할수있 는도로상황과, 해당상황과관련된제어시스템을 분석하여향후자율주행차량의 IDS rule 로활용할 수있는다양한시나리오를도출한다. 23) Table 2 Surroundings of road Vehicle situation Road classification Road condition Road shape (horizontality) Road shape (verticality) Climate and visibility Average vehicle speed Objects arround Explain Expressway/downtown road etc. Dry/wet/icy road etc. Straight/the left/the right /curved road etc. Flatland/uphill/downhill road etc. Low/high/normal intensity of illumination etc. Low(-15)/normal(15-45)/ high medium(45-80)/high(80-) speed etc. The front/the real vehicle /bicycle/infra/pedestrian/hole etc. 248 한국자동차공학회논문집제 26 권제 2 호, 2018

자율주행차량의 In-Vehicle 시스템관점에서의공격시나리오도출및대응방안연구 4.2.1 SCENARIO 1 도로형상에따라다양한주행상황이발생할수있다. Fig. 11과같이커브길을주행하는자율주행차량의전방센서가다른차선의차를잘못인식하거나커브로인해전방차량을인지하지못해충돌이발생할수있다. 따라서자율주행차량은차선인식시스템, 전방카메라및센서, 3D MAP 등의정보를융합하여커브길을인지하고, 차량의 RPM, 속도, 휠각도, 조향각, 전방센서각도등을조정하여안전한자율주행기능을지원해야한다. 앞서언급한것과같이, 커브길이라는차량상황과맞지않는제어메시지가발견될경우, 이를이상징후로판별한다. Fig. 12 Scenario 2 4.2.3 SCENARIO 3 빙판길, 빗길등의노면조건및악천후의상황등은자율주행환경에서수많은변수를제공한다. 자율주행차는온도및습도센서를통해노면상태를측정하여차량상황에맞는주행판단을내릴수있어야한다. Fig. 13과같이, 차량이젖은노면에서주행할경우, 물속의타이어궤적을차선으로잘못인식하여잘못된차선변경을수행할수있다. 또한도로에습기가많을경우에도차선을인식하지못할가능성이있다. Fig. 11 Scenario 1 4.2.2 SCENARIO 2 자율주행차량이주변물체를인지하지못할경우, 심각한인명피해가발생할수있다. Fig. 12와같이자율주행차는전방센서, 앞차량의속도및전조등 (V2X 통신 ), 앞차량의후방센서등을통해전방차량을인지한다. 또한속도, RPM, 전조등, 조향각, 휠각도등을제어하여적절한안전거리를유지해전방차량과의충돌을방지한다. 그러나 전방차량이있는 상황에서차량조명이급격히변화할경우전방센서또는앞차량의후방센서가올바르게작동하지않을수있다. 앞서자율주행자동차의근접취약점중빛을가하여센서를무력화한 Petit 등 14) 의실험결과와같이, 공격자는 In-Vehicle 시스템내전조등을제어하여시스템의오작동을일으킬수있다. 따라서전방차량이있을때급격한전조등변화가일어나거나, 적합하지않은속도등의제어메시지가발견될경우, 이를이상징후로판별할수있어야한다. Fig. 13 Scenario 3.1 빙판길의경우, Fig. 14와같이전방센서에의해감지된제동거리의범위를넘어설수있다. 자율주행차는악천후거나도로상태가좋지않은상황을인지하여속도를낮추거나제동거리를늘리는등안전한주행을지원해야한다. 만약속도증가, 급격한휠각도등노면조건및기후에맞지않는제어메시지가발견될경우, 이를이상징후로판별하여안전사고를예방한다. Fig. 14 Scenario 3.2 5. 자율주행자동차보안요구사항현재상용화된자동차내애플리케이션은 CAN, FlexRay, LIN으로연결되어있으며, 이중 CAN은차량통신분야에서가장대중화된프로토콜이라 Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 249

Eunbi Seo Huy Kang Kim 볼수있다. 24) 그러나 CAN의경우보안에대한고려없이설계된프로토콜로, 자율주행환경에서의보안메커니즘을적용하기에는여러문제가따른다. 예컨대 CAN은송신장치에대한정보를갖지않는브로드캐스트방식이므로, Spoofing 공격이나 CAN 버스를통해 ECU에접근하는것이매우용이하다. CAN의보안위협에대응하기위해선메시지인증코드를사용하거나 ECU 그룹을관리할수있는암호학적알고리즘의결합등이수행되어야한다. 그러나제한된메시지길이에따른용량부족, 단방향통신으로인한송신자의정보부재, 실시간연산처리문제등기존 CAN 프로토콜의보완을통해서도해결할수없는한계점이존재한다. 자율주행자동차는 ITS 환경을구축할수있도록내부통신하드웨어의보안과더불어무선통신용하드웨어의보안, 통합형보안마이크로컨트롤러등의개발이요구된다. 