케이사인, 전기차 충전인프라 보안 취약점 사전 점검 '퍼저' 개발
정보보안 전문기업 케이사인(KSIGN, 대표 구자동·최현철)이 OCPP(Open Charge Point Protocol) 기반 프로토콜 퍼저(Fuzzer) 기술을 개발했다고 27일 밝혔다. 회사는 "국내 처음"이라고 설명했다. 이번에 개발한 OCPP 프로토콜 퍼저는 전기차 충전기와 충전관리시스템(CSMS,Charging Station Management system) 간 통신에 사용하는 OCPP 1.6 프로토콜을 대상으로, 실제 운영 환경에서 발생할 수 있는 보안 취약점을 사전에 점검할 수 있는 자동화 퍼징 기술이다. 이 기술은 과학기술정보통신부와 정보통신기획평가원(IITP)의 '정보보호 핵심원천기술개발사업'(과제명: 전기자동차 충전기 보안 위협 대응 기술 개발)을 통해 개발한 결과물이다. 해당 기술은 전기차 충전기 및 CSMS를 대상으로 퍼징 테스트를 수행하며, 실제 메시지와 상태머신(State Machine) 수준에서 발생하는 결함을 탐지함으로써 현장에서 발생 가능한 보안 취약점을 조기에 제거할 수 있도록 설계했다. 이를 통해 서비스 중단이나 장비 손상 등 전기차 충전 인프라 운영 리스크를 효과적으로 낮출 수 있다. 퍼징(Fuzzing)은 정상적이지 않거나 예상 밖의 입력값을 마구 던져 시스템이 깨지는지, 죽는지, 이상 반응을 보이는지 확인하는 보안 테스트를 말한다. 케이사인은 이번 퍼저를 웹 기반 플랫폼 형태로 구현, 관리자가 별도의 복잡한 테스트 환경을 구축하지 않고도 웹 환경에서 손쉽게 퍼징 테스트를 구성하고 결과를 직관적으로 확인할 수 있게 했다. OCPP 1.6 프로토콜 메시지를 기반으로 다양한 Mutation 기법을 적용해 비정상·변형 메시지를 자동 생성하고, 이를 실제 전기차 충전기 및 CSMS 서버에 전송함으로써 잠재적인 보안 취약점과 오류를 효과적으로 탐지한다. 특히 퍼징 테스트 결과는 시각화 형태로 제공, 운영 중인 프로토콜에서 발생 가능한 오류 유형과 취약 지점을 관리자 관점에서 한눈에 파악할 수 있다. 이를 통해 보안 담당자는 복잡한 로그 분석 과정 없이도 시스템 보안 상태를 효율적으로 점검하고 선제적인 대응 체계를 마련할 수 있다. 회사는 "국내 충전 사업자 환경에서 OCPP 1.6 프로토콜이 널리 사용되고 있는 만큼, 이번 기술이 충전 사업자의 자체 보안 점검은 물론 향후 전기차 충전 시스템 도입 및 구매 과정의 보안성 시험에도 폭넓게 활용될 것으로 기대한다"면서 "최근 전기차 충전 인프라를 겨냥한 취약점(CVE) 보고가 지속적으로 증가하는 상황에서, 이번 기술은 사이버 공격에 대한 선제적 대응 체계 구축에 기여하고 전기차 충전 서비스의 안정성과 신뢰성을 높이는 데 중요한 역할을 할 것"이라고 예상했다. 한편, 케이사인은 차년도에 OCPP 2.0.1 적용 확대와 함께 시제품 개발을 준비 중이다.
