자동차 MCU, 전장품 보안 기능 구동 필수
오릭스 2세대, 외부기관 ASIL D 인증으로
전장품 업체의 기능 안전 심사 부담 덜어


첨단 운전자 보조 시스템(Advanced Driver Assistance System; ADAS)과 차량용 인포테인먼트(In-Vehicle Infotainment; IVI) 등의 기술 수요가 늘면서 많은 전장품이 차량에 탑재되고 있다.

전자제어장치(Electronic Control Unit; ECU)의 역할과 V2X(Vehicle to Everything) 통신의 필요성도 계속 커지고 있어 전장품 탑재 증가 추세는 지속할 전망이다.

자동차 업계의 궁극적 목표인 자율주행차량 상용화에 대한 노력도 이러한 추세를 가속하고 있다. 국토교통부는 지난 1월, 자율주행차량의 상용화를 위해 레벨3 자율주행 안전기준을 도입했고, 오는 7월부터 레벨3 자율주행차량의 출시와 판매가 가능해졌다.

업계에서는 2030년과 2050년 사이에 레벨5 자율주행차량이 상용화될 것으로 보고 있다. 운전자의 개입이 전혀 필요 없는 레벨5 자율주행차량의 실내는 주행과 전혀 상관없는 공간으로 바뀔 것이다. 우리가 아는 자동차의 모습은 점차 사라질 것이다.

그러나 절대로 바뀌지 않는 것이 있다. 자동차는 움직인다. 따라서 탑승자는 언제나 사고의 위험에 노출되어 있다. 자동차에 있어 탑승자의 안전은 무엇보다 가장 중요한 가치이며 이는 절대로 변하지 않는다.

인피니언 코리아 오토모티브 사업부의 황 건 상무를 만나 현재 업계에서는 전장품의 보안을 어떻게 달성하고 있는지, 또 충분한 보안 기능이 갖춰진 전장품을 출시하기 위해 엔지니어들이 필수적으로 알아야 할 것들에 관해 물었다.

황 건 상무는 “MCU는 전장품의 핵심요소 중 하나”라며 “이제 차량용 MCU는 실시간 연산 처리 기능, 기능 안전 관련 부가 기능, 차량 내 전장품 보안 기능을 구현할 수 있어야 한다”라고 말했다. 그러면서 특히 차량 내 데이터들을 암호화하고 복구할 수 있는 차량 내 전장품 보안 기능을 강조했다.


◇ 전장 3대 보안 기능, “시큐어 부트·커뮤니케이션·디버그”

보안 기능을 구현하기 위해서는 차량 내 데이터를 암호화하고 복구하는데 필요한 대칭 또는 비대칭 키들을 구현하는 알고리즘 기반 하드웨어 엔진이 필요하다. 이러한 키들을 저장할 하드웨어 공간도 필요하다.

황 건 상무는 대표적인 차량 보안 기능 3가지를 설명했다.

첫 번째는 시큐어 부트(Secure Boot)다. 전장품이 처음 구동될 때마다 전장품에 들어있는 소프트웨어가 정상적인 소프트웨어인지를 검사하고, 정상일 경우에만 전장품을 구동하는 기능이다.

두 번째는 시큐어 커뮤니케이션(Secure Communication)이다. 차량에서 각종 네트워크를 통해 교환되는 데이터들이 해킹으로 인해 변조되면 차량의 오동작을 유발할 수 있다. 시큐어 커뮤니케이션은 이를 방지하기 위해 데이터를 암호화하고, 통신 주체가 누구인지 판단하는 기능이다.

세 번째는 시큐어 디버그(Secure Debug)다. 디버거 인터페이스는 MCU 소프트웨어를 개발하고 구현하기 위한 인터페이스 방법의 하나다. 보안 대책이 마련되어 있지 않다면, 해커는 디버거 인터페이스를 통해 전장품에 들어간 소프트웨어를 위변조할 수 있다. 시큐어 디버그는 이를 막는 기능이다.


◇ 외부기관 ASIL D 인증으로 공신력 확보, 개발 기간 단축

자동차 기능 안전성 국제 표준, 즉 ISO 26262는 자동차에 탑재되는 전자적, 전기적 오류로 인한 사고방지를 위해 ISO에서 제정한 자동차 기능 안전 국제 규격이다. 첫 번째 에디션은 2011년에, 두 번째 에디션은 2018년에 출시됐다.

2011년부터 많은 업체가 ISO 26262를 준수하는 전장품을 제조하기 위해 노력하고 있다. 황 상무는 “차량 조향·제동·안전 장치가 오작동을 일으키면 인명사고가 발생할 수 있어 ISO 26262에서 규정하는 최상위 안전등급인 ASIL D를 만족하도록 설계되어야 한다”라며, “인피니언은 이미 ASIL D를 준수하는 제품을 납품 중”이라고 밝혔다.

차량용 애플리케이션을 대상으로 제작되는 인피니언의 오릭스(AURIX™) MCU 제품군은 2018년에 개정된 최신 ISO 26262 규격을 준수한다. 오릭스 제품군은 1세대(AURIX TC2xx)와 2세대(AURIX TC3xx)로 나뉜다.

황 건 상무는 1세대와 2세대는 차량의 전자적, 전기적 오류를 감지하고 대응하는 세이프티 메커니즘의 작동 여부를 테스트하는 방법에서 큰 차이가 있다고 밝혔다.

1세대는 세이프티 메커니즘의 작동 여부를 소프트웨어로 테스트한다. 전장품 개발자는 이 소프트웨어를 따로 구현해야 한다. 이 테스트 소프트웨어는 독립적으로 동작하지 않으며, 또 복잡해서 전장품의 프로세서 성능을 어느 정도 차지할 수밖에 없다.

반면, 2세대는 세이프티 메커니즘 테스트 기능을 하드웨어적으로 구현했다. 엔지니어는 테스트 소프트웨어 구현 작업을 할 필요가 없다. 프로세서 성능을 차지할 일도 없다.

황 건 상무는 2세대 오릭스 제품군의 ASIL D 인증을 외부 기관(TÜV Saarland)으로부터 받아 공신력이 있다고 말했다. 1세대의 경우 이런 공식적인 인증서가 없어 전장품 업체가 전장품 개발 시 인피니언과 함께 기능 안전 심사(Safety Audit) 과정을 거쳐야 했다. 이는 상당한 시간과 노력이 요구되는 작업인데, 2세대는 그럴 필요가 없다는 것이다.


◇ 자율주행 위한 고성능 MCU 제품군 개발 중

황 건 상무는 “차량 산업에서 가장 뜨거운 감자는 역시 자율주행”이라며, “자율주행을 구현하기 위해서는 자동차에 탑재된 프로세서가 알아서 데이터를 감지하고, 분석하고, 활용해야 하므로 퍼포먼스가 높아야 한다”라고 말했다.

그러면서 “인피니언은 이런 시장의 요구 사항을 예측해서 새로운 제품군을 개발하고 있다”라고 밝혔다.