즉센싱 - 판단 - 제어로모듈화된자율주행시스템및 V2X 통신시스템을모두포괄할수있는새로운보안기술의연구가필요하다. Fig. 15는자율주행자동차의 5가지구성요소에따른보안요구사항으로, 외부환경과의인터페이스, 게이트웨이, ECU 간네트워크, 판단 SW가탑재된 MCU/MPU, 차량에접근을허용하는모든애플리케이션으로구성된다. 25) 외부환경과의인터페이스의경우기존통신규격과는다른새로운프로토콜규격에대한연구가이루어져야하며, 대표적으로 IEEE 1609에서는 ITS 환경의통신에적합한프로토콜인 WAVE의표준화를진행중이다. 26) Table 3과같이, IEEE1609.2에서는보안메시지규격과보안통신을위한처리절차를기술하고있다. 물리계층인 IEEE 1609.2 기술규격은 100 msec마다차량상태정보메시지를교환하도록규정하고있으며, 디지털서명기술의경우차량통신환경에적합한타원곡선암호를기반으로정의하고있다. 이와같이자율주행자동차의보안을위해서는하드웨어기반의고속암호화기술이개발되어야한다. 27) IEEE 1609.2 규격에서는프라이버시보호를위한인증기술이정의되어있지않지만, 향후자율주행 Fig. 15 Security of requirement for self-driving car 250 한국자동차공학회논문집제 26 권제 2 호, 2018

Security of Self-Driving Car from the Point of View of In-Vehicle System Table 3 Standardization of wave Number IEEE 1609.0 IEEE 1609.1-2006 IEEE 1609.2-2013 IEEE 1609.3-2010 IEEE 1609.4-2010 IEEE 1609.11-2010 Title Architecture Resource manager Security services for applications and management messages Networking services Multi-channel operation Over-the-airelectronic payment data exchange protocol for intelligent transportaion systems(its) 자동차의상용화를위해서는운전자의프라이버시 보호연구가선행되어야하므로, 차량통신환경에 적합한프라이버시보호형인증기술또한요구된다. 28) 앞서설명한공격시나리오인 Fig. 10 에서 Sensor Fusion 으로부터내부하드웨어인 Action Engine 까지 의통신과정은향후무선통신으로통합되어발전 할가능성이높다. 무선통신시스템의한사례로여 러센서 ( 압력온도, 가속도등 ) 의입력값을융합하 여전처리과정후 MCU 로전송하는 TPMS 시스템 이있다. 29) 완전자율주행자동차는무선통신을지 원하는 ADAS 시스템의조합으로구성될수있으므 로, 차량내 ECU 나통신인터페이스의무결성을보 장할수있는하드웨어안전모듈 (HSM) 의탑재가 필수적으로요구된다. 본논문에서는자율주행환경에서발생할수있 는안전사고에관한시나리오를도출하고이에대 한대응방안을논의하였다. 앞으로자율주행환경 이도래함에따라본논문의일부시나리오를포함 한무수히많은안전사고가발생할수있다. 다양한 공격요인들을고려하여수많은주행상황에대해 스스로올바른판단을내릴수있을경우 자율주행 차량은충분히안전하다 고간주할수있지만, 궁극 적으로완전자율주행단계에서의정확도를 99.99 % 로만드는작업은매우어렵다. 따라서자율주행 차량기능에운전자의피드백을결합시키는 Human- in-the-loop 패턴을도입할필요성이있다. 테슬라는 최근 Human-in-the-loop 패턴을따르는자율주행테 스트를수행하고있다. 29) 즉, 자율주행환경에서운 전자가스티어링휠을쥐고있다고가정하며, 이는 99.99 % 의안정성을보장할수없는자율주행차량 의안전을위한해결책이될수있다. 6. 결론 ICT 기술의도입으로인해사용자의편의성및 안전성을증가시킬수있는자율주행자동차에대 한관심이고조되고있다. 그러나자율주행자동차 의보안사고는인명사고로직결될수있으며, 이에 따라자율주행자동차의보안연구의필요성이대 두되고있다. 국내외수많은 IDS 시스템에대한연 구및 V2X 무선통신보안에대한연구가활발히진 행되고있지만, 다양한센서기능을탑재한자율주 행차량의 In-Vehicle 시스템보안에대한연구는미 비한상황이다. 본논문에서는자율주행자동차기 술에대한개괄적인소개및자율주행자동차의보 안취약점에대해간략히살펴보았으며, 다양한시 나리오를도출하여자율주행자동차의 In-Vehicle 공격및탐지방안에대해논의하였다. 향후본논문 에서제시한다양한시나리오를아우를수있는자 율주행자동차의보안기술이개발된다면, 완전한 자율주행환경은더이상먼미래가아닌현실이될 것이라기대한다. References 1) IHS Markit, IHS Clarifies Autonomous Vehicle Sales Forecast, http://news.ihsmarkit.com/pressrelease/automotive/autonomous-vehicle-sales-s et-reach-21-million-globally-2035-ihs-says, 2016. 2) ABI Research, Autonomous Behicles, https://www. abiresearch.com/market-research/product/1016 486-autonomous-vehicles/, 2013. 3) M. Nukala, A Constellation of Innovations is Needed for Autonomous Driving, https:// medium.com/@murthynukala/a-constellation-o f-innovations-is-needed-for-autonomous-drivin g-4b3cf6f98148, 2016. 4) S. R. Kang, KERI Brief, Status and Improvement of Legal System of Autonomous Vehicles, 2016. 5) LG Innotek, World of the Autonomous Car, http://blog.lginnotek.com/549, 2016. 6) FESCARO, Trends of the Autonomous Car, Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 251

서은비 김휘강 http://www.fescaro.com/2016/11, 2016. 7) C. Thompson, New Details about the Fatal Tesla Autopilot Crash Reveal the Driver's Last Minutes, http://www.businessinsider.com/detailsabout-the-fatal-tesla-autopilot-accident-released -2017-6, 2017. 8) J. K. Suhr, J. G. Jang, D. H. Min and H. G. Jung, Sensor Fusion-based Precise Vehicle Localization System, KSAE Annual Conference Proceedings, 2015. 9) M. Wolf, A. Weimerskirch and T. Wollinger, State of the Art: Embedding Security in Vehicles, EURASIP Journal on Embedded Systems, 2007. 10) F. Mujica, Scalable Electronics Driving Autonomous Vehicle Technologies, Texas Instruments White Paper, 2014. 11) Korea Investment & Securities, Frenemies of the Autonomous Car, 2016. 12) B. I. Kwak, M. R. Han, A. R. Kang and H. K. Kim, A Study on Detection Methodology of Threat on Cars from the Viewpoint of IoT, Journal of the Korea Institute of Information Security & Cryptology, Vol.25, No.2, pp.411-421, 2015. 13) A. M. Wyglinski, X. Huang, T. Padir, L. Lai, T. R. Eisenbarth and K. Venkatasubramanian, Security of Autonomous Systems Employing Embedded Computing and Sensors, IEEE Micro, Vol.33, No.1, pp.80-86, 2013. 14) J. Petit, B. Stottelaar, M. Feiri and F. Kargl, Remote Attacks on Automated Vehicles Sensors: Experiments on Camera and Lidar, Black Hat Europe, 2015. 15) R. M. Ishtiaq Roufa, H. Mustafaa, S. O. Travis Taylora, W. Xua, M. Gruteserb, W. Trappeb and I. Seskarb, Security and Privacy Vulnerabilities of In-car Wireless Networks: A Tire Pressure Monitoring System Case Study, 19th USENIX Security Symposium, pp.11-13, 2010. 16) J. Petit, M. Feiri and F. Kargl, Revisiting Attacker Model for Smart Vehicles, Wireless Vehicular Communications(WiVeC), pp.1-5, 2014. 17) M. Wolf, A. Weimerskirch and T. Wollinger, State of the Art: Embedding Security in Vehicles, EURASIP Journal on Embedded Systems, 2007. 18) K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway and S. Savage, Experimental Security Analysis of a Modern Automobile, IEEE Symposium on Security and Privacy(SP), 2010. 19) S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham and S. Savage, Comprehensive Experimental Analyses of Automotive Attack Surfaces, Proceedings of USENIX Security, 2011. 20) H. M. Song, H. R. Kim and H. K. Kim, Intrusion Detection System based on the Analysis of Time Intervals of CAN Messages for In-vehicle Network, International Conference on Information Networking(ICOIN), 2016. 21) B. I. Kwak, J. Woo and H. K. Kim, Know Your Master: Driver Profiling-based Anti-theft method, Privacy, Security and Trust, 2016. 22) H. S. Chae, Y. W. Jeong, K. S. Yi, I. S. Choi and K. C. Min, Safety Performance Evaluation Scenarios for Extraordinary Service Permission of Autonomous Vehicle, Transactions of KSAE, Vol.24, No.5, pp.495-503, 2016. 23) MyCarDoesWhat, Deeper Learning, https://mycardoeswhat.org/deeper-learning//adaptive-cruise-con trol/, 2017. 24) A. Hafeez, H. Malik, O. Avatefipour and P. Rongali, Comparative Study of CAN-Bus and FlexRay Protocols for In-Vehicle Communication, SAE 2017-01-0017, 2017. 25) Extremetech, Qualcomm May Acquire NXP Semiconductor in $30 Billion Deal, https:// www.extremetech.com/electronics/236599-qua lcomm-may-acquire-nxp-semiconductor-in-30- billion-deal, 2016. 26) Intelligent Transportation Systems Committee, IEEE Standard for Wireless Access in Vehicular Environments security Services for Applications and Management Messages, 2013. 27) Korea Communications Agency, Trends and Prospects of Vehicle Communication Security Technology in Intelligent Transportation System, 2014. 252 한국자동차공학회논문집제 26 권제 2 호, 2018

자율주행차량의 In-Vehicle 시스템관점에서의공격시나리오도출및대응방안연구 28) Business Wire, Freescale Introduces World s Smallest Integrated Tire Pressure Monitoring System, http://www.businesswire.com/news/home/ 20141020005220/en/ Freescale-introduces-world s -smallest-integrated-tire-pressure, 2014. 29) A. Marshall, Tesla Bears Some Blame for Self-driving Crash Death, Feds Say, Wired, https://www.wired.com/story/tesla-ntsb-autopil ot-crash-death/, 2017. Transactions of the Korean Society of Automotive Engineers, Vol. 26, No. 2, 2018 253